背景
系统导出功能会将自己的信息导出到excel中,为了防止CSV注入攻击,在录入这些字段时需要对内容做校验。
CSV注入攻击主要是通过“+、-、@、=”构造一些特殊内容,这个内容导出到excel中,当有人打开这种带攻击的excel时,就可以执行任意命令,详细的攻击方法,大家可以搜索“CSV注入攻击”。
问题
本系统防护方案也很简单,就是对接口入参做校验,如果带这些特殊字符,则报错不允许提交到服务端。
public ResponseEntity updateUserInfo(@Validated(User.Group4UpdateUserInfo.class)
@RequestBody User user) {
... ...
}
public class User {
@Pattern(regexp = "[^=+-@]*", message = "nickname cannot contain special character",
groups = Group4UpdateUserInfo.class)
private String nickname;
... ...
public interface Group4UpdateUserInfo {}
}
校验加上去后测试,发现数字也会被拦截。
多次试验后发现,'-'在反向字符集[]中带有特殊含义,它表示字符范围,比如regexp = “[^=+-@]"代表非 ‘=’及‘+’到‘@’之间的符号
如果要表示不带“+、-、@、=”的字符串时,需要对‘-’做转义,例如**regexp = "[^=+\\-@]”**