彻底解决spring mvc XSS漏洞问题（包括json的格式的入参和出参）

https://blog.csdn.net/sanyuesan0000/article/details/89918173

一，背景
昨天收到公司安全部的一封漏洞邮件，说系统注册存在xss存储型漏洞，然后看了一下系统中是有xssFilter处理xss漏洞的，但是注册页面xss注入的却没有处理，经过分析代码和网上查找资料，xssFilter只能处理get请求的xss注入和post请求非json的注入，但是我们的注册页面保存接口的入参是json格式的，所以没有处理到。最后经过各种查找资料、阅读springmvc的源码和偿试，终于解决了，能够对入参和出参（包括json格式）进行转义的方法。

二，名词解释
xss是跨站脚本攻击。恶意攻击者往Web页面里插入恶意的Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。比如在页面的input输入框中输入一段js代码，如果没有做任何处理就保存到数据库，在页面回显时就会直接执行这段js，导致cookie盗取，钓鱼劫持等风险。

三，xss修复的一般处理方法
springmvc中常见的是用Filter来预防 , 就是创建一个新的httpRequest类XsslHttpServletRequestWrapper，然后重写一些get方法，在获取参数时对参数中的字符串进行转义，来进行XSS判断预防。网上很多说的是这种方法，但是这种方式不能对json格式的入参进行转义，所以还是存在问题的。

1，XssFilter

package com.tqmall.web.filter;
 
import com.tqmall.web.converter.XssStringJsonSerializer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Primary;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import org.springframework.stereotype.Component;
 
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
 
/**
 * 跨站脚本攻击过滤器
 * 
 * @author fanyajie
 * 
 */
public class XssFilter implements Filter {
 
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // TODO Auto-generated method stub
 
    }
 
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        // TODO Auto-generated method stub
        chain.doFilter(new XssRequestWrapper((HttpServletRequest) request), response);
    }
 
    @Override
    public void destroy() {
        // TODO Auto-generated method stub
 
    }
 
}
2，在web.xml中添加filter

<!-- Xss -->
    <filter>
        <description>跨站脚本攻击过滤器</description>
        <filter-name>XssFilter</filter-name>
        <filter-class>com.tqmall.web.filter.XssFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>XssFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
3，XssRequestWrapper

package com.tqmall.web.filter;
 
import com.alibaba.fastjson.JSON;
import com.sun.xml.internal.bind.v2.TODO;
import org.springframework.web.util.HtmlUtils;
 
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.Map;
 
/**
 * 跨站脚本请求包装器，将html脚本转译成普通字符串
 *
 * @author fanyajie
 *
 */
public class XssRequestWrapper extends HttpServletRequestWrapper {
 
    public XssRequestWrapper(HttpServletRequest request) {
        super(request);
    }
 
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }
 
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return cleanXSS(value);
    }
 
    /**
     * 转译get入参，防止站点脚本注入
     */
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        return cleanXSS(value);
    }
 
    private String cleanXSS(String value) {
        if(value!=null){
            value = HtmlUtils.htmlEscape(value);
        }
        return value;
    }
 
}
四、扩展jackson定制自己的objectMapper处理json出入参的转义
大家都知道，springmvc是通过MappingJackson2HttpMessageConverter对json进行序列化和反序列化的，所以我们可以自定义objectMapper对json中的字符中进行转义。

1，spring-mvc.xml

<mvc:annotation-driven
        ignore-default-model-on-redirect="true">
        <mvc:message-converters register-defaults="true">
            <bean id="mappingJacksonHttpMessageConverter"
                  class="org.springframework.http.converter.json.MappingJackson2HttpMessageConverter" >
                <property name="supportedMediaTypes">
                    <list>
                        <value>text/html;charset=UTF-8</value>
                        <value>application/json;charset=UTF-8</value>
                    </list>
                </property>
                <property name="objectMapper">
                    <bean class="com.tqmall.web.converter.CustomObjectMapper" />
                </property>
            </bean>
        </mvc:message-converters>
    </mvc:annotation-driven>
2，自定义ObjectMapper，网上很多是继承JsonSerializer类，根据类名可知这是对序列化的json进行处理，也就是对出参的json进行转义，经过查找资料，才找到JsonDeserializer是对反序列化的json进行处理，也就是可对入参的json进行转义。

其中内部类JsonHtmlXssSerializer是对入参的json进行转义，JsonHtmlXssDeserializer是对出参的json进行转义，预访xss漏洞只需要一个，即转义入参或转义出参的任意一个就可以，这里只是把两种实现都贴出来了。

package com.tqmall.web.converter;
 
import com.fasterxml.jackson.core.JsonParser;
import com.fasterxml.jackson.databind.*;
import org.springframework.web.util.HtmlUtils;
import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.core.Version;
import com.fasterxml.jackson.databind.module.SimpleModule;
 
import java.io.IOException;
 
/**
 * @Author:fanyajie1
 * @Date:2019/5/6 18:59
 */
public class CustomObjectMapper extends ObjectMapper {
    private static final long serialVersionUID = -3448961813323784217L;
 
    public CustomObjectMapper() {
        SimpleModule module = new SimpleModule("XssStringJsonSerializer");
        module.addSerializer(new JsonHtmlXssSerializer(String.class));
        module.addDeserializer(String.class,new JsonHtmlXssDeserializer(String.class));
        this.registerModule(module);
    }
 
    /**
     * 对出参的json进行转义
     */
    class JsonHtmlXssSerializer extends JsonSerializer<String> {
 
        public JsonHtmlXssSerializer(Class<String> string) {
            super();
        }
 
        @Override
        public Class<String> handledType() {
            return String.class;
        }
        @Override
        public void serialize(String value, JsonGenerator jsonGenerator,
                              SerializerProvider serializerProvider) throws IOException{
            if (value != null) {
                String encodedValue = HtmlUtils.htmlEscape(value.toString());
                jsonGenerator.writeString(encodedValue);
            }
        }
    }
 
    /**
     * 对入参的json进行转义
     */
    class JsonHtmlXssDeserializer extends JsonDeserializer<String> {
 
        public JsonHtmlXssDeserializer(Class<String> string) {
            super();
        }
 
        @Override
        public Class<String> handledType() {
            return String.class;
        }
 
        @Override
        public String deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException, JsonProcessingException {
            String value = jsonParser.getValueAsString();
            if (value != null) {
                return HtmlUtils.htmlEscape(value.toString());
            }
            return value;
        }
    }
}
五、结语
网上还有很多解决json格式xss漏洞的方法，有重写filter中getInputStream方法，或者重载MappingJackson2HttpMessageConverter类的，或许是我在尝试的方法有问题，只有自定义ObjectMapper是正常的，如有问题，请批评指正。

参考资料：

https://blog.csdn.net/zhuangnet/article/details/78744004

http://ju.outofmemory.cn/entry/63726

https://www.songma.com/news/txtlist_i24361v.html

https://www.zhihu.com/question/32486587

https://blog.csdn.net/wysnxzm/article/details/83339927

http://unclechen.github.io/2019/01/02/Jackson%E8%87%AA%E5%AE%9A%E4%B9%89%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96Deserializer/