彻底解决Spring MVC XSS注入问题

最新推荐文章于 2024-04-24 15:32:10 发布
最新推荐文章于 2024-04-24 15:32:10 发布
阅读量1.3w 收藏 26
点赞数 10
分类专栏: Spring 文章标签: spring spring mvc XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuangnet/article/details/78744004
版权

一、背景

 最近所从事的项目,线上被扫描出部分连接存在XSS注入问题。例如:

http://www.xxx.com/yyy.html?applyId=5a20c06fa15243c109b66bb8%22%3E%3Csvg/οnlοad=alert(1)%3E&cate=&channel=0&isEmbed=0&level=0


 上面连接中的 alert(1)脚本被执行。存在XSS漏洞。接下来开始解决,经过一个曲折的过程终于找到一个最佳方法。


 二、可能的方案

  

  1) 在每个Controller入口的业务代码处手动进行过滤,如:

   

    @RequestMapping("pcDetail.html")
    public
    @XssCheck
    ModelAndView pcDetail(Integer tempId, String applyId) {
    	
    	applyId = HtmlUtils.htmlEscape(applyId);

       这种方法最直接,但也最低级、最繁琐,每个入口都必须加一个过滤。 


   2) 百度上搜索 Spring mvc XSS关键词,出现最多的方案是 给Servlet加Filter,大致思路是:

       包装request->创建过滤器->添加过滤器

         通过扩展HttpServletRequestWrapper,对HttpServletRequest进行二次包装,覆盖其 public String[] getParameterValues(String name) 方法,在此方法中对各个参数值进行XSS过滤(Spring MVC 部分解析是调用的此方法)

但这种方法有个缺点:只能过滤GET请求,对于POST请求无能为力。对于POST请求,则还需要对 request.getInputStream的内容进行过滤(比较麻烦)。


  笔者没有采用这种方式,继续寻找更优方案。。。


  3)在Spring MVC流程中解决,能过自定义实现HandlerMethodArgumentResolver接口来自定义解析请求参数,在解析时做XSS过滤。

这种方法的话,解析过程比较繁琐、复杂,要考虑各种各样的客户端请求格式如json,form,xml等等。而且Spring MVC本身已经有非常完备的各种解析实现了。

为了一个XSS过滤又重新写一套,得不尝失。


笔者翻遍了Spring MVC的代码,也尝试过各种扩展,都不太理想。。。最后终于想到一个改动非常小,且可行办法。


三、可行的方案


 主要思路是:在Spring MVC调用Controller前,通过动态代理和反射机制对Controller的调用进行拦截,并在挡截中对Mehtod参数的值进行XSS过滤替换。

到这里,可能有人想说,Spring MVC本身就支持Controller拦截,即实现HandlerInterceptorAdapter接口。这种方法不可行,此接口无法实现对请求参数的修改。

话不多说,上代码(笔者基于Spring 3.2.4版本)。


1) 、  HandlerExecutionChainWrapper.java


public class HandlerExecutionChainWrapper extends HandlerExecutionChain {

	private BeanFactory beanFactory;
	private HttpServletRequest request;
	private HandlerMethod handlerWrapper;
	private byte[] lock = new byte[0];
	
	public HandlerExecutionChainWrapper(HandlerExecutionChain chain,
			HttpServletRequest request,
			BeanFactory beanFactory) {
		super(chain.getHandler(),chain.getInterceptors());
		this.request = request;
		this.beanFactory = beanFactory;
	}

	@Override
	public Object getHandler() {
		if (handlerWrapper != null) {
			return handlerWrapper;
		}
		
		synchronized (lock) {
			if (handlerWrapper != null) {
				return handlerWrapper;
			}
			HandlerMethod superMethodHandler = (HandlerMethod)super.getHandler();
			Object proxyBean = createProxyBean(superMethodHandler);
			handlerWrapper = new HandlerMethod(proxyBean,superMethodHandler.getMethod());
			return handlerWrapper;
		}
		
	}
	
	/**
	 * 为Controller Bean创建一个代理实例,以便用于 实现调用真实Controller Bean前的切面拦截
	 * 用以过滤方法参数中可能的XSS注入
	 * @param handler
	 * @return
	 */
	private Object createProxyBean(HandlerMethod handler) {
		try {
			Enhancer enhancer = new Enhancer();
			enhancer.setSuperclass(handler.getBeanType());
			Object bean = handler.getBean();
			if (bean instanceof String) {
				bean = beanFactory.getBean((String)bean);
			}
			ControllerXssInterceptor xss = new ControllerXssInterceptor(bean);
			xss.setRequest(this.request);
			enhancer.setCallback(xss);
			return enhancer.create();
		}catch(Exception e) {
			throw new IllegalStateException("为Controller创建代理失败:"+e.getMessage(), e);
		}
	}
	
	
	public static class ControllerXssInterceptor implements MethodInterceptor {

		private Object target;
		private HttpServletRequest request;
		private List<String> objectMatchPackages;
		
		public ControllerXssInterceptor(Object target) {
			this.target = target;
			this.objectMatchPackages = new ArrayList<String>();
			this.objectMatchPackages.add("com.xx");
		}
		
		public void setRequest(HttpServletRequest request) {
			this.request = request;
		}


		@Override
		public Object intercept(Object obj, Method method, Object[] args, 
				MethodProxy proxy) 
				throws Throwable {
			
			//对Controller的方法参数进行调用前处理
			//过滤String类型参数中可能存在的XSS注入
			if (args != null) {
				for (int i=0;i<args.length;i++) {
					if (args[i]==null)
						continue;
					
					if (args[i] instanceof String) {
						args[i] = stringXssReplace((String)args[i]);
						continue;
					}
					
					for(String pk:objectMatchPackages) {
						if (args[i].getClass().getName().startsWith(pk)) {
							objectXssReplace(args[i]);
							break;
						}
					}
				}
			}
			return method.invoke(target, args);
		}
		
		private String stringXssReplace(String argument) {
			return HtmlUtils.htmlEscape(argument);
		}
		
		private void objectXssReplace(final Object argument) {
			if (argument == null)
				return;
			
			ReflectionUtils.doWithFields(argument.getClass(), new FieldCallback(){

				@Override
				public void doWith(Field field) throws IllegalArgumentException, IllegalAccessException {
					ReflectionUtils.makeAccessible(field);
					String fv = (String)field.get(argument);
					if (fv != null) {
						String nv = HtmlUtils.htmlEscape(fv);
						field.set(argument, nv);	
					}
				}
				
			}, new FieldFilter(){

				@Override
				public boolean matches(Field field) {
					boolean typeMatch = String.class.equals(field.getType());
					
					if (request!=null && "GET".equals(request.getMethod())) {
						boolean requMatch = request.getParameterMap().containsKey(field.getName());
						return typeMatch && requMatch;	
					}
					
					return typeMatch;
				}
				
			});
		}
	}
	
	
}


2、DispatcherServletWrapper.java

@SuppressWarnings("serial")
public class DispatcherServletWrapper extends DispatcherServlet {
	
	@Override
	protected HandlerExecutionChain getHandler(HttpServletRequest request) throws Exception {
		HandlerExecutionChain chain = super.getHandler(request);
		Object handler = chain.getHandler();
        if (!(handler instanceof HandlerMethod)) {
            return chain;
        }
		
        HandlerMethod hm = (HandlerMethod)handler;
        if (!hm.getBeanType().isAnnotationPresent(Controller.class)) {
        	return chain;
        }
        
        //本扩展仅处理@Controller注解的Bean
		return new HandlerExecutionChainWrapper(chain,request,getWebApplicationContext());
	}
	
}


3、替换Spring的DispatcherServlet为DispatcherServletWrapper 

	<servlet>
		<servlet-name>springmvc</servlet-name>
		<!--  
		<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
		  -->
		<servlet-class>com.xx.sdd.mkt.web.spring.DispatcherServletWrapper</servlet-class>
		<init-param>
		  <param-name>contextConfigLocation</param-name>
		  <param-value>classpath:spring-config-servlet.xml</param-value>
		</init-param>
        <load-on-startup>1</load-on-startup>
	</servlet>


  大功告成,所有通过RequestMapping注解的Controller类方法的参数值均会被过滤。


 








姓庄滴
关注
  • 10
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
xss攻击字符过滤器 Java_使用Filter过滤器解决XSS跨脚本攻击和SQL注入问题
weixin_28839601的博客
02-24 987
在JAVA开发工程中难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤器.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
SpringMvc如何进行XSS攻击过滤
zzzgd_666的博客
05-23 1万+
随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其中加入脚本。 比如我在表单文本框中,输入 &amp;lt;script&amp;gt;alert(233)&amp;lt;/script&amp;gt; 那么当这条消息存到数据库,再次在页面上访问获取数据的时候,就会弹出弹窗. 很多网站为了避免XSS的攻击,对用户的输入都采...
【网络安全】XSS漏洞注入,分类,防御方法
最新发布
weixin_57514792的博客
04-24 1046
XSS漏洞注入,分类,防御方法
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
SpringSecurity教程】防止XSS攻击
terrybg
06-11 1万+
XSS是跨站脚本攻击,攻击者提交可执行的恶意脚本如(html/js/css),来影响网址的使用。演示如下: 模拟XSS攻击: 测试效果如下:如果攻击者的恶意请求,服务器将结果保存到数据库后,下次用户查询的时候,可想而知影响很大。1.Spring设置过滤器或者拦截器2.后端设置编码转义(将标签转义如将转义成),常见解决方案有Spring的HtmlUtils和Apache Commons3.设置X-XSS-Protection请求头4.前端展示层做处理本文主要描述 Spring设置编码转义,原理是将标签转义如将
解决Spring MVC XSS注入问题
qq_33413127的博客
03-02 692
解决Spring MVC XSS注入问题背景可能的方案可行的方案 背景 最近所从事的项目,线上被扫描出部分连接存在XSS注入问题。例如: http://www.xxx.com/yyy.html?applyId=5a20c06fa15243c109b66bb8%22%3E%3Csvg/οnlοad=alert(1)%3E&cate=&channel=0&isEmbed=0&level=0 上面连接中的 alert(1)脚本被执行。存在XSS漏洞。接下来开始解决,经过一个曲折的过
【Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 4982
【Java代码审计】XSS漏洞产生原理及其修复
spring boot xss防御
11-05
Spring Boot应用中,XSS(Cross Site Scripting,跨站脚本攻击)是一种常见的安全威胁,它允许攻击者向Web页面注入恶意脚本,从而影响用户的安全。本项目"spring boot xss防御"旨在介绍如何在Spring Boot环境中...
防sql注入xss攻击, springmv拦截器
07-24
防sql注入xss攻击, springmv拦截器,可自由调整需要拦截的字符
java防止xss注入
07-15
Java作为广泛应用于Web开发的语言,如何有效防止XSS注入是开发者必须关注的问题。 一、XSS攻击类型 1. **存储型XSS**:攻击者将恶意脚本存储在服务器上,如评论区、论坛等用户可以输入内容的地方。当其他用户访问...
基于spring mvc的民宿网站
04-23
【基于Spring MVC的民宿网站详解】 在Web开发领域,Spring MVC是Java开发人员常用的一个强大框架,用于构建高效、可维护的Web应用程序。基于Spring MVC的民宿网站项目,结合了后端服务与前端展示,实现了房源管理、...
XSS注入方式和逃避XSS过滤的常用方法
热门推荐
yinqiaohua的专栏
08-01 3万+
转自黑吧安全网http://www.myhack58.com/ web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过滤的解决办法,php一般会使用htmlspecialchars或者htmlentities函数进行
Spring MVC防御CSRF、XSS和SQL注入攻击
weixin_33774615的博客
11-01 522
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRF 对CSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,...
spingMVC xss攻击过滤
浅灰色、邂逅的博客
06-04 369
1 . 在web.xml中添加Filter <filter> <filter-name>XssFilter</filter-name> <filter-class>com.xbz.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssFilter</fil
XSS跨站攻击注入漏洞解决方案
不积跬步无以至千里
01-23 1101
一 跨网站脚本 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。  XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者
Spring应用程序中防止跨站点脚本 (XSS)
allway2的博客
07-24 1146
在反射型或非持久性XSS中,不受信任的用户数据被提交给Web应用程序,该应用程序立即在响应中返回,从而将不信任的内容添加到页面中。这可能允许黑客向您发送一个链接,当您点击该链接时,会导致您的浏览器从您使用的站点检索您的私人数据,然后让您的浏览器将其转发到黑客的服务器。在SpringWeb应用程序中,用户的输入是HTTP请求。为了防止攻击,我们应该检查HTTP请求的内容并删除任何可能被服务器或浏览器执行的内容。在XSS中,攻击者试图在Web应用程序中执行恶意代码。...
SpringMVC防止XSS攻击
ywb201314的专栏
03-20 863
XSS全称为跨站脚本攻击 , 具体见百度百科 最常见的是用Filter来预防 ,就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防). 1 . 在web.xml中添加Filter <filter> <filter-name>XssFilter&l...
常用解决跨站脚本(XSS) 和 代码注入思路
budongfengqing的博客
08-09 628
常用解决跨站脚本和代码注入思路
WEB安全之XSS漏洞与SQL注入漏洞介绍及解决方案
m0_74131821的博客
04-18 1752
这篇文章把XSS跨站攻击和SQL注入的相关知识整理了下,比较适合初学者观看。
请列举5项Spring MVC Framework的使用优势。
04-19
好的,我明白了。Spring MVC Framework 是一种常见的 Java Web 应用程序框架,以下是五个使用优势: 1. 松耦合:它将业务逻辑与界面逻辑分为两部分,使应用程序易于维护和扩展。 2. 容易集成:它支持各种视图技术,如 JSP、Velocity 和 Freemarker,也支持多种数据源,如 JDBC、ORM 和 NoSQL 数据库。 3. 高度可配置:它提供了可以配置的组件和工具,以便于进行自定义配置,并且支持多种扩展点。 4. 易于测试:它使用依赖注入和面向接口编程进行开发,因此易于进行单元测试和集成测试,提高应用程序的质量。 5. 安全性:它提供了安全性方面的支持,例如输入验证、CSRF 防护和 XSS 防护,以保护应用程序不受恶意攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值