当前位置:   article > 正文

彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)_spring mvc 防止xss注入,入参转义,出参还原

spring mvc 防止xss注入,入参转义,出参还原

目录

一,背景

二,名词解释

三,xss修复的一般处理方法

四、扩展jackson定制自己的objectMapper处理json出入参的转义

五、结语

一,背景
昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求的xss注入和post请求非json的注入,但是我们的注册页面保存接口的入参是json格式的,所以没有处理到。最后经过各种查找资料、阅读springmvc的源码和偿试,终于解决了,能够对入参和出参(包括json格式)进行转义的方法。

二,名词解释
xss是跨站脚本攻击。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。比如在页面的input输入框中输入一段js代码,如果没有做任何处理就保存到数据库,在页面回显时就会直接执行这段js,导致cookie盗取,钓鱼劫持等风险。

三,xss修复的一般处理方法
springmvc中常见的是用Filter来预防 , 就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法,在获取参数时对参数中的字符串进行转义,来进行XSS判断预防。网上很多说的是这种方法,但是这种方式不能对json格式的入参进行转义,所以还是存在问题的。

1,XssFilter

package com.tqmall.web.filter;
 
import com.tqmall.web.converter.XssStringJsonSerializer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Primary;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import org.springframework.stereotype.Component;
 
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
 
/**
 * 跨站脚本攻击过滤器
 * 
 * @author fanyajie
 * 
 */
public class XssFilter implements Filter {
 
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // TODO Auto-generated method stub
 
    }
 
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        // TODO Auto-generated method stub
        chain.doFilter(new XssRequestWrapper((HttpServletRequest) request), response);
    }
 
    @Override
    public void destroy() {
        // TODO Auto-generated method stub
 
    }
 
}
2,在web.xml中添加filter

<!-- Xss -->
    <filter>
        <description>跨站脚本攻击过滤器</description>
        <filter-name>XssFilter</filter-name>
        <filter-class>com.tqmall.web.filter.XssFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>XssFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
3,XssRequestWrapper

package com.tqmall.web.filter;
 
import com.alibaba.fastjson.JSON;
import com.sun.xml.internal.bind.v2.TODO;
import org.springframework.web.util.HtmlUtils;
 
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.Map;
 
/**
 * 跨站脚本请求包装器,将html脚本转译成普通字符串
 *
 * @author fanyajie
 *
 */
public class XssRequestWrapper extends HttpServletRequestWrapper {
 
    public XssRequestWrapper(HttpServletRequest request) {
        super(request);
    }
 
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }
 
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return cleanXSS(value);
    }
 
    /**
     * 转译get入参,防止站点脚本注入
     */
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        return cleanXSS(value);
    }
 
    private String cleanXSS(String value) {
        if(value!=null){
            value = HtmlUtils.htmlEscape(value);
        }
        return value;
    }
 
}
四、扩展jackson定制自己的objectMapper处理json出入参的转义
大家都知道,springmvc是通过MappingJackson2HttpMessageConverter对json进行序列化和反序列化的,所以我们可以自定义objectMapper对json中的字符中进行转义。

1,spring-mvc.xml

<mvc:annotation-driven
        ignore-default-model-on-redirect="true">
        <mvc:message-converters register-defaults="true">
            <bean id="mappingJacksonHttpMessageConverter"
                  class="org.springframework.http.converter.json.MappingJackson2HttpMessageConverter" >
                <property name="supportedMediaTypes">
                    <list>
                        <value>text/html;charset=UTF-8</value>
                        <value>application/json;charset=UTF-8</value>
                    </list>
                </property>
                <property name="objectMapper">
                    <bean class="com.tqmall.web.converter.CustomObjectMapper" />
                </property>
            </bean>
        </mvc:message-converters>
    </mvc:annotation-driven>
2,自定义ObjectMapper,网上很多是继承JsonSerializer类,根据类名可知这是对序列化的json进行处理,也就是对出参的json进行转义,经过查找资料,才找到JsonDeserializer是对反序列化的json进行处理,也就是可对入参的json进行转义。

其中内部类JsonHtmlXssSerializer是对入参的json进行转义,JsonHtmlXssDeserializer是对出参的json进行转义,预访xss漏洞只需要一个,即转义入参或转义出参的任意一个就可以,这里只是把两种实现都贴出来了。

package com.tqmall.web.converter;
 
import com.fasterxml.jackson.core.JsonParser;
import com.fasterxml.jackson.databind.*;
import org.springframework.web.util.HtmlUtils;
import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.core.Version;
import com.fasterxml.jackson.databind.module.SimpleModule;
 
import java.io.IOException;
 
/**
 * @Author:fanyajie1
 * @Date:2019/5/6 18:59
 */
public class CustomObjectMapper extends ObjectMapper {
    private static final long serialVersionUID = -3448961813323784217L;
 
    public CustomObjectMapper() {
        SimpleModule module = new SimpleModule("XssStringJsonSerializer");
        module.addSerializer(new JsonHtmlXssSerializer(String.class));
        module.addDeserializer(String.class,new JsonHtmlXssDeserializer(String.class));
        this.registerModule(module);
    }
 
    /**
     * 对出参的json进行转义
     */
    class JsonHtmlXssSerializer extends JsonSerializer<String> {
 
        public JsonHtmlXssSerializer(Class<String> string) {
            super();
        }
 
        @Override
        public Class<String> handledType() {
            return String.class;
        }
        @Override
        public void serialize(String value, JsonGenerator jsonGenerator,
                              SerializerProvider serializerProvider) throws IOException{
            if (value != null) {
                String encodedValue = HtmlUtils.htmlEscape(value.toString());
                jsonGenerator.writeString(encodedValue);
            }
        }
    }
 
    /**
     * 对入参的json进行转义
     */
    class JsonHtmlXssDeserializer extends JsonDeserializer<String> {
 
        public JsonHtmlXssDeserializer(Class<String> string) {
            super();
        }
 
        @Override
        public Class<String> handledType() {
            return String.class;
        }
 
        @Override
        public String deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException, JsonProcessingException {
            String value = jsonParser.getValueAsString();
            if (value != null) {
                return HtmlUtils.htmlEscape(value.toString());
            }
            return value;
        }
    }
}
五、结语
网上还有很多解决json格式xss漏洞的方法,有重写filter中getInputStream方法,或者重载MappingJackson2HttpMessageConverter类的,或许是我在尝试的方法有问题,只有自定义ObjectMapper是正常的,如有问题,请批评指正。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/269676
推荐阅读
相关标签
  

闽ICP备14008679号