防止 Spring MVC 控制器中的 XSS

2024-01-08

您好，在我的项目 Veracode 中报告了 XSS 问题 CWE ID 80。在我的请求处理程序方法中：

@RequestMapping(value = "/Update.mvc")
public @ResponseBody String execute(@ModelAttribute UpdateForm updateForm, BindingResult result,
       HttpServletRequest request, HttpServletResponse response) throws ActionException {
    return executeAjax(updateForm, request, response, result);
}

那么executeAjax来自一个抽象类并且有不同的实现？在这些实现中，来自表单的用户输入被获取并被操纵以构造返回的字符串。

所以我的问题是：难道Veracode的假设是在实现中可以有XSS吗？还是一般的东西？ - 如何防止这种情况发生？我总是使用转换输入数据，并且当用户输入它时它不会返回？ - 那么如何预防呢？ - 我是否必须转义 HttpServiceRequest 中的所有标头/请求参数？

Edit:我是否必须使用以下过滤器：安全包装请求 https://github.com/ESAPI/esapi-java-legacy/blob/2ff45b140a7e7b527a93bcdbc6bd7a1b3c188aca/src/main/java/org/owasp/esapi/filters/SecurityWrapperRequest.java

您可以使用XSSFilter来转义所有请求参数。看here https://www.javacodegeeks.com/2012/07/anti-cross-site-scripting-xss-filter.html

public class XSSFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
    }

}

和包装纸

import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XSSRequestWrapper extends HttpServletRequestWrapper {

    public XSSRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);

        if (values == null) {
            return null;
        }

        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = stripXSS(values[i]);
        }

        return encodedValues;
    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);

        return stripXSS(value);
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return stripXSS(value);
    }

    private String stripXSS(String value) {
        if (value != null) {
            // NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to
            // avoid encoded attacks.
            // value = ESAPI.encoder().canonicalize(value);

            // Avoid null characters
            value = value.replaceAll("", "");

            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid anything in a src='...' type of expression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid eval(...) expressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid expression(...) expressions
            scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid javascript:... expressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid vbscript:... expressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid onload= expressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
}

实际上，您可以使用过滤器作为基础并扩展它以向包装器添加任何所需的逻辑。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

防止 Spring MVC 控制器中的 XSS 的相关文章

启动Java项目时发生类冲突：ClassMetadataReadingVisitor将接口org.springframework.asm.ClassVisitor作为超类

我正在使用最新的Spring框架版本 3 2 2 RELEASE 开发一个Java Web项目但是现在项目启动时遇到了问题详细错误是 java lang IncompleteClassChangeError 类 org springfr
集群中的spring集成+cron+quartz？

我有一个由 cron 表达式触发的 spring 集成流程如下所示
javax.persistence.TransactionRequiredException：没有可用于当前线程的实际事务的 EntityManager

我使用 Hibernate 创建了我的第一个 Spring MVC 项目我的 DAO 层使用 JPA EntityManager 与数据库交互 GenericDao java Repository public abstract clas
尝试使用 Spring 和扩展 Hibernate JpaRepository 的自定义 GenericDao 接口来使用 EhCache

背景这是我的工作简化 GenericDao接口由任何实现DomainDao 通用Dao java NoRepositoryBean public interface GenericDao
org.springframework.web.servlet.DispatcherServlet noHandlerFound（未找到映射）

我的jsps位于 WEB INF jsp 下以下是我的web xml
如何让 Spring 控制器从 POJO 返回 CSV？ [复制]

这个问题在这里已经有答案了给定一个简单的 Java 对象 public class Pojo private String x private String y private String z getters setters 是否有一些
Spring Boot 1.4：Liquibase完成后的执行方法

我有一个基于 Spring Boot 1 4 0 的项目该项目使用 Liquibase liquibase 完成后是否可以执行方法像 Bean 后处理器之类的东西我想要做的是当应用程序在开发模式下启动时向我的数据库添加一些数据在开发
Spring cron 表达式每 30 分钟一次

Java spring 我有以下 cron 作业的 cron 表达式 0 0 35 但上面提到的 cron 表达式每小时触发一次如下所示 1 35 2 35 3 35 4 35 我想每 35 分钟触发一次而不是一小时触发一次有什么快速
如何使用 Hibernate 3 带注释的类配置 Spring Security 2 数据库身份验证？

我正在使用 Hibernate 3 带有 JPA 注释 Spring 2 5 和 Spring Security 2 0 5 构建一个应用程序我想知道我需要在我的
如何使用 spring data mongodb mongotemplate 插入嵌入文档

我需要在现有的事件文档中插入一个新的轨道下面是我的类结构 class Event String id List
如何在java Spring Boot中实现通用服务类？

我有许多具有重复代码的服务我想知道如何实现通用服务以便我的所有服务都可以扩展它服务接口示例重复代码 Service public interface IUserService List
Spring数据中的本机查询连接

我有课 Entity public class User Id Long id String name ManyToMany List
如何通过注解用try-catch包装方法？

如果应该在方法调用中忽略异常则可以编写以下内容 public void addEntryIfPresent String key Dto dto try Map
从休眠乐观锁定异常中恢复

我有一个这样的方法 Transactional propagation Propagation REQUIRES NEW public void doSomeWork Entity entity dao loadEntity do some
集成 Spring Webflow 2 和 Apache Tiles [关闭]

Closed 这个问题正在寻求书籍工具软件库等的推荐不满足堆栈溢出指南 help closed questions 目前不接受答案我最近开始升级一些应用程序以使用 Spring Webflow 2 并且我想利用 Webflow 2
Spring - 拦截 bean 创建并注入自定义代理

我有一个 Controller with Autowired我想用自定义注释来注释的字段和处理程序方法例如 Controller public class MyController Autowired public MyDao myDao
Spring 术语中命令、表单、业务和实体对象之间的区别？

我试图理解这些对象在松散耦合系统方面的差异业务对象与实体对象相同吗我可以使用 MVC 中的业务或实体对象作为我的命令对象吗命令对象与表单对象相同吗只是寻找 Spring 术语和用法中对象类型的说明我在 stackoverflow
Spring使用实体管理器实现分页

如何在 Spring hibernate 项目中实现分页以下是代码我将获得 PageRequest 对象并且我想返回项目页面 Repository public class ItemRepository PersistenceCont
activemq 的优先级

我们目前正在使用 JMS 和 activemq 5 5 1 开发一个应用程序我们想为某些消息定义更高的优先级这将使它们首先被消耗设置生产者和消费者后通过spring 3 1 JMSTemplate 优先级并不能完全发挥作用事实上
如何配置嵌入式 MongoDB 以在 Spring Boot 应用程序中进行集成测试？

我有一个相当简单的 Spring Boot 应用程序它公开一个小型 REST API 并从 MongoDB 实例检索数据对 MongoDB 实例的查询通过基于 Spring Data 的存储库下面的一些关键代码 Main applic

随机推荐

Browserify 不起作用 - 为什么？

我将以下代码浏览到bundle js 并将其包含在我的前端在加载任何其他 js 文件之前我浏览器化的文件就是这样的 var firebase require firebase 然后我在前端包含的下一个文件中对该变量调用authoriz
如何在 Intellij Idea 中使用自定义 sbt 版本？

我有一个 scala sbt 项目当我在 intellij 中打开终端并执行 sbt sbtVersion 时我看到 0 13 8 我想使用我自己的本地安装版本 0 13 5 当我打开新的命令提示符时我看到 sbt 版本是 0 13
托管身份 - 如何在本地调试

我正在使用以下代码在我的 Web 应用程序上测试系统托管身份当我在 Azure 中部署时它工作正常但有没有办法在本地进行测试无需向我的 Azure 帐户授予该资源的权限 AzureServiceTokenProvider azureS
由 NullPointerException 引起的一般错误 [50000-175]

我在客户端服务器模式下使用 H2 数据库服务器运行版本为 1 3 175 客户端运行版本为 1 3 168 一切似乎工作正常但执行一些查询时出现异常 org h2 jdbc JdbcSQLException 一般错误 java lan
Java中如何移动数组中的位置？

一个简单地移动数组元素的程序两个变量 userInputVariable and blankSpaceVariable 我有一个名为 table 的二维数组定义为table userInputVariable 1 6 我以表格格式打印这
如何在类中正确实现 Set 作为属性？

假设我有以下示例 TDelphiIDECompatibility Delphi1 Delphi2 Delphi3 从类中我如何将上述内容正确实现为属性我的想法是在我的组件中我希望有一个字段允许您为集合中的某些元素选择 True 或
如何在重定向到另一个页面之前显示加载图像？

我有一个要加载的图像我正在使用 onclick 方法进行重定向因此当有人单击 div 时会将他们带到另一个页面当页面重定向到另一个图像时我如何能够加载 loading gif 图像我真的很想使用它因为这对用户更加友好而且我的
如何在 svg 路径中添加图像？

我想将图像添加到 SVG 路径我在某种程度上尝试过但它是一个半生不熟的代码并且图像没有采用正确的 SVG 形状下面是该内容的 HTML div class top fold div class curve img div div
使用 MySQL 空间数据获取 Google 地图上最近的地点

我有一个数据库其中包含商店列表以及每个商店的纬度和经度因此根据我输入的当前纬度经度位置我想获取某个半径如 1 公里 5 公里等内的项目列表算法应该是什么我需要算法本身的 PHP 代码您只需要使用以下查询例如您输入
使用 System.Text.Json 有条件地将对象序列化为单个字符串

我正在用 C 开发 ActivityPub 实现有时链接是像 url 链接一样的字符串有时链接是具有 Link 子类型的对象链接实体我想知道如果一组特定条件为真只需将一个字符串写入编写器是否有可能使用 System Text
Symfony2 Capifony 部署 setfacl 缓存目录不允许操作

我正在使用 Capifony 多阶段部署将我的 Symfony2 Web 应用程序部署到 AWS 上托管的 Ubuntu 计算机上的 Apache Web 服务器上我有用户设置 set user ubuntu 以及缓存设置的可写目录如下
VS 2012 IIS Express 8 - 无法启动 IIS Express Web 服务器

我试图在 IIS Express 8 中运行 MVC 4 项目因为这显然是 VS 2012 附带的每次我尝试从 VS 运行它时都会收到以下错误无法启动 IIS Express Web 服务器 14 53 48 错误无法初始化 OL
如何在 Objective-C 中模拟受保护的属性和方法 [重复]

这个问题在这里已经有答案了可能的重复 Objective c 中的受保护方法 https stackoverflow com questions 3725857 protected methods in objective c 声明私有属
为什么转换（unsigned long long）DBL_MAX（或FLT_MAX）也会导致FE_INEXACT的升高？

代码 t1 c include
在页面激活上启动工作流程，而无需激活 CQ5 中的页面

每当内容作者在页面上单击激活时我都需要调用工作流程然后工作流将向管理员发送通知然后管理员继续激活该页面让我更详细地解释一下这有 2 部分 i 每当内容作者完成页面修改后他就会继续单击激活页面来自 sidekick 或站
Rails - 部署中的失败路由

我有一个应用程序其路由文件中包含以下内容 namespace admin do ADMINISTRATIVE ROUTES ONLY root to gt home index resources comments do member d
PySpark：向数据框行元素添加新字段

我有以下元素 a Row ts 1465326926253 myid u 1234567 mytype u good Row是Spark数据框架的Row类我想追加一个新字段a 以便a看起来像 a Row ts 1465326926253
c#：与文件扩展名关联的图标

在我的应用程序中我创建扩展名为 mprj 的文件如何为这种类型的文件分配图标是否存在合适的 Net 方法您需要修改注册表项可以在此处找到如何使用 C 的代码片段 http mel green com 2009 04 c set f
如何管理 std::list 元素作为引用？

我有以下代码 struct Foo int var1 int var2 friend std ostream operator lt lt std ostream os const Foo s return os lt lt Foo lt
防止 Spring MVC 控制器中的 XSS

您好在我的项目 Veracode 中报告了 XSS 问题 CWE ID 80 在我的请求处理程序方法中 RequestMapping value Update mvc public ResponseBody String execute

防止 Spring MVC 控制器中的 XSS

防止 Spring MVC 控制器中的 XSS 的相关文章

随机推荐

热门标签