彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
目录
一,背景
二,名词解释
三,xss修复的一般处理方法
四、扩展jackson定制自己的objectMapper处理json出入参的转义
五、结语
一,背景
昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求的xss注入和post请求非json的注入,但是我们的注册页面保存接口的入参是json格式的,所以没有处理到。最后经过各种查找资料、阅读springmvc的源码和偿试,终于解决了,能够对入参和出参(包括json格式)进行转义的方法。
二,名词解释
xss是跨站脚本攻击。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。比如在页面的input输入框中输入一段js代码,如果没有做任何处理就保存到数据库,在页面回显时就会直接执行这段js,导致cookie盗取,钓鱼劫持等风险。
三,xss修复的一般处理方法
springmvc中常见的是用Filter来预防 , 就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法,在获取参数时对参数中的字符串进行转义,来进行XSS判断预防。网上很多说的是这种方法,但是这种方式不能对json格式的入参进行转义,所以还是存在问题的。
1,XssFilter
package com.xss.web.filter;
import com.tqmall.web.converter.XssStringJsonSerializer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Primary;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import org.springframework.stereotype.Component;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
/**
* 跨站脚本攻击过滤器
*
*
*/
public class XssFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
// TODO Auto-generated method stub
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
// TODO Auto-generated method stub
chain.doFilter(new XssRequestWrapper((HttpServletRequest) request), response);
}
@Override
public void destroy() {
// TODO Auto-generated method stub
}
}
2,在web.xml中添加filter
跨站脚本攻击过滤器
XssFilter
com.xss.web.filter.XssFilter
XssFilter
/*
3,XssRequestWrapper
package com.xss.web.filter;
import com.alibaba.fastjson.JSON;
import com.sun.xml.internal.bind.v2.TODO;
import org.springframework.web.util.HtmlUtils;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.Map;
/**
* 跨站脚本请求包装器,将html脚本转译成普通字符串
*
*
*/
public class XssRequestWrapper extends HttpServletRequestWrapper {
public XssRequestWrapper(HttpServletRequest request) {
super(request);
}
@Override
public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = cleanXSS(values[i]);
}
return encodedValues;
}
@Override
public String getHeader(String name) {
String value = super.getHeader(name);
return cleanXSS(value);
}
/**
* 转译get入参,防止站点脚本注入
*/
@Override
public String getParameter(String parameter) {
String value = super.getParameter(parameter);
return cleanXSS(value);
}
private String cleanXSS(String value) {
if(value!=null){
value = HtmlUtils.htmlEscape(value);
}
return value;
}
}
四、扩展jackson定制自己的objectMapper处理json出入参的转义
大家都知道,springmvc是通过MappingJackson2HttpMessageConverter对json进行序列化和反序列化的,所以我们可以自定义objectMapper对json中的字符中进行转义。
1,spring-mvc.xml
text/html;charset=UTF-8
application/json;charset=UTF-8
2,自定义ObjectMapper,网上很多是继承JsonSerializer类,根据类名可知这是对序列化的json进行处理,也就是对出参的json进行转义,经过查找资料,才找到JsonDeserializer是对反序列化的json进行处理,也就是可对入参的json进行转义。
其中内部类JsonHtmlXssSerializer是对入参的json进行转义,JsonHtmlXssDeserializer是对出参的json进行转义,预访xss漏洞只需要一个,即转义入参或转义出参的任意一个就可以,这里只是把两种实现都贴出来了。
package com.xss.web.converter;
import com.fasterxml.jackson.core.JsonParser;
import com.fasterxml.jackson.databind.*;
import org.springframework.web.util.HtmlUtils;
import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.core.Version;
import com.fasterxml.jackson.databind.module.SimpleModule;
import java.io.IOException;
/**
* @Date:2019/5/6 18:59
*/
public class CustomObjectMapper extends ObjectMapper {
private static final long serialVersionUID = -3448961813323784217L;
public CustomObjectMapper() {
SimpleModule module = new SimpleModule("XssStringJsonSerializer");
module.addSerializer(new JsonHtmlXssSerializer(String.class));
module.addDeserializer(String.class,new JsonHtmlXssDeserializer(String.class));
this.registerModule(module);
}
/**
* 对出参的json进行转义
*/
class JsonHtmlXssSerializer extends JsonSerializer {
public JsonHtmlXssSerializer(Class string) {
super();
}
@Override
public Class handledType() {
return String.class;
}
@Override
public void serialize(String value, JsonGenerator jsonGenerator,
SerializerProvider serializerProvider) throws IOException{
if (value != null) {
String encodedValue = HtmlUtils.htmlEscape(value.toString());
jsonGenerator.writeString(encodedValue);
}
}
}
/**
* 对入参的json进行转义
*/
class JsonHtmlXssDeserializer extends JsonDeserializer {
public JsonHtmlXssDeserializer(Class string) {
super();
}
@Override
public Class handledType() {
return String.class;
}
@Override
public String deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException, JsonProcessingException {
String value = jsonParser.getValueAsString();
if (value != null) {
return HtmlUtils.htmlEscape(value.toString());
}
return value;
}
}
}
五、结语
网上还有很多解决json格式xss漏洞的方法,有重写filter中getInputStream方法,或者重载MappingJackson2HttpMessageConverter类的,或许是我在尝试的方法有问题,只有自定义ObjectMapper是正常的,如有问题,请批评指正。
参考资料:
https://blog.csdn.net/zhuangnet/article/details/78744004
http://ju.outofmemory.cn/entry/63726
https://www.songma.com/news/txtlist_i24361v.html
https://www.zhihu.com/question/32486587
https://blog.csdn.net/wysnxzm/article/details/83339927
http://unclechen.github.io/2019/01/02/Jackson%E8%87%AA%E5%AE%9A%E4%B9%89%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96Deserializer/