Spring MVC里面的预防 SQL 注入

xss

关于xss的介绍可以看这个和这个网页，具体我就讲讲Spring
MVC里面的预防：

web.xml加上：

<context-param>

   <param-name>defaultHtmlEscape</param-name>

   <param-value>true</param-value>
</context-param>

Forms加上：

<spring:htmlEscape defaultHtmlEscape="true" />

 

更多信息查看OWASP的页面

 

第二种方法是手动escape，例如用户可以输入：<script>alert()</script> 或者输入<h2>abc<h2>，如果有异常，显然有xss漏洞。

首先添加一个jar包：commons-lang-2.5.jar ，然后在后台调用这些函数：StringEscapeUtils.escapeHtml(string); StringEscapeUtils.escapeJavaScript(string); StringEscapeUtils.escapeSql(string);

前台js调用escape函数即可。

 

第三种方法是后台加Filter，对每个post请求的参数过滤一些关键字，替换成安全的，例如：< > ' " \ /  # &

方法是实现一个自定义的HttpServletRequestWrapper，然后在Filter里面调用它，替换掉getParameter函数即可。

首先添加一个XssHttpServletRequestWrapper:

package com.ibm.web.beans;

import java.util.Enumeration;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  

    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {

        super(servletRequest);

    }

    public String[] getParameterValues(String parameter) {

      String[] values = super.getParameterValues(parameter);

      if (values==null)  {

                  return null;

          }

      int count = values.length;

      String[] encodedValues = new String[count];

      for (int i = 0; i < count; i++) {

                 encodedValues[i] = cleanXSS(values[i]);

       }

      return encodedValues;

    }

    public String getParameter(String parameter) {

          String value = super.getParameter(parameter);

          if (value == null) {

                 return null;

                  }

          return cleanXSS(value);

    }

    public String getHeader(String name) {

        String value = super.getHeader(name);

        if (value == null)

            return null;

        return cleanXSS(value);

    }

    private String cleanXSS(String value) {

                //You'll need to remove the spaces from the html entities below
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");

        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");

        value = value.replaceAll("'", "& #39;");

        value = value.replaceAll("eval\\((.*)\\)", "");

        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("script", "");

        return value;

    }

    private String cleanSQL(String value) {
return StringEscapeUtils.escapeSql(value);
}

} 

然后添加一个过滤器XssFilter ：

package com.ibm.web.beans;

import java.io.IOException;  

import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;

public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    public void init(FilterConfig filterConfig) throws ServletException {

        this.filterConfig = filterConfig;

    }

    public void destroy() {

        this.filterConfig = null;

    }

    public void doFilter(ServletRequest request, ServletResponse response,

            FilterChain chain) throws IOException, ServletException {

        chain.doFilter(new XssHttpServletRequestWrapper(

                (HttpServletRequest) request), response);

    }

}

最后在web.xml里面配置一下，所有的请求的getParameter会被替换，如果参数里面 含有敏感词会被替换掉：

  <filter>

     <filter-name>XssSqlFilter</filter-name>

     <filter-class>com.ibm.web.beans.XssFilter</filter-class>

  </filter>

  <filter-mapping>

     <filter-name>XssSqlFilter</filter-name>

     <url-pattern>/*</url-pattern>

     <dispatcher>REQUEST</dispatcher>

  </filter-mapping>

 (这个Filter也可以防止SQL注入攻击) 

 

登录页面的攻击例子

假设登录页面有个输入用户名和密码的输入框，可以有很多Xss/csrf/注入钓鱼网站/SQL等的攻击手段，例如：

 输入用户名 :    >"'><script>alert(1779)</script>

 输入用户名:     usera>"'><img src="javascript:alert(23664)">

 输入用户名:     "'><IMG SRC="/WF_XSRF.html--end_hig--begin_highlight_tag--hlight_tag--">

 输入用户名:     usera'"><iframe src=http://demo.testfire.net--en--begin_highlight_tag--d_highlight_tag-->