我如何防止人们在 Spring MVC 中执行 XSS？

我通过 @Valid 使用 Hibernate Validator — 用于所有输入对象（绑定和 @RequestBody json，参见 https://dzone.com/articles/spring-31-valid-requestbody ）。所以 @org.hibernate.validator.constraints.SafeHtml 对我来说是一个很好的解决方案。

Hibernate SafeHtmlValidator 依赖于 org.jsoup ，所以需要多加一个项目依赖：

 <dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.10.1</version>
</dependency>

对于 bean User 带字段

@NotEmpty
@SafeHtml
protected String name;

在控制器中尝试更新值 <script>alert(123)</script>

 @PutMapping(value = "/{id}", consumes = MediaType.APPLICATION_JSON_VALUE)
public void update(@Valid @RequestBody User user, @PathVariable("id") int id)

或者

@PostMapping
public void createOrUpdate(@Valid User user) {

抛出 BindException 用于绑定和 MethodArgumentNotValidException 用于 @RequestBody 带有默认消息：

 name may have unsafe html content

验证器也适用于绑定，就像在持久化之前一样。可以在 http://topjava.herokuapp.com/ 测试应用程序

更新：另请参阅@GuyT 的评论

CVE-2019-10219 和@SafeHtml 的状态

我们已获悉与 @SafeHtml 约束相关的 CVE-2019-10219，它已在 6.0.18.Final 和 6.1.0.Final 中修复….

然而，我们得出的结论是，@SafeHtml 约束是脆弱的、高度安全敏感的，并且依赖于并非为此目的而设计的外部库。将它包含在核心 Hibernate Validator 中并不是一个好主意。这就是我们弃用它并将其标记为删除的原因。这里没有神奇的计划，所以我们的用户将不得不自己维护这个约束

为自己恢复：它是安全的，可以使用，直到找到更好的解决方案。

更新：由于删除 @SafeHtml/SafeHtmlValidator 从 hibernate.validator 使用自己的 NoHtmlValidator ，请参阅 https://stackoverflow.com/a8460/618

原文由 Grigory Kislin 发布，翻译遵循 CC BY-SA 4.0 许可协议