最終更新日:2013年12月26日
クロスサイト・スクリプティング(XSS)対策(Java編)
クロスサイト・スクリプティング(以下、XSS)の対策は以下の記事を参照してください。
これを Java で実現すると以下のようになります。
根本的対策
■1.HTTP レスポンスヘッダーに文字コードを指定する
Java でレスポンスヘッダーの Content-Type に文字コードを指定するには、サーブレットと JSP(Java Server Pages)で異なります。なお、動作環境は Tomcat を使用します。
・サーブレット
Tomcat ではデフォルトでサーブレットのレスポンスヘッダーに Content-Type を出力しません。ですので、以下のように自分で出力する必要があります。
|
1 |
resp.setContentType("text/html; charset=utf-8"); |
このサーブレットの Content-Type は以下のようになります
|
1 |
Content-Type:text/html;charset=utf-8 |
・JSP
Tomcat は JSP を表示する際、レスポンスヘッダーに Content-Type を UTF-8 でデフォルトで出力します(pageEncodingがutf-8の場合)。ですが、明示的に指定した方がよいでしょう。
JSP でレスポンスヘッダーに Content-Type を出力するには、Page ディレクティブで以下のように記述します。
|
1 |
<%@ page contentType="text/html; charset=utf-8" %> |
この JSP の Content-Type は以下のようになります。
|
1 |
Content-Type:text/html;charset=utf-8 |
■2.HTML 要素の属性は""(ダブルクオーテーション)で囲む
これはそのままですが、HTML の属性は''(シングルクォーテーション)ではなく、""(ダブルクオーテーション)で囲むようにしてください。
|
1 |
<a href="https://www.websec-room.com/">Webセキュリティの小部屋</a> |
■3.出力する全ての要素に対してエスケープ処理を行う
Java でエスケープ処理を行うために、Apache Commons lang 3のStringEscapeUtils#escapeHtml4 メソッドを利用します。このメソッドは、&<>" をエスケープしてくれます。
なお、2の対策で HTML の属性を""(ダブルクオーテーション)で囲んでいるため、''(シングルクォーテーション)はエスケープの必須要件にはなりません。
・サーブレット
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
import java.io.IOException; import java.io.PrintWriter; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.commons.lang3.StringEscapeUtils; public class XSS extends HttpServlet { @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { resp.setContentType("text/html; charset=utf-8"); PrintWriter out = resp.getWriter(); out.println("<html>"); out.println("<body>"); out.println(StringEscapeUtils.escapeHtml4("<script>alert('cookie'+document.cookie)</script>")); out.println("</body>"); out.println("</html>"); out.close(); } } |
・JSP
|
1 2 3 4 5 6 7 8 9 10 11 |
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ page import="org.apache.commons.lang3.StringEscapeUtils" %> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> </head> <body> <%=StringEscapeUtils.escapeHtml4("<script>alert('cookie'+document.cookie)</script>") %> </body> </html> |
このサーブレットとJSPを表示しても、&<>"はエスケープされるためスクリプトは実行されません。
■4.URL は「http://」か「https://」で始まるもののみ出力する
URL 判定の実装例は以下のようになります。
|
1 2 3 4 5 6 7 8 9 10 |
public class XSS { public static boolean isUrl(String url) { if (url.matches("http://.*") || url.matches("https://.*")) { return true; } else { return false; } } } |
■5.<script></script> 要素の内容を動的に生成しない
これはそのままですね。
保険的対策
■1.入力値のチェックを行う
XSS で危険な文字である、&<>"' が文字列に含まれているか正規表現でチェックする実装例です。
|
1 2 3 4 5 6 7 8 9 |
public class XSS { public static boolean hasXssChars(String str) { if (str.matches(".*[<>&\"'].*")){ return true; } else { return false; } } } |
■2.Cookie に HttpOnly 属性を付与する
Cookie に HttpOnly 属性を付与するには、サーブレットで以下のように記述します。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class XSS extends HttpServlet { @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { resp.setContentType("text/html; charset=UTF-8"); Cookie cookie = new Cookie("key", "value"); cookie.setHttpOnly(true); //HttpOnly属性付与 resp.addCookie(cookie); } } |
なお、Tomcat のセッション ID に HttpOnly 属性と secure 属性を付与する方法は、以下の記事を参照してください。
■3.Trace メソッドを無効化する
Apache の Trace メソッドを無効にするには、httpd.conf に以下の行を追加し、Apache を再起動します。
|
1 |
TraceEnable Off |
スポンサーリンク
カテゴリー:Webアプリケーションセキュリティ
Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー
コメントを残す