Notice
Recent Posts
Recent Comments
Link
아님말고
[gradle] spring boot + XSS filter 설정 본문
네이버의 lucy 라이브러리를 이용하여 xss filter을 적용해보자
공식문서 : GitHub - naver/lucy-xss-servlet-filter
1. 라이브러리 가져오기
implementation 'com.navercorp.lucy:lucy-xss-servlet:2.0.1'
2. lucy-xss-servlet-filter-rule.xml 설정
<?xml version="1.0" encoding="UTF-8"?>
<config xmlns="http://www.navercorp.com/lucy-xss-servlet">
<defenders>
<!-- XssPreventer 등록 -->
<defender>
<name>xssPreventerDefender</name>
<class>com.navercorp.lucy.security.xss.servletfilter.defender.XssPreventerDefender</class>
</defender>
<!-- XssSaxFilter 등록 -->
<defender>
<name>xssSaxFilterDefender</name>
<class>com.navercorp.lucy.security.xss.servletfilter.defender.XssSaxFilterDefender</class>
<init-param>
<param-value>lucy-xss-sax.xml</param-value> <!-- lucy-xss-filter의 sax용 설정파일 -->
<param-value>false</param-value> <!-- 필터링된 코멘트를 남길지 여부, 성능 효율상 false 추천 -->
</init-param>
</defender>
<!-- XssFilter 등록 -->
<defender>
<name>xssFilterDefender</name>
<class>com.navercorp.lucy.security.xss.servletfilter.defender.XssFilterDefender</class>
<init-param>
<param-value>lucy-xss.xml</param-value> <!-- lucy-xss-filter의 dom용 설정파일 -->
<param-value>false</param-value> <!-- 필터링된 코멘트를 남길지 여부, 성능 효율상 false 추천 -->
</init-param>
</defender>
</defenders>
<!-- default defender 선언, 별다른 defender 선언이 없으면 default defender를 사용해 필터링 한다. -->
<default>
<defender>xssPreventerDefender</defender>
</default>
<!-- global 필터링 룰 선언 -->
<global>
<!-- 모든 url에서 들어오는 globalParameter 파라메터는 필터링 되지 않으며
또한 globalPrefixParameter로 시작하는 파라메터도 필터링 되지 않는다. -->
<params>
<param name="globalParameter" useDefender="false" />
<param name="globalPrefixParameter" usePrefix="true" useDefender="false" />
</params>
</global>
<!-- url 별 필터링 룰 선언 -->
<url-rule-set>
<!-- url disable이 true이면 지정한 url 내의 모든 파라메터는 필터링 되지 않는다. -->
<url-rule>
<url disable="true">/disableUrl1.do</url>
</url-rule>
<!-- url1 내의 url1Parameter는 필터링 되지 않으며 또한 url1PrefixParameter로 시작하는 파라메터도 필터링 되지 않는다. -->
<url-rule>
<url>/url1.do</url>
<params>
<param name="url1Parameter" useDefender="false" />
<param name="url1PrefixParameter" usePrefix="true" useDefender="false" />
</params>
</url-rule>
<!-- url2 내의 url2Parameter1만 필터링 되지 않으며 url2Parameter2는 xssSaxFilterDefender를 사용해 필터링 한다. -->
<url-rule>
<url>/url2.do</url>
<params>
<param name="url2Parameter1" useDefender="false" />
<param name="url2Parameter2">
<defender>xssSaxFilterDefender</defender>
</param>
</params>
</url-rule>
</url-rule-set>
</config>
3. 문자 변환 class 만들기
public class XSSCharacterEscapes extends CharacterEscapes {
private final int[] asciiEscapes;
public XSSCharacterEscapes() {
asciiEscapes = CharacterEscapes.standardAsciiEscapesForJSON();
asciiEscapes['<'] = CharacterEscapes.ESCAPE_CUSTOM;
asciiEscapes['>'] = CharacterEscapes.ESCAPE_CUSTOM;
asciiEscapes['&'] = CharacterEscapes.ESCAPE_CUSTOM;
asciiEscapes['\"'] = CharacterEscapes.ESCAPE_CUSTOM;
asciiEscapes['('] = CharacterEscapes.ESCAPE_CUSTOM;
asciiEscapes[')'] = CharacterEscapes.ESCAPE_CUSTOM;
asciiEscapes['#'] = CharacterEscapes.ESCAPE_CUSTOM;
asciiEscapes['\''] = CharacterEscapes.ESCAPE_CUSTOM;
}
@Override
public int[] getEscapeCodesForAscii() {
return asciiEscapes;
}
@Override
public SerializableString getEscapeSequence(int ch) {
return new SerializedString(StringEscapeUtils.escapeHtml4(Character.toString((char)ch)));
}
}
4. filter 등록하기
@Configuration
@Slf4j
@RequiredArgsConstructor
public class XSSConfig implements WebMvcConfigurer {
private final ObjectMapper objectMapper;
@Bean
public FilterRegistrationBean<XssEscapeServletFilter> filterRegistrationBean() {
FilterRegistrationBean<XssEscapeServletFilter> filterRegistration = new FilterRegistrationBean<>();
filterRegistration.setFilter(new XssEscapeServletFilter());
filterRegistration.setOrder(1);
filterRegistration.addUrlPatterns("/*");
return filterRegistration;
}
@Bean
public MappingJackson2HttpMessageConverter jsonEscapeConverter() {
ObjectMapper copy = objectMapper.copy();
copy.getFactory().setCharacterEscapes(new XSSCharacterEscapes());
return new MappingJackson2HttpMessageConverter(copy);
}
}
web.xml 에 filter을 등록하지 않고 스프링의 bean으로 filter을 등록한다.
filterRegistrationBean() 메소드
일반적인 parameter들은 lucy의 XssEscapeServletFilter을 이용하여 escape 되도록 filter를 bean으로 등록해준다.
jsonEscapeConverter() 메소드
lucy의 단점은 requestBody의 json은 filtering하지 못한다. 그래서 response 할때 escape 하는 bean을 등록해준다.
스프링은 리턴시 ResponseBody를 사용하게되면 HttpMessageConverter가 동작하게 된다.
String과 같은 기본 문자처리는 StringHttpMessageConverter를 이용하게되고, 객체의 경우에는 MappingJackson2HttpMessageConverter를 이용하게된다.
객체 converter인 MappingJackson2HttpMessageConverter 에서 escape 하도록 처리한다.
참고
세상에서 가장 쉽게 최신 Spring Boot에 Lucy XSS 필터 적용하기 (velog.io)
[Spring] HttpMessageConverter가 적용되는 시점에 대해 — 파즈의 공부 일기 (tistory.com)
'Java' 카테고리의 다른 글
[AWS] DynamoDB + Spring boot 연동하기 (0) | 2023.08.03 |
---|---|
[AWS] AWS SDK For Java 버전1과 2의 차이 (0) | 2023.08.02 |
[AWS] KMS을 이용한 DB 암복호화 (with Mybatis) (0) | 2023.05.24 |
헥사고날 아키텍처 (0) | 2023.05.11 |
[JWT] token secret key 생성 (0) | 2023.05.10 |
Comments