若依Plus 的XSSFilter 的bug

现象

当我A字段输入 '【】、=-·!@#~¥%......&*()------+{}|":》?《,./;'\][=-`~!@#$%^&*()_+{}|":>????????????????<

B字段输入'【】、=-·!@#~¥%......&*()------+{}|":》?《,./;'\][=-`~!@#$%^&*()_+{}|":>????????????????/>

发现A字段被截断,B字段为空

原因

原因在于XSSFilter中对PUT和POST请求XSS过滤,重新包装了请求头,防止XML攻击,

弊端在于,他传入的content是整段json,也就是A字段和B字段合并起来产生了HTML匹配,所以修改方案是,单个字段校验

java 复制代码
   public static String cleanHtmlTag(String content) {
        return content.replaceAll("(<[^<]*?>)|(<[\\s]*?/[^<]*?>)|(<[^<]*?/[\\s]*?>)", "");
    }

原XssHttpServletRequestWrapper过滤器的getInputStream

java 复制代码
    @Override
    public ServletInputStream getInputStream() throws IOException {
        // 非json类型,直接返回
        if (!isJsonRequest()) {
            return super.getInputStream();
        }

        // 为空,直接返回
        String json = StrUtil.str(IoUtil.readBytes(super.getInputStream(), false), StandardCharsets.UTF_8);
        if (StringUtils.isEmpty(json)) {
            return super.getInputStream();
        }

        // xss过滤
        json = HtmlUtil.cleanHtmlTag(json).trim();
        byte[] jsonBytes = json.getBytes(StandardCharsets.UTF_8);
        final ByteArrayInputStream bis = IoUtil.toStream(jsonBytes);
        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return true;
            }

            @Override
            public boolean isReady() {
                return true;
            }

            @Override
            public int available() throws IOException {
                return jsonBytes.length;
            }

            @Override
            public void setReadListener(ReadListener readListener) {
            }

            @Override
            public int read() throws IOException {
                return bis.read();
            }
        };
    }

修改后的

java 复制代码
 @Override
    public ServletInputStream getInputStream() throws IOException {
        // 非 JSON 类型,直接返回
        if (!isJsonRequest()) {
            return super.getInputStream();
        }

        // 读取原始 JSON
        String json = StrUtil.str(IoUtil.readBytes(super.getInputStream(), false), StandardCharsets.UTF_8);
        if (StringUtils.isEmpty(json)) {
            return super.getInputStream();
        }

        // ===== 新逻辑:针对 JSON 的每个 value 做 XSS 清理 =====
        ObjectMapper mapper = new ObjectMapper();
        Map<String, Object> map;
        try {
            map = mapper.readValue(json, new TypeReference<Map<String, Object>>() {});
        } catch (Exception e) {
            // JSON 解析失败,保守返回原始流
            return super.getInputStream();
        }

        // 遍历 Map,把每个 String 类型的 value 做清理
        for (Map.Entry<String, Object> entry : map.entrySet()) {
            if (entry.getValue() instanceof String) {
                entry.setValue(HtmlUtil.cleanHtmlTag((String) entry.getValue()).trim());
            }
        }

        // 序列化回 JSON
        byte[] jsonBytes = mapper.writeValueAsBytes(map);
        final ByteArrayInputStream bis = new ByteArrayInputStream(jsonBytes);

        // 返回新的 ServletInputStream
        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return true;
            }

            @Override
            public boolean isReady() {
                return true;
            }

            @Override
            public void setReadListener(ReadListener readListener) {}

            @Override
            public int available() throws IOException {
                return jsonBytes.length;
            }

            @Override
            public int read() throws IOException {
                return bis.read();
            }
        };
    }
相关推荐
callJJ16 天前
Volta + Claude Code 在 Windows 上的路径 Bug 复盘
windows·bug
xsc-xyc16 天前
记一次RK3568搭建NAS BUG:开发板插上 USB 移动硬盘没反应
bug
放风铃的兔子18 天前
我把 5 个 Python bug 投进 CubeSandbox 当沙盘 —— 从 envd 协议反编译到一键 RED→GREEN
bug·issue
zh_xuan18 天前
诡异Bug:输入框删除字符,却越删越多
android·bug
绘梨衣54719 天前
采集基类设计遇到的描述符bug
爬虫·python·bug
不吃鱼的羊19 天前
达芬奇工具Bug
bug
油炸自行车19 天前
【bug】Qt 6 Q_NAMESPACE 跨 DLL 链接错误:LNK2019 无法解析 staticMetaObject
数据库·c++·qt·bug·link2019·q_namespace_exp·namespaceexport
sxd200120 天前
Debian #1135514 bug引发的思考
网络·debian·bug
疏狂难除22 天前
X86-64 Assembly中printf 打印 float 和 double的bug的解决
bug·assembly
nashane23 天前
HarmonyOS 6学习:指南针“文图反向”Bug修复——从“北偏东”变“北偏西”的坐标系纠错
学习·华为·bug·harmonyos