質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.51%

  • Java

    15788questions

    Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。

  • Spring

    834questions

    Spring Framework は、Javaプラットフォーム向けのオープンソースアプリケーションフレームワークです。 Java Platform上に、 Web ベースのアプリケーションを設計するための拡張機能が数多く用意されています。

  • Spring Boot

    721questions

    Spring Bootは、Javaのフレームワークの一つ。Springプロジェクトが提供する様々なフレームワークを統合した、アプリケーションを高速で開発するために設計されたフレームワークです。

  • Thymeleaf

    192questions

    Thymeleaf(タイムリーフ)とは、Java用のテンプレートエンジンで、特定のフレームワークに依存せず使用することが可能です。

  • Spring Security

    38questions

Spring Securityのcsrf対策の設定をいれるとそのトークンがxssの脆弱になる

受付中

回答 0

投稿 編集

  • 評価
  • クリップ 2
  • VIEW 428

sho_jonas

score 69

現在Spring bootを使って開発をしており
その中でSpring Securityも使用しています。

Spring Securityで脆弱性の対応をしたいと考えており
csrf対策の設定をいれて自動でtokenを埋め込まれるようになりました。

しかし、その設定をいれると_csrfという名前でhiddenで埋め込まれるのですが その項目がthymeleafでいうところのth:textではなくth:utextの挙動になっており XSSが出来てしまいます。
どうにかth:utextではなくth:textで埋め込んでくれる方法は無いのでしょうか。
記載内容に誤りがあり修正させていただきます。申し訳ございません。
正しくは、フォーム内の_csrfの項目にalertなどを埋め込んでsubmitしても
403になりエラー画面を表示する仕組みを通りXSSは発生しません。
ただ、restClientなどで_csrfの項目にalertをいれるとresponseがjsonになり
画面で表示するとscriptが発火してしまいます。

色々調べては見たもののみつからず悩んでいる状況です。
ご教授お願い致します。


・サンプル

{
  "timestamp":1111111111111,
  "status":403,
  "error":"Forbidden",
  "message":"Invalid CSRF Token '<script>var a = 123;alert(a)</script>' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.",
  "path":"/hoge/"}

・環境
spring boot 1.5.8.RELEASE
spring 4.3.12.RELEASE 
java 1.8
spring security 4.2.3.RELEASE
thymeleaf 2.1.5.RELEASE
tomcat 8.5.23

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正の依頼

  • asahina1979

    2019/01/21 18:23

    $(selector).html( ) でエラーメッセージを設定するからいけないんじゃろ。きっと

    キャンセル

  • sho_jonas

    2019/01/21 18:54

    > asahina1979さん
    json形式でレスポンスが返ってくる場合に自動でブラウザ(?)がhtmlをパースしてしまうのはどうすればいいのでしょうか。。

    キャンセル

  • asahina1979

    2019/01/22 08:16

    jsonで返された結果、あなたのコードでhtmlとして追加されてるはずですよ。

    ajaxの通信を発行してる回りを公開しましょう

    キャンセル

まだ回答がついていません

同じタグがついた質問を見る

  • Java

    15788questions

    Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。

  • Spring

    834questions

    Spring Framework は、Javaプラットフォーム向けのオープンソースアプリケーションフレームワークです。 Java Platform上に、 Web ベースのアプリケーションを設計するための拡張機能が数多く用意されています。

  • Spring Boot

    721questions

    Spring Bootは、Javaのフレームワークの一つ。Springプロジェクトが提供する様々なフレームワークを統合した、アプリケーションを高速で開発するために設計されたフレームワークです。

  • Thymeleaf

    192questions

    Thymeleaf(タイムリーフ)とは、Java用のテンプレートエンジンで、特定のフレームワークに依存せず使用することが可能です。

  • Spring Security

    38questions