JSP过滤器防止Xss漏洞的实现方法(分享)

在用java进行web业务开发的时候，对于页面上接收到的参数，除了极少数是步可预知的内容外，大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞，都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一，加上在编写代码的过程中安全意识的差异，可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下，因此可以使用一个适用大多数业务场景的通用处理方法，牺牲少量用户体验，来避免Xss漏洞和SQL注入。

那就是利用Servlet的过滤器机制，编写定制的XssFilter，将request请求代理，覆盖getParameter和getHeader方法将参数名和参数值里的指定半角字符，强制替换*角字符。使得在业务层的处理时不用担心会有异常输入内容。

Filter负责将请求的request包装一下。

XssFilter.Java

package filter; 
 
import java.io.IOException; 
 
import javax.servlet.Filter; 
import javax.servlet.FilterChain; 
import javax.servlet.FilterConfig; 
import javax.servlet.ServletException; 
import javax.servlet.ServletRequest; 
import javax.servlet.ServletResponse; 
import javax.servlet.http.HttpServletRequest; 
 
public class XssFilter implements Filter { 
 
public void init(FilterConfig config) throws ServletException { 
} 
 
public void doFilter(ServletRequest request, ServletResponse response, 
FilterChain chain) throws IOException, ServletException  
{ 
XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper( 
(HttpServletRequest) request); 
chain.doFilter(xssRequest, response); 
} 
 
public void destroy() { 
} 
} 

request包装器，负责过滤掉非法的字符。

XssHttpServletRequestWrapper.java

package filter; 
import javax.servlet.http.HttpServletRequest; 
import javax.servlet.http.HttpServletRequestWrapper; 
 
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { 
HttpServletRequest orgRequest = null; 
 
public XssHttpServletRequestWrapper(HttpServletRequest request) { 
super(request); 
orgRequest = request; 
} 
 
/** 
* 覆盖getParameter方法，将参数名和参数值都做xss过滤。<br/> 
* 如果需要获得原始的值，则通过super.getParameterValues(name)来获取<br/> 
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
*/ 
@Override 
public String getParameter(String name) { 
String value = super.getParameter(xssEncode(name)); 
if (value != null) { 
value = xssEncode(value); 
} 
return value; 
} 
 
/** 
* 覆盖getHeader方法，将参数名和参数值都做xss过滤。<br/> 
* 如果需要获得原始的值，则通过super.getHeaders(name)来获取<br/> 
* getHeaderNames 也可能需要覆盖 
*/ 
@Override 
public String getHeader(String name) { 
 
String value = super.getHeader(xssEncode(name)); 
if (value != null) { 
value = xssEncode(value); 
} 
return value; 
} 
 
/** 
* 将容易引起xss漏洞的半角字符直接替换*角字符 
* 
* @param s 
* @return 
*/ 
private static String xssEncode(String s) { 
if (s == null || s.isEmpty()) { 
return s; 
} 
StringBuilder sb = new StringBuilder(s.length() + 16); 
for (int i = 0; i < s.length(); i++) { 
char c = s.charAt(i); 
switch (c) { 
case '>': 
sb.append('＞');//全角大于号 
break; 
case '<': 
sb.append('＜');//全角小于号 
break; 
case '\'': 
sb.append('‘');//全角单引号 
break; 
case '\"': 
sb.append('“');//全角双引号 
break; 
case '&': 
sb.append('＆');//全角 
break; 
case '\\': 
sb.append('＼');//全角斜线 
break; 
case '#': 
sb.append('＃');//全角井号 
break; 
default: 
sb.append(c); 
break; 
} 
} 
return sb.toString(); 
} 
 
/** 
* 获取最原始的request 
* 
* @return 
*/ 
public HttpServletRequest getOrgRequest() { 
return orgRequest; 
} 
/** 
* 获取最原始的request的静态方法 
* 
* @return 
*/ 
public static HttpServletRequest getOrgRequest(HttpServletRequest req) { 
if(req instanceof XssHttpServletRequestWrapper){ 
return ((XssHttpServletRequestWrapper)req).getOrgRequest(); 
} 
 
return req; 
} 
} 

在web.xml中添加

<filter> 
<filter-name>xssFilter</filter-name> 
<filter-class>filter.XssFilter</filter-class> 
</filter> 
<filter-mapping> 
<filter-name>xssFilter</filter-name> 
<url-pattern>/*</url-pattern> 
</filter-mapping> 

以上这篇JSP过滤器防止Xss漏洞的实现方法(分享)就是小编分享给大家的全部内容了，希望能给大家一个参考，也希望大家多多支持。

# jsp  # 防止  # xss  # 过滤器  # 用js屏蔽被http劫持的浮动广告实现方法  # JSP使用过滤器防止Xss漏洞  # JS写XSS cookie stealer来窃取密码的步骤详解  # JSP Struts过滤xss攻击的解决办法  # JSP安全开发之XSS漏洞详解  # 防止xss和sql注入:JS特殊字符过滤正则  # 详解前端安全之JavaScript防http劫持与XSS  # 全角  # 都是  # 半角  # 给大家  # 都做  # 最原始  # 会有  # 希望能  # 可以使用  # 这篇  # 方法来  # 为了避免  # 开发人员  # 小编  # 大家多多  # 过程中  # 容易引起  # 各种各样  # 而由  # 那就是 

相关文章： 昆明网站制作哪家好,昆明公租房申请网上登录入口？  网站建设设计制作营销公司南阳,如何策划设计和建设网站？  魔方云NAT建站如何实现端口转发？  如何快速使用云服务器搭建个人网站？  简易网站制作视频教程,使用记事本编写一个简单的网页html文件？  建站10G流量真的够用吗？如何应对访问高峰？  建站之星后台密码遗忘或太弱？如何重置与强化？  Swift中swift中的switch 语句  哪家制作企业网站好,开办像阿里巴巴那样的网络公司和网站要怎么做？  建站之星展会模版如何一键下载生成？  建站主机与服务器功能差异如何区分？  SAX解析器是什么，它与DOM在处理大型XML文件时有何不同？  如何制作网站标识牌,动态网站如何制作（教程）？  简单实现Android文件上传  如何通过WDCP绑定主域名及创建子域名站点？  网站制作难吗安全吗,做一个网站需要多久时间？  Thinkphp 中 distinct 的用法解析  如何用低价快速搭建高质量网站？  行程制作网站有哪些,第三方机票电子行程单怎么开？  网站网页制作专业公司,怎样制作自己的网页？  C#如何序列化对象为XML XmlSerializer用法  矢量图网站制作软件,用千图网的一张矢量图做公司app首页，该网站并未说明版权等问题，这样做算不算侵权？应该如何解决？  如何快速生成可下载的建站源码工具？  建站VPS配置与SEO优化指南：关键词排名提升策略  胶州企业网站制作公司,青岛石头网络科技有限公司怎么样？  建站上市公司网站建设方案与SEO优化服务定制指南  宝塔新建站点报错如何解决？  活动邀请函制作网站有哪些,活动邀请函文案？  专业型网站制作公司有哪些,我设计专业的，谁给推荐几个设计师兼职类的网站？  上海网站制作网站建设公司,建筑电工证网上查询系统入口？  建站之星如何一键生成手机站？  建站之星代理平台如何选择最佳方案？  网站制作免费,什么网站能看正片电影？  如何配置IIS站点权限与局域网访问？  网站专业制作公司,网站编辑是做什么的？好做吗？工作前景如何？  北京专业网站制作设计师招聘,北京白云观官方网站？  建站之星如何快速生成多端适配网站？  建站主机类型有哪些？如何正确选型  建站之星后台密码遗忘？如何快速找回？  高防服务器租用首荐平台，企业级优惠套餐快速部署  ,在苏州找工作，上哪个网站比较好？  广东专业制作网站有哪些,广东省能源集团有限公司官网？  盘锦网站制作公司,盘锦大洼有多少5G网站？  如何通过虚拟主机快速搭建个人网站？  如何快速建站并高效导出源代码？  网站制作外包价格怎么算,招聘网站上写的“外包”是什么意思？  如何做网站制作流程,*游戏网站怎么搭建？  如何配置支付宝与微信支付功能？  如何有效防御Web建站篡改攻击？  青岛网站建设如何选择本地服务器？