JSP使用过滤器防止Xss漏洞
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发xss漏洞的字符。而通常为了避免xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起xss和sql注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免xss漏洞和sql注入。
那就是利用servlet的过滤器机制,编写定制的xssfilter,将request请求代理,覆盖getparameter和getheader方法将参数名和参数值里的指定半角字符,强制替换成全角字符。使得在业务层的处理时不用担心会有异常输入内容。
xssfilter.java
package filter;
import java.io.ioexception;
import javax.servlet.filter;
import javax.servlet.filterchain;
import javax.servlet.filterconfig;
import javax.servlet.servletexception;
import javax.servlet.servletrequest;
import javax.servlet.servletresponse;
import javax.servlet.http.httpservletrequest;
public class xssfilter implements filter {
public void init(filterconfig config) throws servletexception {
}
public void dofilter(servletrequest request, servletresponse response,
filterchain chain) throws ioexception, servletexception
{
xsshttpservletrequestwrapper xssrequest = new xsshttpservletrequestwrapper(
(httpservletrequest) request);
chain.dofilter(xssrequest, response);
}
public void destroy() {
}
} xsshttpservletrequestwrapper.java
package filter;
import javax.servlet.http.httpservletrequest;
import javax.servlet.http.httpservletrequestwrapper;
public class xsshttpservletrequestwrapper extends httpservletrequestwrapper {
httpservletrequest orgrequest = null;
public xsshttpservletrequestwrapper(httpservletrequest request) {
super(request);
orgrequest = request;
}
/**
* 覆盖getparameter方法,将参数名和参数值都做xss过滤。
* 如果需要获得原始的值,则通过super.getparametervalues(name)来获取
* getparameternames,getparametervalues和getparametermap也可能需要覆盖
*/
@override
public string getparameter(string name) {
string value = super.getparameter(xssencode(name));
if (value != null) {
value = xssencode(value);
}
return value;
}
/**
* 覆盖getheader方法,将参数名和参数值都做xss过滤。
* 如果需要获得原始的值,则通过super.getheaders(name)来获取
* getheadernames 也可能需要覆盖
*/
@override
public string getheader(string name) {
string value = super.getheader(xssencode(name));
if (value != null) {
value = xssencode(value);
}
return value;
}
/**
* 将容易引起xss漏洞的半角字符直接替换成全角字符
*
* @param s
* @return
*/
private static string xssencode(string s) {
if (s == null || s.isempty()) {
return s;
}
stringbuilder sb = new stringbuilder(s.length() + 16);
for (int i = 0; i < s.length(); i++) {
char c = s.charat(i);
switch (c) {
case '>':
sb.append('>');//全角大于号
break;
case '<':
sb.append('<');//全角小于号
break;
case '\'':
sb.append('‘');//全角单引号
break;
case '\"':
sb.append('“');//全角双引号
break;
case '&':
sb.append('&');//全角
break;
case '\\':
sb.append('\');//全角斜线
break;
case '#':
sb.append('#');//全角井号
break;
default:
sb.append(c);
break;
}
}
return sb.tostring();
}
/**
* 获取最原始的request
*
* @return
*/
public httpservletrequest getorgrequest() {
return orgrequest;
}
/**
* 获取最原始的request的静态方法
*
* @return
*/
public static httpservletrequest getorgrequest(httpservletrequest req) {
if(req instanceof xsshttpservletrequestwrapper){
return ((xsshttpservletrequestwrapper)req).getorgrequest();
}
return req;
}
} 在web.xml中添加
xssfilter filter.xssfilter xssfilter /*
相关文章
- jsp+servlet实现文件上传与下载功能
- EJB3.0部署消息驱动Bean抛javax.naming.NameNotFoundException异常
- 在JSP中使用formatNumber控制要显示的小数位数方法
- 秒杀系统Web层设计的实现方法
- 将properties文件的配置设置为整个Web应用的全局变量实现方法
- JSP使用过滤器防止Xss漏洞
- 在JSP页面中动态生成图片验证码的方法实例
- 详解JSP 内置对象request常见用法
- 使用IDEA编写jsp时EL表达式不起作用的问题及解决方法
- jsp实现局部刷新页面、异步加载页面的方法
- Jsp中request的3个基础实践
- JavaServlet的文件上传和下载实现方法
- JSP页面的静态包含和动态包含使用方法
JSP技巧