JSP使用過濾器防止Xss漏洞

在用java進(jìn)行web業(yè)務(wù)開發(fā)的時候,對于頁面上接收到的參數(shù),除了極少數(shù)是步可預(yù)知的內(nèi)容外,大量的參數(shù)名和參數(shù)值都是不會出現(xiàn)觸發(fā)xss漏洞的字符。而通常為了避免xss漏洞,都是開發(fā)人員各自在頁面輸出和數(shù)據(jù)入庫等地方加上各種各樣的encode方法來避免xss問題。而由于開發(fā)人員的水平不一,加上在編寫代碼的過程中安全意識的差異,可能會粗心漏掉對用戶輸入內(nèi)容進(jìn)行encode處理。針對這種大量參數(shù)是不可能出現(xiàn)引起xss和sql注入漏洞的業(yè)務(wù)場景下,因此可以使用一個適用大多數(shù)業(yè)務(wù)場景的通用處理方法,犧牲少量用戶體驗(yàn),來避免xss漏洞和sql注入。

那就是利用servlet的過濾器機(jī)制,編寫定制的xssfilter,將request請求代理,覆蓋getparameter和getheader方法將參數(shù)名和參數(shù)值里的指定半角字符,強(qiáng)制替換成全角字符。使得在業(yè)務(wù)層的處理時不用擔(dān)心會有異常輸入內(nèi)容。

xssfilter.java

package filter;
 
import java.io.ioexception;
 
import javax.servlet.filter;
import javax.servlet.filterchain;
import javax.servlet.filterconfig;
import javax.servlet.servletexception;
import javax.servlet.servletrequest;
import javax.servlet.servletresponse;
import javax.servlet.http.httpservletrequest;
 
public class xssfilter implements filter {
 
 public void init(filterconfig config) throws servletexception {
 }
 
 public void dofilter(servletrequest request, servletresponse response,
 filterchain chain) throws ioexception, servletexception 
 {
 xsshttpservletrequestwrapper xssrequest = new xsshttpservletrequestwrapper(
 (httpservletrequest) request);
 chain.dofilter(xssrequest, response);
}
 
 public void destroy() {
 }
}

xsshttpservletrequestwrapper.java

package filter;
import javax.servlet.http.httpservletrequest;
import javax.servlet.http.httpservletrequestwrapper;
 
public class xsshttpservletrequestwrapper extends httpservletrequestwrapper {
 httpservletrequest orgrequest = null;
 
 public xsshttpservletrequestwrapper(httpservletrequest request) {
 super(request);
 orgrequest = request;
 }
 
 /**
 * 覆蓋getparameter方法,將參數(shù)名和參數(shù)值都做xss過濾。

 * 如果需要獲得原始的值,則通過super.getparametervalues(name)來獲取

 * getparameternames,getparametervalues和getparametermap也可能需要覆蓋
 */
 @override
 public string getparameter(string name) {
 string value = super.getparameter(xssencode(name));
 if (value != null) {
 value = xssencode(value);
 }
 return value;
}
 
/**
 * 覆蓋getheader方法,將參數(shù)名和參數(shù)值都做xss過濾。

 * 如果需要獲得原始的值,則通過super.getheaders(name)來獲取

 * getheadernames 也可能需要覆蓋
*/
 @override
 public string getheader(string name) {
 
 string value = super.getheader(xssencode(name));
 if (value != null) {
 value = xssencode(value);
 }
 return value;
}
 
/**
 * 將容易引起xss漏洞的半角字符直接替換成全角字符
 *
 * @param s
 * @return
*/
private static string xssencode(string s) {
if (s == null || s.isempty()) {
return s;
}
 stringbuilder sb = new stringbuilder(s.length() + 16);
 for (int i = 0; i < s.length(); i++) {
 char c = s.charat(i);
 switch (c) {
 case '>':
 sb.append('>');//全角大于號
 break;
 case '<':
 sb.append('<');//全角小于號
 break;
 case '\'':
 sb.append('‘');//全角單引號
 break;
 case '\"':
 sb.append('“');//全角雙引號
 break;
 case '&':
 sb.append('&');//全角
 break;
 case '\\':
 sb.append('\');//全角斜線
 break;
 case '#':
 sb.append('#');//全角井號
 break;
 default:
 sb.append(c);
 break;
 }
}
 return sb.tostring();
}
 
/**
* 獲取最原始的request
*
* @return
*/
public httpservletrequest getorgrequest() {
return orgrequest;
}
/**
* 獲取最原始的request的靜態(tài)方法
*
* @return
*/
 public static httpservletrequest getorgrequest(httpservletrequest req) {
 if(req instanceof xsshttpservletrequestwrapper){
 return ((xsshttpservletrequestwrapper)req).getorgrequest();
}
 
return req;
}
}

在web.xml中添加

 xssfilter  filter.xssfilter      xssfilter  /*
相關(guān)文章
亚洲国产精品第一区二区,久久免费视频77,99V久久综合狠狠综合久久,国产免费久久九九免费视频