JSP过滤器防止Xss漏洞的实现方法(分享)

在用java进行web业务开发的时候，对于页面上接收到的参数，除了极少数是步可预知的内容外，大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞，都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一，加上在编写代码的过程中安全意识的差异，可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下，因此可以使用一个适用大多数业务场景的通用处理方法，牺牲少量用户体验，来避免Xss漏洞和SQL注入。

那就是利用Servlet的过滤器机制，编写定制的XssFilter，将request请求代理，覆盖getParameter和getHeader方法将参数名和参数值里的指定半角字符，强制替换*角字符。使得在业务层的处理时不用担心会有异常输入内容。

Filter负责将请求的request包装一下。

XssFilter.Java

package filter; 
 
import java.io.IOException; 
 
import javax.servlet.Filter; 
import javax.servlet.FilterChain; 
import javax.servlet.FilterConfig; 
import javax.servlet.ServletException; 
import javax.servlet.ServletRequest; 
import javax.servlet.ServletResponse; 
import javax.servlet.http.HttpServletRequest; 
 
public class XssFilter implements Filter { 
 
public void init(FilterConfig config) throws ServletException { 
} 
 
public void doFilter(ServletRequest request, ServletResponse response, 
FilterChain chain) throws IOException, ServletException  
{ 
XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper( 
(HttpServletRequest) request); 
chain.doFilter(xssRequest, response); 
} 
 
public void destroy() { 
} 
} 

request包装器，负责过滤掉非法的字符。

XssHttpServletRequestWrapper.java

package filter; 
import javax.servlet.http.HttpServletRequest; 
import javax.servlet.http.HttpServletRequestWrapper; 
 
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { 
HttpServletRequest orgRequest = null; 
 
public XssHttpServletRequestWrapper(HttpServletRequest request) { 
super(request); 
orgRequest = request; 
} 
 
/** 
* 覆盖getParameter方法，将参数名和参数值都做xss过滤。<br/> 
* 如果需要获得原始的值，则通过super.getParameterValues(name)来获取<br/> 
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
*/ 
@Override 
public String getParameter(String name) { 
String value = super.getParameter(xssEncode(name)); 
if (value != null) { 
value = xssEncode(value); 
} 
return value; 
} 
 
/** 
* 覆盖getHeader方法，将参数名和参数值都做xss过滤。<br/> 
* 如果需要获得原始的值，则通过super.getHeaders(name)来获取<br/> 
* getHeaderNames 也可能需要覆盖 
*/ 
@Override 
public String getHeader(String name) { 
 
String value = super.getHeader(xssEncode(name)); 
if (value != null) { 
value = xssEncode(value); 
} 
return value; 
} 
 
/** 
* 将容易引起xss漏洞的半角字符直接替换*角字符 
* 
* @param s 
* @return 
*/ 
private static String xssEncode(String s) { 
if (s == null || s.isEmpty()) { 
return s; 
} 
StringBuilder sb = new StringBuilder(s.length() + 16); 
for (int i = 0; i < s.length(); i++) { 
char c = s.charAt(i); 
switch (c) { 
case '>': 
sb.append('＞');//全角大于号 
break; 
case '<': 
sb.append('＜');//全角小于号 
break; 
case '\'': 
sb.append('‘');//全角单引号 
break; 
case '\"': 
sb.append('“');//全角双引号 
break; 
case '&': 
sb.append('＆');//全角 
break; 
case '\\': 
sb.append('＼');//全角斜线 
break; 
case '#': 
sb.append('＃');//全角井号 
break; 
default: 
sb.append(c); 
break; 
} 
} 
return sb.toString(); 
} 
 
/** 
* 获取最原始的request 
* 
* @return 
*/ 
public HttpServletRequest getOrgRequest() { 
return orgRequest; 
} 
/** 
* 获取最原始的request的静态方法 
* 
* @return 
*/ 
public static HttpServletRequest getOrgRequest(HttpServletRequest req) { 
if(req instanceof XssHttpServletRequestWrapper){ 
return ((XssHttpServletRequestWrapper)req).getOrgRequest(); 
} 
 
return req; 
} 
} 

在web.xml中添加

<filter> 
<filter-name>xssFilter</filter-name> 
<filter-class>filter.XssFilter</filter-class> 
</filter> 
<filter-mapping> 
<filter-name>xssFilter</filter-name> 
<url-pattern>/*</url-pattern> 
</filter-mapping> 

以上这篇JSP过滤器防止Xss漏洞的实现方法(分享)就是小编分享给大家的全部内容了，希望能给大家一个参考，也希望大家多多支持。

# jsp  # 防止  # xss  # 过滤器  # 用js屏蔽被http劫持的浮动广告实现方法  # JSP使用过滤器防止Xss漏洞  # JS写XSS cookie stealer来窃取密码的步骤详解  # JSP Struts过滤xss攻击的解决办法  # JSP安全开发之XSS漏洞详解  # 防止xss和sql注入:JS特殊字符过滤正则  # 详解前端安全之JavaScript防http劫持与XSS  # 全角  # 都是  # 半角  # 给大家  # 都做  # 最原始  # 会有  # 希望能  # 可以使用  # 这篇  # 方法来  # 为了避免  # 开发人员  # 小编  # 大家多多  # 过程中  # 容易引起  # 各种各样  # 而由  # 那就是 

相关文章： 如何通过万网虚拟主机快速搭建网站？  如何快速搭建高效可靠的建站解决方案？  香港服务器网站搭建教程-电商部署、配置优化与安全稳定指南  如何选择高效可靠的多用户建站源码资源？  JS中使用new Date(str)创建时间对象不兼容firefox和ie的解决方法(两种)  PHP正则匹配日期和时间(时间戳转换)的实例代码  美食网站链接制作教程视频,哪个教做美食的网站比较专业点？  宝塔建站助手安装配置与建站模板使用全流程解析  简单实现Android验证码  如何高效完成独享虚拟主机建站？  成都品牌网站制作公司,成都营业执照年报网上怎么办理？  如何选择网络建站服务器？高效建站必看指南  如何用免费手机建站系统零基础打造专业网站？  岳西云建站教程与模板下载_一站式快速建站系统操作指南  建站之星收费标准详解：套餐费用及年费价格表一览  巅云智能建站系统：可视化拖拽+多端适配+免费模板一键生成  建站主机功能解析：服务器选择与快速搭建指南  全景视频制作网站有哪些,全景图怎么做成网页？  如何高效搭建专业期货交易平台网站？  如何通过宝塔面板实现本地网站访问？  移动端手机网站制作软件,掌上时代，移动端网站的谷歌SEO该如何做？  免费制作海报的网站,哪位做平面的朋友告诉我用什么软件做海报比较好?ps还是cd还是ai这几个软件我都会些我是做网页的？  如何快速搭建高效WAP手机网站吸引移动用户？  东莞市网站制作公司有哪些,东莞找工作用什么网站好？  css网站制作参考文献有哪些,易聊怎么注册？  湖南网站制作公司,湖南上善若水科技有限公司做什么的？  如何在Golang中处理模块冲突_解决依赖版本不兼容问题  如何用美橙互联一键搭建多站合一网站？  制作网站公司那家好,网络公司是做什么的？  如何在腾讯云服务器上快速搭建个人网站？  如何在建站之星绑定自定义域名？  免费ppt制作网站,有没有值得推荐的免费PPT网站？  家具网站制作软件,家具厂怎么跑业务？  建站主机CVM配置优化、SEO策略与性能提升指南  英语简历制作免费网站推荐,如何将简历翻译成英文？  公司门户网站制作公司有哪些,怎样使用wordpress制作一个企业网站？  网站建设制作需要多少钱费用,自己做一个网站要多少钱，模板一般多少钱？  广州顶尖建站服务：企业官网建设与SEO优化一体化方案  如何访问已购建站主机并解决登录问题？  阿里云网站制作公司,阿里云快速搭建网站好用吗？  如何在七牛云存储上搭建网站并设置自定义域名？  已有域名如何免费搭建网站？  创业网站制作流程,创业网站可靠吗？  如何通过远程VPS快速搭建个人网站？  ,想在网上投简历，哪几个网站比较好？  自助网站制作软件,个人如何自助建网站？  建站之星安装失败：服务器环境不兼容？  如何在服务器上三步完成建站并提升流量？  如何在阿里云香港服务器快速搭建网站？  网站制作的步骤包括,正确网址格式怎么写？