java 防止xss攻击

关于xss的概念和解决方案网上很多,可以参考这个:

http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen

这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。

解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。

其中,输入时的过滤是用一个filter来实现,

实现过程:

在web.xml加一个filter

Xml代码  收藏代码
  1. <filter>  
  2.         <filter-name>XssEscape</filter-name>  
  3.         <filter-class>cn.pconline.morden.filter.XssFilter</filter-class>  
  4.     </filter>  
  5.     <filter-mapping>  
  6.         <filter-name>XssEscape</filter-name>  
  7.         <url-pattern>/*</url-pattern>  
  8.         <dispatcher>REQUEST</dispatcher>  
  9.     </filter-mapping>  

XssFilter 的实现方式是实现servlet的Filter接口

Java代码  收藏代码
  1. package cn.pconline.morden.filter;  
  2.   
  3. import java.io.IOException;  
  4.   
  5. import javax.servlet.Filter;  
  6. import javax.servlet.FilterChain;  
  7. import javax.servlet.FilterConfig;  
  8. import javax.servlet.ServletException;  
  9. import javax.servlet.ServletRequest;  
  10. import javax.servlet.ServletResponse;  
  11. import javax.servlet.http.HttpServletRequest;  
  12.   
  13. public class XssFilter implements Filter {  
  14.       
  15.     @Override  
  16.     public void init(FilterConfig filterConfig) throws ServletException {  
  17.     }  
  18.   
  19.     @Override  
  20.     public void doFilter(ServletRequest request, ServletResponse response,  
  21.             FilterChain chain) throws IOException, ServletException {  
  22.         chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);  
  23.     }  
  24.   
  25.     @Override  
  26.     public void destroy() {  
  27.     }  
  28. }  

 关键是XssHttpServletRequestWrapper的实现方式,继承servlet的HttpServletRequestWrapper,并重写相应的几个有可能带xss攻击的方法,如:

Java代码  收藏代码
  1. package cn.pconline.morden.filter;  
  2.   
  3. import javax.servlet.http.HttpServletRequest;  
  4. import javax.servlet.http.HttpServletRequestWrapper;  
  5.   
  6. import org.apache.commons.lang3.StringEscapeUtils;  
  7.   
  8. public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
  9.   
  10.     public XssHttpServletRequestWrapper(HttpServletRequest request) {  
  11.         super(request);  
  12.     }  
  13.   
  14.     @Override  
  15.     public String getHeader(String name) {  
  16.         return StringEscapeUtils.escapeHtml4(super.getHeader(name));  
  17.     }  
  18.   
  19.     @Override  
  20.     public String getQueryString() {  
  21.         return StringEscapeUtils.escapeHtml4(super.getQueryString());  
  22.     }  
  23.   
  24.     @Override  
  25.     public String getParameter(String name) {  
  26.         return StringEscapeUtils.escapeHtml4(super.getParameter(name));  
  27.     }  
  28.   
  29.     @Override  
  30.     public String[] getParameterValues(String name) {  
  31.         String[] values = super.getParameterValues(name);  
  32.         if(values != null) {  
  33.             int length = values.length;  
  34.             String[] escapseValues = new String[length];  
  35.             for(int i = 0; i < length; i++){  
  36.                 escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);  
  37.             }  
  38.             return escapseValues;  
  39.         }  
  40.         return super.getParameterValues(name);  
  41.     }  
  42.       
  43. }  

到此为止,在输入的过滤就完成了。

 

在页面显示数据的时候,只是简单地用fn:escapeXml()对有可能出现xss漏洞的地方做一下转义输出。

复杂内容的显示,具体问题再具体分析。

 

另外,有些情况不想显示过滤后内容的话,可以用StringEscapeUtils.unescapeHtml4()这个方法,把StringEscapeUtils.escapeHtml4()转义之后的字符恢复原样。

 

posted @ 2016-10-10 10:51  汪星人  阅读(12597)  评论(1编辑  收藏  举报