在用java進行web業務開發的時候,對于頁面上接收到的參數,除了極少數是步可預知的內容外,大量的參數名和參數值都是不會出現觸發Xss漏洞的字符。而通常為了避免Xss漏洞,都是開發人員各自在頁面輸出和數據入庫等地方加上各種各樣的encode方法來避免Xss問題。而由于開發人員的水平不一,加上在編寫代碼的過程中安全意識的差異,可能會粗心漏掉對用戶輸入內容進行encode處理。針對這種大量參數是不可能出現引起Xss和SQL注入漏洞的業務場景下,因此可以使用一個適用大多數業務場景的通用處理方法,犧牲少量用戶體驗,來避免Xss漏洞和SQL注入。
那就是利用Servlet的過濾器機制,編寫定制的XssFilter,將request請求代理,覆蓋getParameter和getHeader方法將參數名和參數值里的指定半角字符,強制替換成全角字符。使得在業務層的處理時不用擔心會有異常輸入內容。
Filter負責將請求的request包裝一下。
XssFilter.Java
package filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; public class XssFilter implements Filter { public void init(FilterConfig config) throws ServletException { } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper( (HttpServletRequest) request); chain.doFilter(xssRequest, response); } public void destroy() { } } request包裝器,負責過濾掉非法的字符。
XssHttpServletRequestWrapper.java
package filter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest orgRequest = null; public XssHttpServletRequestWrapper(HttpServletRequest request) { super(request); orgRequest = request; } /** * 覆蓋getParameter方法,將參數名和參數值都做xss過濾。<br/> * 如果需要獲得原始的值,則通過super.getParameterValues(name)來獲取<br/> * getParameterNames,getParameterValues和getParameterMap也可能需要覆蓋 */ @Override public String getParameter(String name) { String value = super.getParameter(xssEncode(name)); if (value != null) { value = xssEncode(value); } return value; } /** * 覆蓋getHeader方法,將參數名和參數值都做xss過濾。<br/> * 如果需要獲得原始的值,則通過super.getHeaders(name)來獲取<br/> * getHeaderNames 也可能需要覆蓋 */ @Override public String getHeader(String name) { String value = super.getHeader(xssEncode(name)); if (value != null) { value = xssEncode(value); } return value; } /** * 將容易引起xss漏洞的半角字符直接替換成全角字符 * * @param s * @return */ private static String xssEncode(String s) { if (s == null || s.isEmpty()) { return s; } StringBuilder sb = new StringBuilder(s.length() + 16); for (int i = 0; i < s.length(); i++) { char c = s.charAt(i); switch (c) { case '>': sb.append('>');//全角大于號 break; case '<': sb.append('<');//全角小于號 break; case '/'': sb.append('‘');//全角單引號 break; case '/"': sb.append('“');//全角雙引號 break; case '&': sb.append('&');//全角 break; case '//': sb.append('\');//全角斜線 break; case '#': sb.append('#');//全角井號 break; default: sb.append(c); break; } } return sb.toString(); } /** * 獲取最原始的request * * @return */ public HttpServletRequest getOrgRequest() { return orgRequest; } /** * 獲取最原始的request的靜態方法 * * @return */ public static HttpServletRequest getOrgRequest(HttpServletRequest req) { if(req instanceof XssHttpServletRequestWrapper){ return ((XssHttpServletRequestWrapper)req).getOrgRequest(); } return req; } } 在web.xml中添加
<filter> <filter-name>xssFilter</filter-name> <filter-class>filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
以上這篇JSP過濾器防止Xss漏洞的實現方法(分享)就是小編分享給大家的全部內容了,希望能給大家一個參考,也希望大家多多支持VeVb武林網。
新聞熱點
疑難解答
