网络编程 
首页 > 网络编程 > 浏览文章

JSP过滤器防止Xss漏洞的实现方法(分享)

(编辑:jimmy 日期: 2024/11/26 浏览:3 次 )

在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。

那就是利用Servlet的过滤器机制,编写定制的XssFilter,将request请求代理,覆盖getParameter和getHeader方法将参数名和参数值里的指定半角字符,强制替换成全角字符。使得在业务层的处理时不用担心会有异常输入内容。

Filter负责将请求的request包装一下。

XssFilter.Java

package filter; 
 
import java.io.IOException; 
 
import javax.servlet.Filter; 
import javax.servlet.FilterChain; 
import javax.servlet.FilterConfig; 
import javax.servlet.ServletException; 
import javax.servlet.ServletRequest; 
import javax.servlet.ServletResponse; 
import javax.servlet.http.HttpServletRequest; 
 
public class XssFilter implements Filter { 
 
public void init(FilterConfig config) throws ServletException { 
} 
 
public void doFilter(ServletRequest request, ServletResponse response, 
FilterChain chain) throws IOException, ServletException  
{ 
XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper( 
(HttpServletRequest) request); 
chain.doFilter(xssRequest, response); 
} 
 
public void destroy() { 
} 
} 

request包装器,负责过滤掉非法的字符。

XssHttpServletRequestWrapper.java

package filter; 
import javax.servlet.http.HttpServletRequest; 
import javax.servlet.http.HttpServletRequestWrapper; 
 
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { 
HttpServletRequest orgRequest = null; 
 
public XssHttpServletRequestWrapper(HttpServletRequest request) { 
super(request); 
orgRequest = request; 
} 
 
/** 
* 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/> 
* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> 
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
*/ 
@Override 
public String getParameter(String name) { 
String value = super.getParameter(xssEncode(name)); 
if (value != null) { 
value = xssEncode(value); 
} 
return value; 
} 
 
/** 
* 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/> 
* 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> 
* getHeaderNames 也可能需要覆盖 
*/ 
@Override 
public String getHeader(String name) { 
 
String value = super.getHeader(xssEncode(name)); 
if (value != null) { 
value = xssEncode(value); 
} 
return value; 
} 
 
/** 
* 将容易引起xss漏洞的半角字符直接替换成全角字符 
* 
* @param s 
* @return 
*/ 
private static String xssEncode(String s) { 
if (s == null || s.isEmpty()) { 
return s; 
} 
StringBuilder sb = new StringBuilder(s.length() + 16); 
for (int i = 0; i < s.length(); i++) { 
char c = s.charAt(i); 
switch (c) { 
case '>': 
sb.append('>');//全角大于号 
break; 
case '<': 
sb.append('<');//全角小于号 
break; 
case '\'': 
sb.append('‘');//全角单引号 
break; 
case '\"': 
sb.append('“');//全角双引号 
break; 
case '&': 
sb.append('&');//全角 
break; 
case '\\': 
sb.append('\');//全角斜线 
break; 
case '#': 
sb.append('#');//全角井号 
break; 
default: 
sb.append(c); 
break; 
} 
} 
return sb.toString(); 
} 
 
/** 
* 获取最原始的request 
* 
* @return 
*/ 
public HttpServletRequest getOrgRequest() { 
return orgRequest; 
} 
/** 
* 获取最原始的request的静态方法 
* 
* @return 
*/ 
public static HttpServletRequest getOrgRequest(HttpServletRequest req) { 
if(req instanceof XssHttpServletRequestWrapper){ 
return ((XssHttpServletRequestWrapper)req).getOrgRequest(); 
} 
 
return req; 
} 
} 

在web.xml中添加

<filter> 
<filter-name>xssFilter</filter-name> 
<filter-class>filter.XssFilter</filter-class> 
</filter> 
<filter-mapping> 
<filter-name>xssFilter</filter-name> 
<url-pattern>/*</url-pattern> 
</filter-mapping> 

以上这篇JSP过滤器防止Xss漏洞的实现方法(分享)就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持。

上一篇:SpringMVC 数据绑定实例详解
下一篇:web开发中添加数据源实现思路
一句话新闻
一文看懂荣耀MagicBook Pro 16
荣耀猎人回归!七大亮点看懂不只是轻薄本,更是游戏本的MagicBook Pro 16.
人们对于笔记本电脑有一个固有印象:要么轻薄但性能一般,要么性能强劲但笨重臃肿。然而,今年荣耀新推出的MagicBook Pro 16刷新了人们的认知——发布会上,荣耀宣布猎人游戏本正式回归,称其继承了荣耀 HUNTER 基因,并自信地为其打出“轻薄本,更是游戏本”的口号。
众所周知,寻求轻薄本的用户普遍更看重便携性、外观造型、静谧性和打字办公等用机体验,而寻求游戏本的用户则普遍更看重硬件配置、性能释放等硬核指标。把两个看似难以相干的产品融合到一起,我们不禁对它产生了强烈的好奇:作为代表荣耀猎人游戏本的跨界新物种,它究竟做了哪些平衡以兼顾不同人群的各类需求呢?
友情链接:杰晶网络 DDR爱好者之家 南强小屋 黑松山资源网 白云城资源网 网站地图 SiteMap