JSP使用过滤器防止Xss漏洞

 更新时间:2019-06-25 03:00:56   作者:佚名   我要评论(0)

在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避

在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。

那就是利用Servlet的过滤器机制,编写定制的XssFilter,将request请求代理,覆盖getParameter和getHeader方法将参数名和参数值里的指定半角字符,强制替换成全角字符。使得在业务层的处理时不用担心会有异常输入内容。

XssFilter.java

package filter;
 
import java.io.IOException;
 
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
 
public class XssFilter implements Filter {
 
 public void init(FilterConfig config) throws ServletException {
 }
 
 public void doFilter(ServletRequest request, ServletResponse response,
 FilterChain chain) throws IOException, ServletException 
 {
 XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
 (HttpServletRequest) request);
 chain.doFilter(xssRequest, response);
}
 
 public void destroy() {
 }
}

XssHttpServletRequestWrapper.java

package filter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
 
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
 HttpServletRequest orgRequest = null;
 
 public XssHttpServletRequestWrapper(HttpServletRequest request) {
 super(request);
 orgRequest = request;
 }
 
 /**
 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
 */
 @Override
 public String getParameter(String name) {
 String value = super.getParameter(xssEncode(name));
 if (value != null) {
 value = xssEncode(value);
 }
 return value;
}
 
/**
 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
 * getHeaderNames 也可能需要覆盖
*/
 @Override
 public String getHeader(String name) {
 
 String value = super.getHeader(xssEncode(name));
 if (value != null) {
 value = xssEncode(value);
 }
 return value;
}
 
/**
 * 将容易引起xss漏洞的半角字符直接替换成全角字符
 *
 * @param s
 * @return
*/
private static String xssEncode(String s) {
if (s == null || s.isEmpty()) {
return s;
}
 StringBuilder sb = new StringBuilder(s.length() + 16);
 for (int i = 0; i < s.length(); i++) {
 char c = s.charAt(i);
 switch (c) {
 case '>':
 sb.append('>');//全角大于号
 break;
 case '<':
 sb.append('<');//全角小于号
 break;
 case '\'':
 sb.append('‘');//全角单引号
 break;
 case '\"':
 sb.append('“');//全角双引号
 break;
 case '&':
 sb.append('&');//全角
 break;
 case '\\':
 sb.append('\');//全角斜线
 break;
 case '#':
 sb.append('#');//全角井号
 break;
 default:
 sb.append(c);
 break;
 }
}
 return sb.toString();
}
 
/**
* 获取最原始的request
*
* @return
*/
public HttpServletRequest getOrgRequest() {
return orgRequest;
}
/**
* 获取最原始的request的静态方法
*
* @return
*/
 public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
 if(req instanceof XssHttpServletRequestWrapper){
 return ((XssHttpServletRequestWrapper)req).getOrgRequest();
}
 
return req;
}
} 

在web.xml中添加

<filter>
<filter-name>xssFilter</filter-name>
 <filter-class>filter.XssFilter</filter-class>
 </filter>
 <filter-mapping>
 <filter-name>xssFilter</filter-name>
 <url-pattern>/*</url-pattern>
</filter-mapping>

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

您可能感兴趣的文章:

  • JSP过滤器防止Xss漏洞的实现方法(分享)

相关文章

  • JSP使用过滤器防止Xss漏洞

    JSP使用过滤器防止Xss漏洞

    在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避
    2019-06-25
  • JS中超越现实的匿名函数用法实例分析

    JS中超越现实的匿名函数用法实例分析

    本文实例讲述了JS中超越现实的匿名函数用法。分享给大家供大家参考,具体如下: 一般函数: function show1(name){ alert(name); //打印:zhangsan }
    2019-06-25
  • 使用Vue开发自己的Chrome扩展程序过程详解

    使用Vue开发自己的Chrome扩展程序过程详解

    前言 浏览器扩展程序是可以修改和增强 Web 浏览器功能的小程序。它们可用于各种任务,例如阻止广告,管理密码,组织标签,改变网页的外观和行为等等。 好消
    2019-06-25
  • javascript实现自由编辑图片代码详解

    javascript实现自由编辑图片代码详解

    当下我们项目中需要一个可自由编辑图片的功能,当图片可能出现需要频繁编辑,同时能满足发现裁剪不满意想要微调的时候,会发现如果我们处理图片按照平常的习惯
    2019-06-25
  • vue配置文件实现代理v2版本的方法

    vue配置文件实现代理v2版本的方法

    vue实现不同服务器代理,接上篇,虽然可实现多版本代理,但是每增加一种模式就需要重下新修改vue.config.js以及.env.dev.local,感觉很不智能,扩展性挺差。
    2019-06-25
  • Scala中正则表达式以及与模式匹配结合(多种方式)

    Scala中正则表达式以及与模式匹配结合(多种方式)

    正则表达式 //"""原生表达 val regex="""([0-9]+)([a-z]+)""".r val numPattern="[0-9]+".r val numberPattern="""\s+[0-9]+\s+""".r 说明:.r()方法简
    2019-06-25
  • Ajax请求时无法重定向的问题解决代码详解

    Ajax请求时无法重定向的问题解决代码详解

    前言 今天发现,当使用Ajax请求时,如果后台进行重定向到其他页面时是无法成功的,只能在浏览器地址栏输入才能够实现重定向。 Ajax默认就是不支持重定向的,它
    2019-06-25
  • 前端Electron新手入门教程详解

    前端Electron新手入门教程详解

    Electron 是什么 定义 Electron是一个能让你使用传统前端技术(Nodejs, Javascript, HTML, CSS)开发一个跨平台桌面应用的框架。这里所说的桌面应用指的是
    2019-06-25
  • 微信小程序开发注意指南和优化实践(小结)

    微信小程序开发注意指南和优化实践(小结)

    前言 转眼间已经参与过我厂好几个小程序的开发了,下面本妹子将开发中的那些注意点和各位小伙伴们分享下,妥妥的干货一枚。 一、WXML 不要换行写,有空格不行
    2019-06-25
  • vue elementUI使用tabs与导航栏联动

    vue elementUI使用tabs与导航栏联动

    不使用tabs标签页时,点击导航菜单,router-view映射相应的组件即可显示页面。但我们想在点击导航栏时在tabs中映射相应的组件,这就需要使用tabs组件 在sli
    2019-06-25

最新评论