这篇文章主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下

在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务下,因此可以使用一个适用大多数业务的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。

那就是利用Servlet的过滤器机制,编写定制的XssFilter,将request请求代理,覆盖getParameter和getHeader方法将参数名和参数值里的指定半角字符,强制替换成全角字符。使得在业务层的处理时不用担心会有异常输入内容。

XssFilter.java

package filter;
 
import java.io.IOException;
 
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
 
public class XssFilter implements Filter {
 
 public void init(FilterConfig config) throws ServletException {
 }
 
 public void doFilter(ServletRequest request, ServletResponse response,
 FilterChain chain) throws IOException, ServletException 
 {
 XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
 (HttpServletRequest) request);
 chain.doFilter(xssRequest, response);
}
 
 public void destroy() {
 }
}

XssHttpServletRequestWrapper.java

package filter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
 
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
 HttpServletRequest orgRequest = null;
 
 public XssHttpServletRequestWrapper(HttpServletRequest request) {
 super(request);
 orgRequest = request;
 }
 
 /**
 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
 */
 @Override
 public String getParameter(String name) {
 String value = super.getParameter(xssEncode(name));
 if (value != null) {
 value = xssEncode(value);
 }
 return value;
}
 
/**
 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
 * getHeaderNames 也可能需要覆盖
*/
 @Override
 public String getHeader(String name) {
 
 String value = super.getHeader(xssEncode(name));
 if (value != null) {
 value = xssEncode(value);
 }
 return value;
}
 
/**
 * 将容易引起xss漏洞的半角字符直接替换成全角字符
 *
 * @param s
 * @return
*/
private static String xssEncode(String s) {
if (s == null || s.isEmpty()) {
return s;
}
 StringBuilder sb = new StringBuilder(s.length() + 16);
 for (int i = 0; i < s.length(); i++) {
 char c = s.charAt(i);
 switch (c) {
 case '>':
 sb.append('>');//全角大于号
 break;
 case '<':
 sb.append('<');//全角小于号
 break;
 case '\'':
 sb.append('‘');//全角单引号
 break;
 case '\"':
 sb.append('“');//全角双引号
 break;
 case '&':
 sb.append('&');//全角
 break;
 case '\\':
 sb.append('\');//全角斜线
 break;
 case '#':
 sb.append('#');//全角井号
 break;
 default:
 sb.append(c);
 break;
 }
}
 return sb.toString();
}
 
/**
* 获取最原始的request
*
* @return
*/
public HttpServletRequest getOrgRequest() {
return orgRequest;
}
/**
* 获取最原始的request的静态方法
*
* @return
*/
 public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
 if(req instanceof XssHttpServletRequestWrapper){
 return ((XssHttpServletRequestWrapper)req).getOrgRequest();
}
 
return req;
}
} 

在web.xml中添加

<filter>
<filter-name>xssFilter</filter-name>
 <filter-class>filter.XssFilter</filter-class>
 </filter>
 <filter-mapping>
 <filter-name>xssFilter</filter-name>
 <url-pattern>/*</url-pattern>
</filter-mapping>

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持爱安网。

最新资讯
特斯拉未平仓空头仓位一天减少65万股

特斯拉未平仓空头仓位

相比前一日,特斯拉未平仓空头仓位减少65万股。空头仓位
58到家推“三保障三开通”政策?涉薪资、保险等方面

58到家推“三保障三开

针对疫情影响对服务业造成的影响,58到家推出“三保障三
欧盟正调查高通射频芯片 或将开出第三张罚单

欧盟正调查高通射频芯

据国外媒体报道,高通公司周三宣布,其出(bu)售(mai)给智能手机制造
京东7FRESH发布“人才共享”计划 缓解服务业压力

京东7FRESH发布“人才

2月5日,京东7FRESH发布了“人才共享”计划,邀请临时歇业
高通Q1授权收入增38% 全年芯片出货预期乐观

高通Q1授权收入增38%

尽管芯片部门的销售额同比下滑3%,但高通仍然对2020年全
马斯克心情大好 新发单曲挤进SoundCloud全球前十

马斯克心情大好 新发

特斯拉的股价或许在周三下跌17%,但伊隆·马斯克(Elon Mu
最新文章
JSP+Servlet实现文件上传到服务器功能

JSP+Servlet实现文件

这篇文章主要为大家详细介绍了JSP+Servlet实现文件上
jsp实现登录验证的过滤器

jsp实现登录验证的过

这篇文章主要为大家详细介绍了jsp实现登录验证的过滤
JSP实现带查询条件的通用分页组件

JSP实现带查询条件的

这篇文章主要为大家详细介绍了JSP实现带查询条件的通
jsp实现剪子石头布小游戏

jsp实现剪子石头布小

这篇文章主要为大家详细介绍了jsp实现剪子石头布小游
详解JSP 内置对象request常见用法

详解JSP 内置对象requ

这篇文章主要介绍了详解JSP 内置对象request常见用法,
Jsp中request的3个基础实践

Jsp中request的3个基

本篇文章给大家分享了Jsp内置对象request的3个基础实
北京福彩网 新浪爱彩
    <samp id="cwms4"><ruby id="cwms4"></ruby></samp><wbr id="cwms4"><noscript id="cwms4"></noscript></wbr>
    <kbd id="cwms4"><noscript id="cwms4"></noscript></kbd><bdo id="cwms4"><ruby id="cwms4"></ruby></bdo>

    <ins id="cwms4"></ins>
    <code id="cwms4"></code>
    <kbd id="cwms4"></kbd>
    <ins id="cwms4"></ins>
    <table id="cwms4"></table>
  1. <samp id="cwms4"><ruby id="cwms4"></ruby></samp>

    1. <em id="cwms4"><track id="cwms4"></track></em>
    2. 博远棋牌| 天天乐棋牌| 多多棋牌| 网络棋牌| 游艺棋牌| 比特棋牌| 大家玩棋牌| 百赢棋牌| 网络棋牌| 网络棋牌|