JSP过滤器防止Xss漏洞的实现方法(分享)
程序员文章站
2023-08-13 20:53:49
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发xss漏洞的字符。而通常为了避免xss漏洞,...
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发xss漏洞的字符。而通常为了避免xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起xss和sql注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免xss漏洞和sql注入。
那就是利用servlet的过滤器机制,编写定制的xssfilter,将request请求代理,覆盖getparameter和getheader方法将参数名和参数值里的指定半角字符,强制替换成全角字符。使得在业务层的处理时不用担心会有异常输入内容。
filter负责将请求的request包装一下。
xssfilter.java
package filter;
import java.io.ioexception;
import javax.servlet.filter;
import javax.servlet.filterchain;
import javax.servlet.filterconfig;
import javax.servlet.servletexception;
import javax.servlet.servletrequest;
import javax.servlet.servletresponse;
import javax.servlet.http.httpservletrequest;
public class xssfilter implements filter {
public void init(filterconfig config) throws servletexception {
}
public void dofilter(servletrequest request, servletresponse response,
filterchain chain) throws ioexception, servletexception
{
xsshttpservletrequestwrapper xssrequest = new xsshttpservletrequestwrapper(
(httpservletrequest) request);
chain.dofilter(xssrequest, response);
}
public void destroy() {
}
}
request包装器,负责过滤掉非法的字符。
xsshttpservletrequestwrapper.java
package filter;
import javax.servlet.http.httpservletrequest;
import javax.servlet.http.httpservletrequestwrapper;
public class xsshttpservletrequestwrapper extends httpservletrequestwrapper {
httpservletrequest orgrequest = null;
public xsshttpservletrequestwrapper(httpservletrequest request) {
super(request);
orgrequest = request;
}
/**
* 覆盖getparameter方法,将参数名和参数值都做xss过滤。<br/>
* 如果需要获得原始的值,则通过super.getparametervalues(name)来获取<br/>
* getparameternames,getparametervalues和getparametermap也可能需要覆盖
*/
@override
public string getparameter(string name) {
string value = super.getparameter(xssencode(name));
if (value != null) {
value = xssencode(value);
}
return value;
}
/**
* 覆盖getheader方法,将参数名和参数值都做xss过滤。<br/>
* 如果需要获得原始的值,则通过super.getheaders(name)来获取<br/>
* getheadernames 也可能需要覆盖
*/
@override
public string getheader(string name) {
string value = super.getheader(xssencode(name));
if (value != null) {
value = xssencode(value);
}
return value;
}
/**
* 将容易引起xss漏洞的半角字符直接替换成全角字符
*
* @param s
* @return
*/
private static string xssencode(string s) {
if (s == null || s.isempty()) {
return s;
}
stringbuilder sb = new stringbuilder(s.length() + 16);
for (int i = 0; i < s.length(); i++) {
char c = s.charat(i);
switch (c) {
case '>':
sb.append('>');//全角大于号
break;
case '<':
sb.append('<');//全角小于号
break;
case '\'':
sb.append('‘');//全角单引号
break;
case '\"':
sb.append('“');//全角双引号
break;
case '&':
sb.append('&');//全角
break;
case '\\':
sb.append('\');//全角斜线
break;
case '#':
sb.append('#');//全角井号
break;
default:
sb.append(c);
break;
}
}
return sb.tostring();
}
/**
* 获取最原始的request
*
* @return
*/
public httpservletrequest getorgrequest() {
return orgrequest;
}
/**
* 获取最原始的request的静态方法
*
* @return
*/
public static httpservletrequest getorgrequest(httpservletrequest req) {
if(req instanceof xsshttpservletrequestwrapper){
return ((xsshttpservletrequestwrapper)req).getorgrequest();
}
return req;
}
}
在web.xml中添加
<filter> <filter-name>xssfilter</filter-name> <filter-class>filter.xssfilter</filter-class> </filter> <filter-mapping> <filter-name>xssfilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
以上这篇jsp过滤器防止xss漏洞的实现方法(分享)就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持。