JSP使用过滤器防止Xss漏洞

在用java进行web业务开发的时候，对于页面上接收到的参数，除了极少数是步可预知的内容外，大量的参数名和参数值都是不会出现触发xss漏洞的字符。而通常为了避免xss漏洞，都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免xss问题。而由于开发人员的水平不一，加上在编写代码的过程中安全意识的差异，可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起xss和sql注入漏洞的业务场景下，因此可以使用一个适用大多数业务场景的通用处理方法，牺牲少量用户体验，来避免xss漏洞和sql注入。

那就是利用servlet的过滤器机制，编写定制的xssfilter，将request请求代理，覆盖getparameter和getheader方法将参数名和参数值里的指定半角字符，强制替换成全角字符。使得在业务层的处理时不用担心会有异常输入内容。

xssfilter.java

xsshttpservletrequestwrapper.java

在web.xml中添加

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。