JSP使用过滤器防止Xss漏洞
程序员文章站
2022-03-06 23:17:18
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发xss漏洞的字符。而通常为了避免xss漏洞,...
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发xss漏洞的字符。而通常为了避免xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起xss和sql注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免xss漏洞和sql注入。
那就是利用servlet的过滤器机制,编写定制的xssfilter,将request请求代理,覆盖getparameter和getheader方法将参数名和参数值里的指定半角字符,强制替换成全角字符。使得在业务层的处理时不用担心会有异常输入内容。
xssfilter.java
xsshttpservletrequestwrapper.java
在web.xml中添加
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
上一篇: JSP实现带查询条件的通用分页组件
下一篇: Java并发编程之闭锁与栅栏的实现