欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

JSP使用过滤器防止Xss漏洞

程序员文章站 2022-03-06 23:17:18
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发xss漏洞的字符。而通常为了避免xss漏洞,...

在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发xss漏洞的字符。而通常为了避免xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起xss和sql注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免xss漏洞和sql注入。

那就是利用servlet的过滤器机制,编写定制的xssfilter,将request请求代理,覆盖getparameter和getheader方法将参数名和参数值里的指定半角字符,强制替换成全角字符。使得在业务层的处理时不用担心会有异常输入内容。

xssfilter.java

xsshttpservletrequestwrapper.java

在web.xml中添加

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。