在用java進行web業務開發的時候���,對于頁面上接收到的參數,除了極少數是步可預知的內容外���,大量的參數名和參數值都是不會出現觸發Xss漏洞的字符����。而通常為了避免Xss漏洞����,都是開發人員各自在頁面輸出和數據入庫等地方加上各種各樣的encode方法來避免Xss問題���。而由于開發人員的水平不一���,加上在編寫代碼的過程中安全意識的差異�����,可能會粗心漏掉對用戶輸入內容進行encode處理��。針對這種大量參數是不可能出現引起Xss和SQL注入漏洞的業務場景下,因此可以使用一個適用大多數業務場景的通用處理方法���,犧牲少量用戶體驗,來避免Xss漏洞和SQL注入����。
那就是利用Servlet的過濾器機制���,編寫定制的XssFilter���,將request請求代理�����,覆蓋getParameter和getHeader方法將參數名和參數值里的指定半角字符,強制替換成全角字符。使得在業務層的處理時不用擔心會有異常輸入內容����。
XssFilter.java
package filter; import java.io.IOException; import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import javax.servlet.http.HttpServletRequest; public class XssFilter implements Filter { public void init(FilterConfig config) throws ServletException { } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper( (HttpServletRequest) request); chain.doFilter(xssRequest, response);} public void destroy() { }}XssHttpServletRequestWrapper.java
package filter;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletRequestWrapper; public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest orgRequest = null; public XssHttpServletRequestWrapper(HttpServletRequest request) { super(request); orgRequest = request; } /** * 覆蓋getParameter方法,將參數名和參數值都做xss過濾�。<br/> * 如果需要獲得原始的值�,則通過super.getParameterValues(name)來獲取<br/> * getParameterNames,getParameterValues和getParameterMap也可能需要覆蓋 */ @Override public String getParameter(String name) { String value = super.getParameter(xssEncode(name)); if (value != null) { value = xssEncode(value); } return value;} /** * 覆蓋getHeader方法��,將參數名和參數值都做xss過濾��。<br/> * 如果需要獲得原始的值,則通過super.getHeaders(name)來獲取<br/> * getHeaderNames 也可能需要覆蓋*/ @Override public String getHeader(String name) { String value = super.getHeader(xssEncode(name)); if (value != null) { value = xssEncode(value); } return value;} /** * 將容易引起xss漏洞的半角字符直接替換成全角字符 * * @param s * @return*/private static String xssEncode(String s) {if (s == null || s.isEmpty()) {return s;} StringBuilder sb = new StringBuilder(s.length() + 16); for (int i = 0; i < s.length(); i++) { char c = s.charAt(i); switch (c) { case '>': sb.append('>');//全角大于號 break; case '<': sb.append('<');//全角小于號 break; case '/'': sb.append('‘');//全角單引號 break; case '/"': sb.append('“');//全角雙引號 break; case '&': sb.append('&');//全角 break; case '//': sb.append('\');//全角斜線 break; case '#': sb.append('#');//全角井號 break; default: sb.append(c); break; }} return sb.toString();} /*** 獲取最原始的request** @return*/public HttpServletRequest getOrgRequest() {return orgRequest;}/*** 獲取最原始的request的靜態方法** @return*/ public static HttpServletRequest getOrgRequest(HttpServletRequest req) { if(req instanceof XssHttpServletRequestWrapper){ return ((XssHttpServletRequestWrapper)req).getOrgRequest();} return req;}} 在web.xml中添加
<filter><filter-name>xssFilter</filter-name> <filter-class>filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-pattern>/*</url-pattern></filter-mapping>
以上就是本文的全部內容�,希望對大家的學習有所幫助���,也希望大家多多支持武林網�。
