JSP使用過濾器防止Xss漏洞
在用java進行web業務開發的時候,對于頁面上接收到的參數,除了極少數是步可預知的內容外,大量的參數名和參數值都是不會出現觸發xss漏洞的字符。而通常為了避免xss漏洞,都是開發人員各自在頁面輸出和數據入庫等地方加上各種各樣的encode方法來避免xss問題。而由于開發人員的水平不一,加上在編寫代碼的過程中安全意識的差異,可能會粗心漏掉對用戶輸入內容進行encode處理。針對這種大量參數是不可能出現引起xss和sql注入漏洞的業務場景下,因此可以使用一個適用大多數業務場景的通用處理方法,犧牲少量用戶體驗,來避免xss漏洞和sql注入。
那就是利用servlet的過濾器機制,編寫定制的xssfilter,將request請求代理,覆蓋getparameter和getheader方法將參數名和參數值里的指定半角字符,強制替換成全角字符。使得在業務層的處理時不用擔心會有異常輸入內容。
xssfilter.java
package filter;
import java.io.ioexception;
import javax.servlet.filter;
import javax.servlet.filterchain;
import javax.servlet.filterconfig;
import javax.servlet.servletexception;
import javax.servlet.servletrequest;
import javax.servlet.servletresponse;
import javax.servlet.http.httpservletrequest;
public class xssfilter implements filter {
public void init(filterconfig config) throws servletexception {
}
public void dofilter(servletrequest request, servletresponse response,
filterchain chain) throws ioexception, servletexception
{
xsshttpservletrequestwrapper xssrequest = new xsshttpservletrequestwrapper(
(httpservletrequest) request);
chain.dofilter(xssrequest, response);
}
public void destroy() {
}
} xsshttpservletrequestwrapper.java
package filter;
import javax.servlet.http.httpservletrequest;
import javax.servlet.http.httpservletrequestwrapper;
public class xsshttpservletrequestwrapper extends httpservletrequestwrapper {
httpservletrequest orgrequest = null;
public xsshttpservletrequestwrapper(httpservletrequest request) {
super(request);
orgrequest = request;
}
/**
* 覆蓋getparameter方法,將參數名和參數值都做xss過濾。
* 如果需要獲得原始的值,則通過super.getparametervalues(name)來獲取
* getparameternames,getparametervalues和getparametermap也可能需要覆蓋
*/
@override
public string getparameter(string name) {
string value = super.getparameter(xssencode(name));
if (value != null) {
value = xssencode(value);
}
return value;
}
/**
* 覆蓋getheader方法,將參數名和參數值都做xss過濾。
* 如果需要獲得原始的值,則通過super.getheaders(name)來獲取
* getheadernames 也可能需要覆蓋
*/
@override
public string getheader(string name) {
string value = super.getheader(xssencode(name));
if (value != null) {
value = xssencode(value);
}
return value;
}
/**
* 將容易引起xss漏洞的半角字符直接替換成全角字符
*
* @param s
* @return
*/
private static string xssencode(string s) {
if (s == null || s.isempty()) {
return s;
}
stringbuilder sb = new stringbuilder(s.length() + 16);
for (int i = 0; i < s.length(); i++) {
char c = s.charat(i);
switch (c) {
case '>':
sb.append('>');//全角大于號
break;
case '<':
sb.append('<');//全角小于號
break;
case '\'':
sb.append('‘');//全角單引號
break;
case '\"':
sb.append('“');//全角雙引號
break;
case '&':
sb.append('&');//全角
break;
case '\\':
sb.append('\');//全角斜線
break;
case '#':
sb.append('#');//全角井號
break;
default:
sb.append(c);
break;
}
}
return sb.tostring();
}
/**
* 獲取最原始的request
*
* @return
*/
public httpservletrequest getorgrequest() {
return orgrequest;
}
/**
* 獲取最原始的request的靜態方法
*
* @return
*/
public static httpservletrequest getorgrequest(httpservletrequest req) {
if(req instanceof xsshttpservletrequestwrapper){
return ((xsshttpservletrequestwrapper)req).getorgrequest();
}
return req;
}
} 在web.xml中添加
xssfilter filter.xssfilter xssfilter /*
相關文章
- jsp+servlet實現文件上傳與下載功能
- EJB3.0部署消息驅動Bean拋javax.naming.NameNotFoundException異常
- 在JSP中使用formatNumber控制要顯示的小數位數方法
- 秒殺系統Web層設計的實現方法
- 將properties文件的配置設置為整個Web應用的全局變量實現方法
- JSP使用過濾器防止Xss漏洞
- 在JSP頁面中動態生成圖片驗證碼的方法實例
- 詳解JSP 內置對象request常見用法
- 使用IDEA編寫jsp時EL表達式不起作用的問題及解決方法
- jsp實現局部刷新頁面、異步加載頁面的方法
- Jsp中request的3個基礎實踐
- JavaServlet的文件上傳和下載實現方法
- JSP頁面的靜態包含和動態包含使用方法
JSP技巧