常春岛资源网

JSP过滤器防止Xss漏洞的实现方法(分享)
网络编程 2025/11/9 佚名
3 2
常春岛资源网 Design By www.syssdc.com

在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。

那就是利用Servlet的过滤器机制,编写定制的XssFilter,将request请求代理,覆盖getParameter和getHeader方法将参数名和参数值里的指定半角字符,强制替换成全角字符。使得在业务层的处理时不用担心会有异常输入内容。

Filter负责将请求的request包装一下。

XssFilter.Java

package filter; 
 
import java.io.IOException; 
 
import javax.servlet.Filter; 
import javax.servlet.FilterChain; 
import javax.servlet.FilterConfig; 
import javax.servlet.ServletException; 
import javax.servlet.ServletRequest; 
import javax.servlet.ServletResponse; 
import javax.servlet.http.HttpServletRequest; 
 
public class XssFilter implements Filter { 
 
public void init(FilterConfig config) throws ServletException { 
} 
 
public void doFilter(ServletRequest request, ServletResponse response, 
FilterChain chain) throws IOException, ServletException  
{ 
XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper( 
(HttpServletRequest) request); 
chain.doFilter(xssRequest, response); 
} 
 
public void destroy() { 
} 
}

request包装器,负责过滤掉非法的字符。

XssHttpServletRequestWrapper.java

package filter; 
import javax.servlet.http.HttpServletRequest; 
import javax.servlet.http.HttpServletRequestWrapper; 
 
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { 
HttpServletRequest orgRequest = null; 
 
public XssHttpServletRequestWrapper(HttpServletRequest request) { 
super(request); 
orgRequest = request; 
} 
 
/** 
* 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/> 
* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> 
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
*/ 
@Override 
public String getParameter(String name) { 
String value = super.getParameter(xssEncode(name)); 
if (value != null) { 
value = xssEncode(value); 
} 
return value; 
} 
 
/** 
* 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/> 
* 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> 
* getHeaderNames 也可能需要覆盖 
*/ 
@Override 
public String getHeader(String name) { 
 
String value = super.getHeader(xssEncode(name)); 
if (value != null) { 
value = xssEncode(value); 
} 
return value; 
} 
 
/** 
* 将容易引起xss漏洞的半角字符直接替换成全角字符 
* 
* @param s 
* @return 
*/ 
private static String xssEncode(String s) { 
if (s == null || s.isEmpty()) { 
return s; 
} 
StringBuilder sb = new StringBuilder(s.length() + 16); 
for (int i = 0; i < s.length(); i++) { 
char c = s.charAt(i); 
switch (c) { 
case '>': 
sb.append('>');//全角大于号 
break; 
case '<': 
sb.append('<');//全角小于号 
break; 
case '\'': 
sb.append('‘');//全角单引号 
break; 
case '\"': 
sb.append('“');//全角双引号 
break; 
case '&': 
sb.append('&');//全角 
break; 
case '\\': 
sb.append('\');//全角斜线 
break; 
case '#': 
sb.append('#');//全角井号 
break; 
default: 
sb.append(c); 
break; 
} 
} 
return sb.toString(); 
} 
 
/** 
* 获取最原始的request 
* 
* @return 
*/ 
public HttpServletRequest getOrgRequest() { 
return orgRequest; 
} 
/** 
* 获取最原始的request的静态方法 
* 
* @return 
*/ 
public static HttpServletRequest getOrgRequest(HttpServletRequest req) { 
if(req instanceof XssHttpServletRequestWrapper){ 
return ((XssHttpServletRequestWrapper)req).getOrgRequest(); 
} 
 
return req; 
} 
}

在web.xml中添加

<filter> 
<filter-name>xssFilter</filter-name> 
<filter-class>filter.XssFilter</filter-class> 
</filter> 
<filter-mapping> 
<filter-name>xssFilter</filter-name> 
<url-pattern>/*</url-pattern> 
</filter-mapping>

以上这篇JSP过滤器防止Xss漏洞的实现方法(分享)就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持。

标签:
jsp,防止,xss,过滤器
常春岛资源网 Design By www.syssdc.com
广告合作:本站广告合作请联系QQ:858582 申请时备注:广告合作(否则不回)
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
常春岛资源网 Design By www.syssdc.com
www.syssdc.com 常春岛资源网
139,976互联网资源
144,792高清电影
21,817无损音乐
631,128技术资源

《魔兽世界》大逃杀!60人新游玩模式《强袭风暴》3月21日上线

暴雪近日发布了《魔兽世界》10.2.6 更新内容,新游玩模式《强袭风暴》即将于3月21 日在亚服上线,届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。

艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕,并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时,他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中,玩家将会进入一个全新的海盗主题大逃杀式限时活动,其中包含极高的风险和史诗级的奖励。

《强袭风暴》不是普通的战场,作为一个独立于主游戏之外的活动,玩家可以用大逃杀的风格来体验《魔兽世界》,不分职业、不分装备(除了你在赛局中捡到的),光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式,玩家在加入海盗主题的预赛大厅区域前,可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹,《巨龙崛起》和《魔兽世界:巫妖王之怒 经典版》的玩家都可以获得奖励。

更新日志

友情链接

杰晶网络 DDR爱好者之家 桃源资源网 杰网资源 MicroAirGrinder 南强小屋 幽灵资源网 相思资源网 明霞山资源网 内蒙古资源网 黑松山资源网 大旗谷资源网 常春岛资源网 岱庙资源网 兴国资源网 HerbalExtract 蝙蝠岛资源网 白云城资源网 天枫庄资源网 无争山庄资源网 HerbalExtracts FoodColouring NaturalHerbal HerbalOnline NaturalColouring 更多链接
常春岛资源网 Design By www.syssdc.com