java 防止xss攻击 通过filter的方法

http://breezylee.iteye.com/blog/2063615

注意:如果form表单里增加了enctype="multipart/form-data" 这个属性,会导致 HttpServletRequestWrapper
里取不到表单里的内容

关于xss的概念和解决方案网上很多，可以参考这个：
http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen
这里说下最近项目中我们的解决方案，主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。

解决过程主要在用户输入和显示输出两步：在输入时对特殊字符如<>" ' & 转义，在输出时用jstl的fn:excapeXml("fff")方法。

其中，输入时的过滤是用一个filter来实现，

实现过程：

在web.xml加一个filter

Xml代码


<filter>

<filter-name>XssEscape</filter-name>

<filter-class>cn.pconline.morden.filter.XssFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>XssEscape</filter-name>

<url-pattern>/*</url-pattern>

<dispatcher>REQUEST</dispatcher>

</filter-mapping>

XssFilter 的实现方式是实现servlet的Filter接口

Java代码


package cn.pconline.morden.filter;



import java.io.IOException;



import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;



public class XssFilter implements Filter {



@Override

public void init(FilterConfig filterConfig) throws ServletException {

}



@Override

public void doFilter(ServletRequest request, ServletResponse response,

FilterChain chain) throws IOException, ServletException {

chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);

}



@Override

public void destroy() {

}

}

关键是XssHttpServletRequestWrapper的实现方式，继承servlet的HttpServletRequestWrapper，并重写相应的几个有可能带xss攻击的方法，如：

Java代码


package cn.pconline.morden.filter;



import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;



import org.apache.commons.lang3.StringEscapeUtils;



public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {



public XssHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

}



@Override

public String getHeader(String name) {

return StringEscapeUtils.escapeHtml4(super.getHeader(name));

}



@Override

public String getQueryString() {

return StringEscapeUtils.escapeHtml4(super.getQueryString());

}



@Override

public String getParameter(String name) {

return StringEscapeUtils.escapeHtml4(super.getParameter(name));

}



@Override

public String[] getParameterValues(String name) {

String[] values = super.getParameterValues(name);

if(values != null) {

int length = values.length;

String[] escapseValues = new String[length];

for(int i = 0; i < length; i++){

escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);

}

return escapseValues;

}

return super.getParameterValues(name);

}



}

到此为止，在输入的过滤就完成了。



在页面显示数据的时候，只是简单地用fn:escapeXml()对有可能出现xss漏洞的地方做一下转义输出。

复杂内容的显示，具体问题再具体分析。



另外，有些情况不想显示过滤后内容的话，可以用StringEscapeUtils.unescapeHtml4()这个方法，把StringEscapeUtils.escapeHtml4()转义之后的字符恢复原样。