XSS防御篇

上周要求写自己用任何语言写一个留言版，存到数据库中，用自己的办法来解决XSS

我用了JSP+MYSQL，自己写了一个过滤器来防御WEB XSS漏洞

package com.mess.filter;

public class HtmlFilter {
public static String filter(String html) {
if (html == null) {
return null;
}
StringBuilder sb = new StringBuilder(html.length());
for (int i = 0; i < html.length(); i++) {
char c = html.charAt(i);
switch (c) {
case '>':
sb.append(">");
break;
case '<':
sb.append("<");
break;
case '&':
sb.append("&");
break;
case '"':
sb.append("&quit;");
break;
case '\'':
sb.append("'");
break;
default:
sb.append(c);
break;
}
}
return sb.toString();
}

}

String title = HtmlFilter.filter(request.getParameter("title"));
String content = HtmlFilter.filter(request.getParameter("content"));

在加入数据库前编码一下就可以了。虽然XSS形成的多种多样，很难防御。但是这样的话对中小公司基本足够了。

如果觉得不够可以参考使用OWASP ESAPI，不仅仅可以防御XSS，还可以防御SQL等常见WEB漏洞。