java 防止xss攻擊

關於xss的概念和解決方案網上很多，可以參考這個：

http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen

這里說下最近項目中我們的解決方案，主要用到commons-lang3-3.1.jar這個包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()這個方法。

解決過程主要在用戶輸入和顯示輸出兩步：在輸入時對特殊字符如<>" ' & 轉義，在輸出時用jstl的fn:excapeXml("fff")方法。

其中，輸入時的過濾是用一個filter來實現，

實現過程：

在web.xml加一個filter

Xml代碼  

1. <filter>  
2.         <filter-name>XssEscape</filter-name>  
3.         <filter-class>cn.pconline.morden.filter.XssFilter</filter-class>  
4.     </filter>  
5.     <filter-mapping>  
6.         <filter-name>XssEscape</filter-name>  
7.         <url-pattern>/*</url-pattern>  
8.         <dispatcher>REQUEST</dispatcher>  
9.     </filter-mapping>  

XssFilter 的實現方式是實現servlet的Filter接口

Java代碼  

1. package cn.pconline.morden.filter;  
2.   
3. import java.io.IOException;  
4.   
5. import javax.servlet.Filter;  
6. import javax.servlet.FilterChain;  
7. import javax.servlet.FilterConfig;  
8. import javax.servlet.ServletException;  
9. import javax.servlet.ServletRequest;  
10. import javax.servlet.ServletResponse;  
11. import javax.servlet.http.HttpServletRequest;  
12.   
13. public class XssFilter implements Filter {  
14.       
15.     @Override  
16.     public void init(FilterConfig filterConfig) throws ServletException {  
17.     }  
18.   
19.     @Override  
20.     public void doFilter(ServletRequest request, ServletResponse response,  
21.             FilterChain chain) throws IOException, ServletException {  
22.         chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);  
23.     }  
24.   
25.     @Override  
26.     public void destroy() {  
27.     }  
28. }  

 關鍵是XssHttpServletRequestWrapper的實現方式，繼承servlet的HttpServletRequestWrapper，並重寫相應的幾個有可能帶xss攻擊的方法，如：

Java代碼  

1. package cn.pconline.morden.filter;  
2.   
3. import javax.servlet.http.HttpServletRequest;  
4. import javax.servlet.http.HttpServletRequestWrapper;  
5.   
6. import org.apache.commons.lang3.StringEscapeUtils;  
7.   
8. public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
9.   
10.     public XssHttpServletRequestWrapper(HttpServletRequest request) {  
11.         super(request);  
12.     }  
13.   
14.     @Override  
15.     public String getHeader(String name) {  
16.         return StringEscapeUtils.escapeHtml4(super.getHeader(name));  
17.     }  
18.   
19.     @Override  
20.     public String getQueryString() {  
21.         return StringEscapeUtils.escapeHtml4(super.getQueryString());  
22.     }  
23.   
24.     @Override  
25.     public String getParameter(String name) {  
26.         return StringEscapeUtils.escapeHtml4(super.getParameter(name));  
27.     }  
28.   
29.     @Override  
30.     public String[] getParameterValues(String name) {  
31.         String[] values = super.getParameterValues(name);  
32.         if(values != null) {  
33.             int length = values.length;  
34.             String[] escapseValues = new String[length];  
35.             for(int i = 0; i < length; i++){  
36.                 escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);  
37.             }  
38.             return escapseValues;  
39.         }  
40.         return super.getParameterValues(name);  
41.     }  
42.       
43. }  

到此為止，在輸入的過濾就完成了。

 

在頁面顯示數據的時候，只是簡單地用fn:escapeXml()對有可能出現xss漏洞的地方做一下轉義輸出。

復雜內容的顯示，具體問題再具體分析。

 

另外，有些情況不想顯示過濾后內容的話，可以用StringEscapeUtils.unescapeHtml4()這個方法，把StringEscapeUtils.escapeHtml4()轉義之后的字符恢復原樣。