山东信达建设工程有限公司网站,云服务器使用教程,h5个人网站代码,网站源码论坛关于xss的概念和解决方案网上很多#xff0c;可以参考这个#xff1a;http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen这里说下最近项目中我们的解决方案#xff0c;主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEsca…关于xss的概念和解决方案网上很多可以参考这个http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen这里说下最近项目中我们的解决方案主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。解决过程主要在用户输入和显示输出两步在输入时对特殊字符如 转义在输出时用jstl的fn:excapeXml(fff)方法。其中输入时的过滤是用一个filter来实现实现过程在web.xml加一个filterXssEscapecn.pconline.morden.filter.XssFilterXssEscape/*REQUESTXssFilter 的实现方式是实现servlet的Filter接口package cn.pconline.morden.filter;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import javax.servlet.http.HttpServletRequest;public class XssFilter implements Filter {Overridepublic void init(FilterConfig filterConfig) throws ServletException {}Overridepublic void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);}Overridepublic void destroy() {}}关键是XssHttpServletRequestWrapper的实现方式继承servlet的HttpServletRequestWrapper并重写相应的几个有可能带xss攻击的方法如package cn.pconline.morden.filter;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletRequestWrapper;import org.apache.commons.lang3.StringEscapeUtils;public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {public XssHttpServletRequestWrapper(HttpServletRequest request) {super(request);}Overridepublic String getHeader(String name) {return StringEscapeUtils.escapeHtml4(super.getHeader(name));}Overridepublic String getQueryString() {return StringEscapeUtils.escapeHtml4(super.getQueryString());}Overridepublic String getParameter(String name) {return StringEscapeUtils.escapeHtml4(super.getParameter(name));}Overridepublic String[] getParameterValues(String name) {String[] values super.getParameterValues(name);if(values ! null) {int length values.length;String[] escapseValues new String[length];for(int i 0; i length; i){escapseValues[i] StringEscapeUtils.escapeHtml4(values[i]);}return escapseValues;}return super.getParameterValues(name);}}到此为止在输入的过滤就完成了。在页面显示数据的时候只是简单地用fn:escapeXml()对有可能出现xss漏洞的地方做一下转义输出。复杂内容的显示具体问题再具体分析。另外有些情况不想显示过滤后内容的话可以用StringEscapeUtils.unescapeHtml4()这个方法把StringEscapeUtils.escapeHtml4()转义之后的字符恢复原样。
