防止XSS流入的一种实现方式
防止XSS注入的一种实现方式
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。
比如说在表单input里输入<script>alert("xss")</script> 然后提交,就会在页面弹出窗口,所以我们就要过滤掉这些特殊字符。
我的实现方式是通过过滤器对请求进行包装,在包装类里重写了一些可能会出现xss攻击的方法,在该方法中过滤特殊字符。
首先是包装类XssHttpServletRequestWrapper
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.springframework.web.util.HtmlUtils;
/**
* XSS
* @author xieshangzhen
*
*/
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}
public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter);
if (values == null) return null;
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = cleanXSS(values[i]);
}
return encodedValues;
}
public String getParameter(String parameter) {
String value = super.getParameter(parameter);
if (value == null) return null;
return cleanXSS(value);
}
public String getHeader(String name) {
String value = super.getHeader(name);
if (value == null) return null;
return cleanXSS(value);
}
//这里可以自己实现转义,也可以直接用工具类进行转义,比如说org.apache.common.lang.StringEscapeUtils和org.springframework.web.util.HtmlUtils
private String cleanXSS(String value) {
/*StringBuilder buffer = new StringBuilder(value.length() + 16);
for (int i = 0; i < value.length(); i++) {
char c = value.charAt(i);
switch (c) {
case '>':
buffer.append(">");// 转义大于号
break;
case '<':
buffer.append("<");// 转义小于号
break;
case '\'':
buffer.append("'");// 转义单引号
break;
case '\"':
buffer.append("\""); // 转义双引号
break;
case '&':
buffer.append("&");// 转义&
break;
default:
buffer.append(c);
break;
}
}
return buffer.toString();*/
//直接用spring的HtmlUtils 进行html转义
if (value != null) {
value = HtmlUtils.htmlEscape(value);
}
return value;
}
这里说下XssHttpServletRequestWrapper是继承了HttpServletRequestWrapper,而不是直接去现实HttpServletRequest接口,
这样做的好处是不用把这个接口的里面的方法全部实现一遍,只需要重写想重写的方法就可以,因为在HttpServletRequestWrapper类里已经都有了默认的实现了。
接下来就是要写个过滤器了
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
/**
* XSS 过滤器
* @author xieshangzhen
*
*/
public class XssFilter implements Filter {
FilterConfig filterConfig = null;
public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
}
public void destroy() {
this.filterConfig = null;
}
//对request进行包装
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
}
}
然后在web.xml中配置过滤器,对所有的请求进行过滤
<filter> <filter-name>xssFilter</filter-name> <filter-class>com.xsz.xss.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping>
ok,大功告成,这时候再提交一段脚本语句<script>alert(1)</script> 会被转义成
<script>alert(1)</script>