防止XSS注入的一种实现方式

xss表示Cross Site Scripting(跨站脚本攻击)，它与SQL注入攻击类似，SQL注入攻击中以SQL语句作为用户输入，从而达到查询/修改/删除数据的目的，而在xss攻击中，通过插入恶意脚本，实现对用户游览器的控制。

 

比如说在表单input里输入<script>alert("xss")</script> 然后提交，就会在页面弹出窗口，所以我们就要过滤掉这些特殊字符。

 

我的实现方式是通过过滤器对请求进行包装，在包装类里重写了一些可能会出现xss攻击的方法，在该方法中过滤特殊字符。

 

首先是包装类XssHttpServletRequestWrapper

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.springframework.web.util.HtmlUtils;

/**
 * XSS 
 * @author xieshangzhen
 *
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
	
	public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
		super(servletRequest);
	}
	
	public String[] getParameterValues(String parameter) {
		String[] values = super.getParameterValues(parameter);
		if (values == null) return null;
		
		int count = values.length;
		String[] encodedValues = new String[count];
		for (int i = 0; i < count; i++) {
			encodedValues[i] = cleanXSS(values[i]);
		}
		
		return encodedValues;
	}
	
	public String getParameter(String parameter) {
		String value = super.getParameter(parameter);
		if (value == null) return null;
		
		return cleanXSS(value);
	}
	
	public String getHeader(String name) {
		String value = super.getHeader(name);
		if (value == null) return null;
		
		return cleanXSS(value);
	}
	
        //这里可以自己实现转义，也可以直接用工具类进行转义，比如说org.apache.common.lang.StringEscapeUtils和org.springframework.web.util.HtmlUtils
	private String cleanXSS(String value) {
		/*StringBuilder buffer = new StringBuilder(value.length() + 16);
		for (int i = 0; i < value.length(); i++) {
			char c = value.charAt(i);
			switch (c) {
			 case '>':
				 buffer.append(">");// 转义大于号
				 break;
			 case '<':
				 buffer.append("<");// 转义小于号
				 break;
			 case '\'':
				 buffer.append("'");// 转义单引号
				 break;
			 case '\"':
				 buffer.append("\""); // 转义双引号
				 break;
			 case '&':
				 buffer.append("&");// 转义&
				 break;
			 default:
				 buffer.append(c);
				 break;
			 }
		}
		
		return buffer.toString();*/
		//直接用spring的HtmlUtils 进行html转义
		if (value != null) {
			value = HtmlUtils.htmlEscape(value);
		}
		return value;
	}

 这里说下XssHttpServletRequestWrapper是继承了HttpServletRequestWrapper,而不是直接去现实HttpServletRequest接口，

这样做的好处是不用把这个接口的里面的方法全部实现一遍，只需要重写想重写的方法就可以，因为在HttpServletRequestWrapper类里已经都有了默认的实现了。

 

接下来就是要写个过滤器了

 

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * XSS 过滤器
 * @author xieshangzhen
 *
 */
public class XssFilter implements Filter {
	
	FilterConfig filterConfig = null;
	
	public void init(FilterConfig filterConfig) throws ServletException {
		this.filterConfig = filterConfig;
	}
	
	public void destroy() {
		this.filterConfig = null;
	}
	//对request进行包装
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
	}
}

 

然后在web.xml中配置过滤器，对所有的请求进行过滤

 

<filter>
		<filter-name>xssFilter</filter-name>
		<filter-class>com.xsz.xss.XssFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>xssFilter</filter-name>
		<url-pattern>/*</url-pattern>
		<dispatcher>REQUEST</dispatcher>
	</filter-mapping>

 

ok，大功告成，这时候再提交一段脚本语句<script>alert(1)</script> 会被转义成

<script>alert(1)</script>