2 人收藏此文章, 发表于3个月前(2013-07-24 14:08) , 已有 200 次阅读 ,共 5 个评论
如果系统中,没有富文本编辑器的功能,那么对于XSS过滤可以采用如下方式过滤
如果采用了struts2,那么需要重写StrutsRequestWrapper
如果没有采用struts2,那么直接重写HttpServletRequestWraper
在自定义的HttpServletRequestWraper中需要重写getParameterMap()方法才行,如下:
@Override public Map<String, String[]> getParameterMap() { Map<String, String[]> paramMap = super.getParameterMap(); Set<String> keySet = paramMap.keySet(); for (Iterator iterator = keySet.iterator(); iterator.hasNext();) { String key = (String) iterator.next(); String[] str = paramMap.get(key); // for(int i=0; i<str.length; i++) { // str[i] = str[i]+"1"; //这里可以对页面传入的所有值进行过滤了,你想怎么处理就怎么处理。比如对出入的值进行html危险字符过滤 } } return paramMap ; }
在自定义的过滤器中需要把
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
FilterChain filterChain) throws IOException, ServletException { MyHttpServletRequestWraper request
= new MyHttpServletRequestWraper((HttpServletRequest)servletRequest);
HttpServletResponse response = (HttpServletResponse)servletResponse;
filterChain.doFilter(request, response);
}
这样在struts2注入值之前就对页面传过来的值进行了过滤