1. 自己写 filter 拦截来实现,但要注意的时,在WEB.XML 中配置 filter 的时候,请将这个 filter 放在第一位.
2. 采用开源的实现 ESAPI library
3. 可以采用spring 里面提供的工具类来实现.
一, 第一种方法。
web.xml文件Filter配置
XssFilter
新编写XssFilter路径
XssFilter
/*
编写Filter过滤器
public class XSSFilter implements Filter {
@Override public void init(FilterConfig filterConfig) throws ServletException {
}
@Override public void destroy() {
}
@Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
}
}
再实现 ServletRequest 的包装类
import java.util.regex.Pattern;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletRequestWrapper;public class XSSRequestWrapper extends HttpServletRequestWrapper { public XSSRequestWrapper(HttpServletRequest servletRequest) { super(servletRequest);
}
@Override public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter); if (values == null) { return null;
} int count = values.length;
String[] encodedValues = new String[count]; for (int i = 0; i
例子中注释的部分,就是采用 ESAPI library 来防止XSS攻击的,推荐使用.
当然,我还看到这样一种办法,将所有的编程全角字符的解决方式,但个人觉得并没有上面这种用正则表达式替换的好
private static String xssEncode(String s) {
if (s == null || s.equals("")) {
return s;
}
StringBuilder sb = new StringBuilder(s.length() + 16);
for (int i = 0; i ':
sb.append('>');// 全角大于号 break;
case '
当然,还有如下更简单的方式:
private String cleanXSS(String value) { //You'll need to remove the spaces from the html entities below
value = value.replaceAll("", "& gt;");
value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
value = value.replaceAll("'", "& #39;");
value = value.replaceAll("eval\\((.*)\\)", "");
value = value.replaceAll("[\\\"\\\'][\\s]*[removed](.*)[\\\"\\\']", "\"\"");
value = value.replaceAll("script", ""); return value;
}
在后台或者用spring 如何实现呢:
首先添加一个jar包:commons-lang-2.5.jar ,然后在后台调用这些函数:StringEscapeUtils.escapeHtml(string);
StringEscapeUtils.escapeJavaScript(string);
StringEscapeUtils.escapeSql(string);