跨站脚本攻击
XSS攻击全称跨站脚本攻击(Cross-site scripting),为和CSS区别,改为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意的web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。 XSS攻击的产生原因是对外部输入的参数没有做严格过滤,导致输入参数直接参与页面源代码,相当于页面源代码可以被外部修改,因此可能被改变页面结构、植入恶意脚本,可被用于钓鱼、盗取数据、篡改页面等。解决的方法是加强页面输出过滤或转义,如ESAPI的Encoder转义、自定义转义,或者采用不存在XSS风险的页面标签进行输出。
防止跨站脚本攻击参数转义
web.xml添加过滤器
<filter>
<filter-name>Escape</filter-name>
<filter-class>com..filter.EscapeFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>Escape</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
import java.io.IOException;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Map;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.util.HtmlUtils;
public class EscapeFilter implements Filter {
@Override
public void destroy() {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
WebUtil.setRequest((HttpServletRequest) request);
WebUtil.setResponse((HttpServletResponse)response);
HttpServletRequest req = (HttpServletRequest) request;
String method = req.getMethod().toUpperCase();
if(method.equals("POST")){
boolean falg = false ;
Map<String, Object> paramMap = new HashMap<String, Object>();
//获取所有参数
@SuppressWarnings("rawtypes")
Enumeration enu = req.getParameterNames();
while(enu.hasMoreElements()){
String paraName = (String)enu.nextElement();
//对参数值进行HTML转义
paramMap.put(paraName, HtmlUtils.htmlEscape(req.getParameter(paraName)));
//曾在需要转义参数
if(!req.getParameter(paraName).equals(HtmlUtils.htmlEscape(req.getParameter(paraName)))){
falg = true;
}
}
if(falg){
ParameterRequestWrapper parameterRequestWrapper = new ParameterRequestWrapper(req, paramMap);
chain.doFilter(parameterRequestWrapper, response);
return;
}
}
chain.doFilter(request, response);
}
@Override
public void init(FilterConfig config) throws ServletException {
}
}