HttpServletRequestWrapper 實現xss注入，

最後更新：2017-09-16 來源：互聯網

上載者：User

創建阿里雲帳戶，並獲得超過 40 款產品的免費試用版；而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊！

【轉】HttpServletRequestWrapper 實現xss注入，
這裡說下最近項目中我們的解決方案，主要用到commons-lang3-3.1.jar這個包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()這個方法。解決過程主要在使用者輸入和顯示輸出兩步：在輸入時對特殊字元如<>" ' & 轉義，在輸出時用jstl的fn:excapeXml("fff")方法。其中，輸入時的過濾是用一個filter來實現，實現過程：在web.xml加一個filter

    <filter>              <filter-name>XssEscape</filter-name>              <filter-class>cn.pconline.morden.filter.XssFilter</filter-class>          </filter>          <filter-mapping>              <filter-name>XssEscape</filter-name>              <url-pattern>/*</url-pattern>              <dispatcher>REQUEST</dispatcher>          </filter-mapping>

XssFilter 的實現方式是實現servlet的Filter介面

    package cn.pconline.morden.filter;            import java.io.IOException;            import javax.servlet.Filter;      import javax.servlet.FilterChain;      import javax.servlet.FilterConfig;      import javax.servlet.ServletException;      import javax.servlet.ServletRequest;      import javax.servlet.ServletResponse;      import javax.servlet.http.HttpServletRequest;            public class XssFilter implements Filter {                    @Override          public void init(FilterConfig filterConfig) throws ServletException {          }                @Override          public void doFilter(ServletRequest request, ServletResponse response,                  FilterChain chain) throws IOException, ServletException {              chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);          }                @Override          public void destroy() {          }      }

關鍵是XssHttpServletRequestWrapper的實現方式，繼承servlet的HttpServletRequestWrapper，並重寫相應的幾個有可能帶xss攻擊的方法，如：

    package cn.pconline.morden.filter;            import javax.servlet.http.HttpServletRequest;      import javax.servlet.http.HttpServletRequestWrapper;            import org.apache.commons.lang3.StringEscapeUtils;            public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {                public XssHttpServletRequestWrapper(HttpServletRequest request) {              super(request);          }                @Override          public String getHeader(String name) {              return StringEscapeUtils.escapeHtml4(super.getHeader(name));          }                @Override          public String getQueryString() {              return StringEscapeUtils.escapeHtml4(super.getQueryString());          }                @Override          public String getParameter(String name) {              return StringEscapeUtils.escapeHtml4(super.getParameter(name));          }                @Override          public String[] getParameterValues(String name) {              String[] values = super.getParameterValues(name);              if(values != null) {                  int length = values.length;                  String[] escapseValues = new String[length];                  for(int i = 0; i < length; i++){                      escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);                  }                  return escapseValues;              }              return super.getParameterValues(name);          }                }

到此為止，在輸入的過濾就完成了。

在頁面顯示資料的時候，只是簡單地用fn:escapeXml()對有可能出現xss漏洞的地方做一下轉義輸出。

複雜內容的顯示，具體問題再具體分析。

另外，有些情況不想顯示過濾後內容的話，可以用StringEscapeUtils.unescapeHtml4()這個方法，把StringEscapeUtils.escapeHtml4()轉義之後的字元恢複原樣。

本文章原先以中文撰寫並發佈於 aliyun.com，亦設英文版本，僅作資訊用途。本網站不對文章的準確性，完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴，請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡，一經驗證之後，即會刪除該侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

Sales Support

1 on 1 presale consultation

Chat Contact Sales
After-Sales Support

24/7 Technical Support 6 Free Tickets per Quarter Faster Response

Open a Ticket
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

Learn More