一般来说，系统进行表单数据处理时都需要解决类似XSS攻击以及转义这样的问题，这样的问题具有普遍性，不可能在每个提交表单数据的处理中都加入重复的处理代码。通常通过 Filter 或 Interceptor 来拦截处理。

这里介绍下通过 Filter 进行XSS过滤的方法。

大致流程
流程：使用Filter拦截请求，将普通请求转化为包装过的可以处理XSS的自定义请求，之后获取参数时都会经过XSS处理。

主要实现类：

XssFilter

public class XssFilter implements Filter {

    private static final String[] EXCLUDE_URIS = new String[] {
            "/archivefiles/ajaxsimpleupload"// 上传全文
            , "/archivefiles/ajaxuploadannex"// 上传附件
            , "/importfilelist"// 导入文件
            , "/export"// 导出文件
    };

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        String reqURI = UrlUtils.getReqURI(req);

        // 默认是需要进行XSS过滤的，当请求为排除的URI时，替换为原来的request
        ServletRequest newRequest = new XsslHttpServletRequestWrapper((HttpServletRequest) request);
        for (String excludeUri : EXCLUDE_URIS) {
            if (reqURI.contains(excludeUri)) {
                newRequest = request;
                break;
            }
        }
        chain.doFilter(newRequest, response);
    }

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    public void destroy() {
    }
}

XssHttpServletRequestWrapper

/**
 * xss 通过重写参数获取方法实现.
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

  HttpServletRequest xssRequest = null;

  public XsslHttpServletRequestWrapper(HttpServletRequest request) {
    super(request);
    xssRequest = request;
  }

  @Override
  public String getParameter(String name) {
    String value = super.getParameter(name);
    if (value != null) {
      value = xssReplace(value);
    }
    return value;
  }

  @Override
  public String[] getParameterValues(String name) {
    String[] values = super.getParameterValues(name);
    if (values != null && values.length > 0) {
      for (int i = 0; i < values.length; i++) {
        values[i] = xssReplace(values[i]);
      }
    }
    return values;
  }

  @Override
  public String getHeader(String name) {
    String value = super.getHeader(name);
    if (value != null) {
      value = xssReplace(value);
    }
    return value;
  }

  private String xssReplace(String value) {
    String reslut = "";
    if (JacksonUtils.isJsonObjectOrJsonArray(value)) {
      reslut = XssUtils.transferJson(value);
    } else {
      // 对参数值进行过滤.
      reslut = XssUtils.xssReplace(value);
    }
    return reslut;
  }
}

张育嘉

发布了107 篇原创文章 · 获赞 88 · 访问量 26万+

私信关注

【技术总结】使用Filter进行XSS过滤

主要实现类：

猜你喜欢