在用java进行web业务开发的时候，对于页面上接收到的参数，除了极少数是步可预知的内容外，大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞，都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一，加上在编写代码的过程中安全意识的差异，可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下，因此可以使用一个适用大多数业务场景的通用处理方法，牺牲少量用户体验，来避免Xss漏洞和SQL注入。

那就是利用Servlet的过滤器机制，编写定制的XssFilter，将request请求代理，覆盖getParameter和getHeader方法将参数名和参数值里的指定半角字符，强制替换*角字符。使得在业务层的处理时不用担心会有异常输入内容。

Filter负责将请求的request包装一下。

XssFilter.Java

package filter; 
 
import java.io.IOException; 
 
import javax.servlet.Filter; 
import javax.servlet.FilterChain; 
import javax.servlet.FilterConfig; 
import javax.servlet.ServletException; 
import javax.servlet.ServletRequest; 
import javax.servlet.ServletResponse; 
import javax.servlet.http.HttpServletRequest; 
 
public class XssFilter implements Filter { 
 
public void init(FilterConfig config) throws ServletException { 
} 
 
public void doFilter(ServletRequest request, ServletResponse response, 
FilterChain chain) throws IOException, ServletException  
{ 
XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper( 
(HttpServletRequest) request); 
chain.doFilter(xssRequest, response); 
} 
 
public void destroy() { 
} 
} 

request包装器，负责过滤掉非法的字符。

XssHttpServletRequestWrapper.java

package filter; 
import javax.servlet.http.HttpServletRequest; 
import javax.servlet.http.HttpServletRequestWrapper; 
 
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { 
HttpServletRequest orgRequest = null; 
 
public XssHttpServletRequestWrapper(HttpServletRequest request) { 
super(request); 
orgRequest = request; 
} 
 
/** 
* 覆盖getParameter方法，将参数名和参数值都做xss过滤。<br/> 
* 如果需要获得原始的值，则通过super.getParameterValues(name)来获取<br/> 
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
*/ 
@Override 
public String getParameter(String name) { 
String value = super.getParameter(xssEncode(name)); 
if (value != null) { 
value = xssEncode(value); 
} 
return value; 
} 
 
/** 
* 覆盖getHeader方法，将参数名和参数值都做xss过滤。<br/> 
* 如果需要获得原始的值，则通过super.getHeaders(name)来获取<br/> 
* getHeaderNames 也可能需要覆盖 
*/ 
@Override 
public String getHeader(String name) { 
 
String value = super.getHeader(xssEncode(name)); 
if (value != null) { 
value = xssEncode(value); 
} 
return value; 
} 
 
/** 
* 将容易引起xss漏洞的半角字符直接替换*角字符 
* 
* @param s 
* @return 
*/ 
private static String xssEncode(String s) { 
if (s == null || s.isEmpty()) { 
return s; 
} 
StringBuilder sb = new StringBuilder(s.length() + 16); 
for (int i = 0; i < s.length(); i++) { 
char c = s.charAt(i); 
switch (c) { 
case '>': 
sb.append('＞');//全角大于号 
break; 
case '<': 
sb.append('＜');//全角小于号 
break; 
case '\'': 
sb.append('‘');//全角单引号 
break; 
case '\"': 
sb.append('“');//全角双引号 
break; 
case '&': 
sb.append('＆');//全角 
break; 
case '\\': 
sb.append('＼');//全角斜线 
break; 
case '#': 
sb.append('＃');//全角井号 
break; 
default: 
sb.append(c); 
break; 
} 
} 
return sb.toString(); 
} 
 
/** 
* 获取最原始的request 
* 
* @return 
*/ 
public HttpServletRequest getOrgRequest() { 
return orgRequest; 
} 
/** 
* 获取最原始的request的静态方法 
* 
* @return 
*/ 
public static HttpServletRequest getOrgRequest(HttpServletRequest req) { 
if(req instanceof XssHttpServletRequestWrapper){ 
return ((XssHttpServletRequestWrapper)req).getOrgRequest(); 
} 
 
return req; 
} 
} 

在web.xml中添加

<filter> 
<filter-name>xssFilter</filter-name> 
<filter-class>filter.XssFilter</filter-class> 
</filter> 
<filter-mapping> 
<filter-name>xssFilter</filter-name> 
<url-pattern>/*</url-pattern> 
</filter-mapping> 

以上这篇JSP过滤器防止Xss漏洞的实现方法(分享)就是小编分享给大家的全部内容了，希望能给大家一个参考，也希望大家多多支持。

# jsp  # 防止  # xss  # 过滤器  # 用js屏蔽被http劫持的浮动广告实现方法  # JSP使用过滤器防止Xss漏洞  # JS写XSS cookie stealer来窃取密码的步骤详解  # JSP Struts过滤xss攻击的解决办法  # JSP安全开发之XSS漏洞详解  # 防止xss和sql注入:JS特殊字符过滤正则  # 详解前端安全之JavaScript防http劫持与XSS  # 全角  # 都是  # 半角  # 给大家  # 都做  # 最原始  # 会有  # 希望能  # 可以使用  # 这篇  # 方法来  # 为了避免  # 开发人员  # 小编  # 大家多多  # 过程中  # 容易引起  # 各种各样  # 而由  # 那就是 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Win11怎么关闭专注助手 Win11关闭免打扰模式设置【操作】  python中快速进行多个字符替换的方法小结  如何在 Pandas 中基于一列条件计算另一列的分组均值  Gemini怎么用新功能实时问答_Gemini实时问答使用【步骤】  Laravel怎么实现支付功能_Laravel集成支付宝微信支付  香港代理服务器配置指南：高匿IP选择、跨境加速与SEO优化技巧  独立制作一个网站多少钱,建立网站需要花多少钱？  动图在线制作网站有哪些,滑动动图图集怎么做？  Laravel如何连接多个数据库_Laravel多数据库连接配置与切换教程  如何在阿里云虚拟服务器快速搭建网站？  怎样使用JSON进行数据交换_它有什么限制  Windows Hello人脸识别突然无法使用  Laravel如何为API编写文档_Laravel API文档生成与维护方法  Laravel怎么导出Excel文件_Laravel Excel插件使用教程  Laravel怎么定时执行任务_Laravel任务调度器Schedule配置与Cron设置【教程】  教学论文网站制作软件有哪些,写论文用什么软件 ？  Laravel如何发送系统通知？（Notification渠道示例）  教你用AI将一段旋律扩展成一首完整的曲子  瓜子二手车官方网站在线入口 瓜子二手车网页版官网通道入口  Internet Explorer官网直接进入 IE浏览器在线体验版网址  php嵌入式断网后怎么恢复_php检测网络重连并恢复硬件控制【操作】  laravel服务容器和依赖注入怎么理解_laravel服务容器与依赖注入解析  ,网页ppt怎么弄成自己的ppt？  如何生成腾讯云建站专用兑换码？  如何在 Telegram Web View（iOS）中防止键盘遮挡底部输入框  Laravel如何使用Laravel Vite编译前端_Laravel10以上版本前端静态资源管理【教程】  Bootstrap CSS布局之列表  如何彻底卸载建站之星软件？  详解Nginx + Tomcat 反向代理 如何在高效的在一台服务器部署多个站点  成都品牌网站制作公司,成都营业执照年报网上怎么办理？  Laravel如何使用模型观察者？（Observer代码示例）  Laravel队列任务超时怎么办_Laravel Queue Timeout设置详解  高端智能建站公司优选：品牌定制与SEO优化一站式服务  如何快速选择适合个人网站的云服务器配置？  Edge浏览器怎么启用睡眠标签页_节省电脑内存占用优化技巧  如何挑选高效建站主机与优质域名？  java中使用zxing批量生成二维码立牌  大连 网站制作,大连天途有线官网？  laravel怎么实现图片的压缩和裁剪_laravel图片压缩与裁剪方法  黑客如何利用漏洞与弱口令入侵网站服务器？  Laravel如何实现数据库事务？（DB Facade示例）  如何在云服务器上快速搭建个人网站？  用v-html解决Vue.js渲染中html标签不被解析的问题  谷歌Google入口永久地址_Google搜索引擎官网首页永久入口  javascript中的数组方法有哪些_如何利用数组方法简化数据处理  html5如何实现懒加载图片_ intersectionobserver api用法【教程】  如何在服务器上三步完成建站并提升流量？  如何正确下载安装西数主机建站助手？  如何用狗爹虚拟主机快速搭建网站？  javascript中对象的定义、使用以及对象和原型链操作小结