這是為Java Web應(yīng)用程序編寫(xiě)的一個(gè)好簡(jiǎn)單的反跨站點(diǎn)腳本（XSS）過(guò)濾器。 它的主要作用是從請(qǐng)求參數(shù)中刪除所有可疑字符串，然后將其返回給應(yīng)用程序。 這是我以前關(guān)于該主題的帖子的改進(jìn)。 您應(yīng)該將其配置為鏈（web.xml）中的第一個(gè)過(guò)濾器，通常最好讓它捕獲對(duì)您站點(diǎn)的所有請(qǐng)求。 實(shí)際的實(shí)現(xiàn)包括兩個(gè)類(lèi)，實(shí)際的過(guò)濾器非常簡(jiǎn)單，它將HTTP請(qǐng)求對(duì)象包裝在一個(gè)專(zhuān)門(mén)的HttpServletRequestWrapper中，它將執(zhí)行我們的過(guò)濾。 public class XSSFilter implements Filter {@Overridepublic void init(FilterConfig filterConfig) throws ServletException {}@Overridepublic void destroy() {}@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)throws IOException, ServletException {chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);}}

包裝程序?qū)⒏采wgetParameterValues（），getParameter（）和getHeader（）方法，以在將所需字段返回給調(diào)用方之前執(zhí)行過(guò)濾。 實(shí)際的XSS檢查和剝離是在stripXSS（）私有方法中執(zhí)行的。

import java.util.regex.Pattern; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;public class XSSRequestWrapper extends HttpServletRequestWrapper {public XSSRequestWrapper(HttpServletRequest servletRequest) {super(servletRequest);}@Overridepublic String[] getParameterValues(String parameter) {String[] values = super.getParameterValues(parameter);if (values == null) {return null;}int count = values.length;String[] encodedValues = new String[count];for (int i = 0; i < count; i++) {encodedValues[i] = stripXSS(values[i]);}return encodedValues;}@Overridepublic String getParameter(String parameter) {String value = super.getParameter(parameter);return stripXSS(value);}@Overridepublic String getHeader(String name) {String value = super.getHeader(name);return stripXSS(value);}private String stripXSS(String value) {if (value != null) {// NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to// avoid encoded attacks.// value = ESAPI.encoder().canonicalize(value);// Avoid null charactersvalue = value.replaceAll("", "");// Avoid anything between script tagsPattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);value = scriptPattern.matcher(value).replaceAll("");// Avoid anything in a src='...' type of expressionscriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);value = scriptPattern.matcher(value).replaceAll("");scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);value = scriptPattern.matcher(value).replaceAll("");// Remove any lonesome </script> tagscriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);value = scriptPattern.matcher(value).replaceAll("");// Remove any lonesome <script ...> tagscriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);value = scriptPattern.matcher(value).replaceAll("");// Avoid eval(...) expressionsscriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);value = scriptPattern.matcher(value).replaceAll("");// Avoid expression(...) expressionsscriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);value = scriptPattern.matcher(value).replaceAll("");// Avoid javascript:... expressionsscriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);value = scriptPattern.matcher(value).replaceAll("");// Avoid vbscript:... expressionsscriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);value = scriptPattern.matcher(value).replaceAll("");// Avoid onload= expressionsscriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);value = scriptPattern.matcher(value).replaceAll("");}return value;} }

請(qǐng)注意有關(guān)ESAPI庫(kù)的注釋，我強(qiáng)烈建議您將其檢出并嘗試將其包含在項(xiàng)目中。

如果您想深入了解該主題，建議您查看有關(guān)XSS和RSnake的XSS（跨站點(diǎn)腳本）備忘單的 OWASP頁(yè)面 。

參考： Ricardo Zuasti博客博客中的JCG合作伙伴 Ricardo Zuasti提供了針對(duì)Java Web應(yīng)用程序的更強(qiáng)大的反跨站點(diǎn)腳本（XSS）過(guò)濾器 。

翻譯自: https://www.javacodegeeks.com/2012/07/anti-cross-site-scripting-xss-filter.html

總結(jié)

以上是生活随笔為你收集整理的Java Web应用程序的反跨站点脚本（XSS）过滤器的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。