XSS又稱CSS,全稱Cross SiteScript,跨站腳本攻擊,是Web程序中常見的漏洞,XSS屬於被動式且用於客戶端的攻擊方式,所以容易被忽略其危害性。其原理是攻擊者向有XSS漏洞的網站中輸入(傳入)惡意的HTML代碼,當其它用戶瀏覽該網站時,這段HTML代碼會自動執行,從而達到攻擊的目的。如,盜取用戶Cookie、破壞頁面結構、重定向到其它網站等。
關於xss的概念和解決方案網上很多,可以參考這個:
http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen
這裏說下最近項目中我們的解決方案,主要用到commons-lang3-3.1.jar這個包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()這個方法。
解決過程主要在用戶輸入和顯示輸出兩步:在輸入時對特殊字符如<>" ' & 轉義,在輸出時用jstl的fn:excapeXml("fff")方法。
其中,輸入時的過濾是用一個filter來實現,
實現過程:
在web.xml加一個filter
- <filter>
- <filter-name>XssEscape</filter-name>
- <filter-class>cn.pconline.morden.filter.XssFilter</filter-class>
- </filter>
- <filter-mapping>
- <filter-name>XssEscape</filter-name>
- <url-pattern>/*</url-pattern>
- <dispatcher>REQUEST</dispatcher>
- </filter-mapping>
XssFilter 的實現方式是實現servlet的Filter接口
- package cn.pconline.morden.filter;
- import java.io.IOException;
- import javax.servlet.Filter;
- import javax.servlet.FilterChain;
- import javax.servlet.FilterConfig;
- import javax.servlet.ServletException;
- import javax.servlet.ServletRequest;
- import javax.servlet.ServletResponse;
- import javax.servlet.http.HttpServletRequest;
- public class XssFilter implements Filter {
- @Override
- public void init(FilterConfig filterConfig) throws ServletException {
- }
- @Override
- public void doFilter(ServletRequest request, ServletResponse response,
- FilterChain chain) throws IOException, ServletException {
- chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
- }
- @Override
- public void destroy() {
- }
- }
關鍵是XssHttpServletRequestWrapper的實現方式,繼承servlet的HttpServletRequestWrapper,並重寫相應的幾個有可能帶xss攻擊的方法,如:
- package cn.pconline.morden.filter;
- import javax.servlet.http.HttpServletRequest;
- import javax.servlet.http.HttpServletRequestWrapper;
- import org.apache.commons.lang3.StringEscapeUtils;
- public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
- public XssHttpServletRequestWrapper(HttpServletRequest request) {
- super(request);
- }
- @Override
- public String getHeader(String name) {
- return StringEscapeUtils.escapeHtml4(super.getHeader(name));
- }
- @Override
- public String getQueryString() {
- return StringEscapeUtils.escapeHtml4(super.getQueryString());
- }
- @Override
- public String getParameter(String name) {
- return StringEscapeUtils.escapeHtml4(super.getParameter(name));
- }
- @Override
- public String[] getParameterValues(String name) {
- String[] values = super.getParameterValues(name);
- if(values != null) {
- int length = values.length;
- String[] escapseValues = new String[length];
- for(int i = 0; i < length; i++){
- escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);
- }
- return escapseValues;
- }
- return super.getParameterValues(name);
- }
- }
到此爲止,在輸入的過濾就完成了。
在頁面顯示數據的時候,只是簡單地用fn:escapeXml()對有可能出現xss漏洞的地方做一下轉義輸出。
複雜內容的顯示,具體問題再具體分析。
另外,有些情況不想顯示過濾後內容的話,可以用StringEscapeUtils.unescapeHtml4()這個方法,把StringEscapeUtils.escapeHtml4()轉義之後的字符恢復原樣。
