本文介绍了在不使用富文本编辑器的情况下,如何通过重写StrutsRequestWrapper或HttpServletRequestWrapper来防范XSS攻击。核心在于自定义的HttpServletRequestWrapper中重写getParameterMap()方法,对所有参数进行安全过滤,确保传入值的安全性。
如果系统中,没有富文本编辑器的功能,那么对于XSS过滤可以采用如下方式过滤
如果采用了struts2,那么需要重写StrutsRequestWrapper
如果没有采用struts2,那么直接重写HttpServletRequestWraper
在自定义的HttpServletRequestWraper中需要重写getParameterMap()方法才行,如下:
@Override
public Map getParameterMap() {
Map paramMap = super.getParameterMap();
Set keySet = paramMap.keySet();
for (Iterator iterator = keySet.iterator(); iterator.hasNext();) {
String key = (String) iterator.next();
String[] str = paramMap.get(key);
//for(int i=0; i
//str[i] = str[i]+"1";
//这里可以对页面传入的所有值进行过滤了,你想怎么处理就怎么处理。比如对出入的值进行html危险字符过滤
}
}
return paramMap ;
}
在自定义的过滤器中需要把ServletRequest转换为你自己的MyHttpServletRequestWraper传进去
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
FilterChain filterChain) throws IOException, ServletException { MyHttpServletRequestWraper request
= new MyHttpServletRequestWraper((HttpServletRequest)servletRequest);
HttpServletResponse response = (HttpServletResponse)servletResponse;
filterChain.doFilter(request, response);
}
这样在struts2注入值之前就对页面传过来的值进行了过滤
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
