java处理XSS过滤的方法

如果系统中,没有富文本编辑器的功能,那么对于XSS过滤可以采用如下方式过滤

如果采用了struts2,那么需要重写StrutsRequestWrapper

如果没有采用struts2,那么直接重写HttpServletRequestWraper

在自定义的HttpServletRequestWraper中需要重写getParameterMap()方法才行,如下:


@Override
public Map<String, String[]> getParameterMap() {
     Map<String, String[]> paramMap = super.getParameterMap();
		Set<String> keySet = paramMap.keySet();
		for (Iterator iterator = keySet.iterator(); iterator.hasNext();) {
			String key = (String) iterator.next();
			String[] str = paramMap.get(key);
//			for(int i=0; i<str.length; i++) {
//				str[i] = str[i]+"1";
//这里可以对页面传入的所有值进行过滤了,你想怎么处理就怎么处理。比如对出入的值进行html危险字符过滤
   }
		}
		return paramMap ;
	}


在自定义的过滤器中需要把ServletRequest转换为你自己的MyHttpServletRequestWraper传进去


@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
    FilterChain filterChain) throws IOException, ServletException { MyHttpServletRequestWraper request
 = new MyHttpServletRequestWraper((HttpServletRequest)servletRequest);
HttpServletResponse response = (HttpServletResponse)servletResponse;
 filterChain.doFilter(request, response);
}

这样在struts2注入值之前就对页面传过来的值进行了过滤

你可能感兴趣的:(xss,修改request的值)