基于Antisamy项目实现防XSS攻击

    最近项目上线，请第三方公司进行了一次渗透性测试，被发现存在多处XSS攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤，Get请求的漏洞已经被封堵，但是对于Post请求考虑到我们项目存在表单提交，富文本编辑等功能，不敢贸然的使用Filter对关键字进行过滤。

为了解决上述问题，我们采用了OWASP的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSamy是一个可以确保用户输入的HTML、CSS、JavaScript符合规范的API。它确保了用户无法在HTML中提交恶意代码，而这些恶意代码通常被输入到个人资料、评论等会被服务端存储的数据中。

AntiSamy的下载地址：

 官方网站：https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project

          项目地址：https://code.google.com/p/owaspantisamy/downloads/list

 我们项目使用的Java，除了antisamy-1.5.3.jar包外，还需要下述jar包。

AntiSamy的使用如下：

定义一个XssFilter的Class，该类必须实现Filter类，在XssFilter类中实现doFilter函数。将策略文件放到和pom.xml同级目录下，然后开始编写XssFilter。

    public class XssFilter implements Filter {
 @SuppressWarnings("unused")
 private FilterConfig filterConfig;
 public void destroy() {
     this.filterConfig = null;
 }
 public void doFilter(ServletRequest request, ServletResponse response,
         FilterChain chain) throws IOException, ServletException {
     chain.doFilter(new XssRequestWrapper((HttpServletRequest) request), response);
 }
 public void init(FilterConfig filterConfig) throws ServletException {
     this.filterConfig = filterConfig;
 }
    }

我们需要重写request，新建一个类XssRequestWrapper,继承HttpServletRequestWrapper，需要重写getParameter(String param), getParameterValues(String param)以及getHeader(String param)方法，以及过滤非法html方法xssClean()

 public class XssRequestWrapper extends HttpServletRequestWrapper {

     private static Policy policy = null;

     static{
         //String path = URLUtility.getClassPath(XssRequestWrapper.class)+File.separator+"antisamy-anythinggoes-1.4.4.xml";
         String path =XssRequestWrapper.class.getClassLoader().getResource("antisamy-anythinggoes-1.4.4.xml").getFile();
         System.out.println("policy_filepath:"+path);
         if(path.startsWith("file")){
             path = path.substring(6);
         }
          try {
             policy = Policy.getInstance(path);
         } catch (PolicyException e) {
             e.printStackTrace();
         }
     }

     public XssRequestWrapper(HttpServletRequest request) {
         super(request);
     }

     @SuppressWarnings("rawtypes")
     public Map<String,String[]> getParameterMap(){
         Map<String,String[]> request_map = super.getParameterMap();
         Iterator iterator = request_map.entrySet().iterator();
         System.out.println("request_map"+request_map.size());
         while(iterator.hasNext()){
             Map.Entry me = (Map.Entry)iterator.next();
             //System.out.println(me.getKey()+":");
             String[] values = (String[])me.getValue();
             for(int i = 0 ; i < values.length ; i++){
                 System.out.println(values[i]);
                 values[i] = xssClean(values[i]);
             }
         }
         return request_map;
     }
      public String[] getParameterValues(String paramString)
       {
         String[] arrayOfString1 = super.getParameterValues(paramString);
         if (arrayOfString1 == null)
           return null;
         int i = arrayOfString1.length;
         String[] arrayOfString2 = new String[i];
         for (int j = 0; j < i; j++)
           arrayOfString2[j] = xssClean(arrayOfString1[j]);
         return arrayOfString2;
       }

       public String getParameter(String paramString)
       {
         String str = super.getParameter(paramString);
         if (str == null)
           return null;
         return xssClean(str);
       }

       public String getHeader(String paramString)
       {
         String str = super.getHeader(paramString);
         if (str == null)
           return null;
         return xssClean(str);
       }


     private String xssClean(String value) {
         AntiSamy antiSamy = new AntiSamy();
         try {
             //CleanResults cr = antiSamy.scan(dirtyInput, policyFilePath);
             final CleanResults cr = antiSamy.scan(value, policy);
             //安全的HTML输出
             return cr.getCleanHTML();
         } catch (ScanException e) {
             e.printStackTrace();
         } catch (PolicyException e) {
             e.printStackTrace();
         }
         return value;
     }
 }

在我们使用AntiSamy进行测试时，发现确实能够有效的控制xss攻击，用户的非法输入全部被删除或替换了，但是也发现会把“ ”转换成乱码，把双引号转换成"""

为了解决这两个错误转换，我们修改了xssClean（String value）方法。

 <p align="left">
 </p>