http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen

這裏說下最近項目中我們的解決方案，主要用到commons-lang3-3.1.jar這個包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()這個方法。

解決過程主要在用戶輸入和顯示輸出兩步：在輸入時對特殊字符如<>" ‘ & 轉義，在輸出時用jstl的fn:excapeXml("fff")方法。

其中，輸入時的過濾是用一個filter來實現，

實現過程：

在web.xml加一個filter

1. <filter>
2. <filter-name>XssEscape</filter-name>
3. <filter-class>cn.pconline.morden.filter.XssFilter</filter-class>
4. </filter>
5. <filter-mapping>
6. <filter-name>XssEscape</filter-name>
7. <url-pattern>/*</url-pattern>
8. <dispatcher>REQUEST</dispatcher>
9. </filter-mapping>

XssFilter 的實現方式是實現servlet的Filter接口

1. package cn.pconline.morden.filter;
3. import java.io.IOException;
5. import javax.servlet.Filter;
6. import javax.servlet.FilterChain;
7. import javax.servlet.FilterConfig;
8. import javax.servlet.ServletException;
9. import javax.servlet.ServletRequest;
10. import javax.servlet.ServletResponse;
11. import javax.servlet.http.HttpServletRequest;
13. public class XssFilter implements Filter {
15. @Override
16. public void init(FilterConfig filterConfig) throws ServletException {
17. }
19. @Override
20. public void doFilter(ServletRequest request, ServletResponse response,
21. FilterChain chain) throws IOException, ServletException {
22. chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
23. }
25. @Override
26. public void destroy() {
27. }
28. }

關鍵是XssHttpServletRequestWrapper的實現方式，繼承servlet的HttpServletRequestWrapper，並重寫相應的幾個有可能帶xss攻擊的方法，如：

1. package cn.pconline.morden.filter;
3. import javax.servlet.http.HttpServletRequest;
4. import javax.servlet.http.HttpServletRequestWrapper;
6. import org.apache.commons.lang3.StringEscapeUtils;
8. public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
10. public XssHttpServletRequestWrapper(HttpServletRequest request) {
11. super(request);
12. }
14. @Override
15. public String getHeader(String name) {
16. return StringEscapeUtils.escapeHtml4(super.getHeader(name));
17. }
19. @Override
20. public String getQueryString() {
21. return StringEscapeUtils.escapeHtml4(super.getQueryString());
22. }
24. @Override
25. public String getParameter(String name) {
26. return StringEscapeUtils.escapeHtml4(super.getParameter(name));
27. }
29. @Override
30. public String[] getParameterValues(String name) {
31. String[] values = super.getParameterValues(name);
32. if(values != null) {
33. int length = values.length;
34. String[] escapseValues = new String[length];
35. for(int i = 0; i < length; i++){
36. escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);
37. }
38. return escapseValues;
39. }
40. return super.getParameterValues(name);
41. }
43. }

到此為止，在輸入的過濾就完成了。

在頁面顯示數據的時候，只是簡單地用fn:escapeXml()對有可能出現xss漏洞的地方做一下轉義輸出。

復雜內容的顯示，具體問題再具體分析。

另外，有些情況不想顯示過濾後內容的話，可以用StringEscapeUtils.unescapeHtml4()這個方法，把StringEscapeUtils.escapeHtml4()轉義之後的字符恢復原樣。

java 防止xss攻擊