XssFilter防止脚本注入，防止xss攻击

主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。
解决过程主要在用户输入和显示输出两步：在输入时对特殊字符如<>" ' & 转义，在输出时用jstl的fn:excapeXml(“fff”)方法。
其中，输入时的过滤是用一个filter来实现，
实现过程：
在web.xml加一个filter
Xml代码 收藏代码

<filter>          <filter-name>XssEscape</filter-name>          <filter-class>cn.pconline.morden.filter.XssFilter</filter-class>      </filter>      <filter-mapping>          <filter-name>XssEscape</filter-name>          <url-pattern>/*</url-pattern>          <dispatcher>REQUEST</dispatcher>      </filter-mapping>  

XssFilter 的实现方式是实现servlet的Filter接口

package cn.pconline.morden.filter;  import java.io.IOException;  import javax.servlet.Filter;  import javax.servlet.FilterChain;  import javax.servlet.FilterConfig;  import javax.servlet.ServletException;  import javax.servlet.ServletRequest;  import javax.servlet.ServletResponse;  import javax.servlet.http.HttpServletRequest;  public class XssFilter implements Filter {      @Override      public void init(FilterConfig filterConfig) throws ServletException {      }      @Override      public void doFilter(ServletRequest request, ServletResponse response,              FilterChain chain) throws IOException, ServletException {          chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);      }      @Override      public void destroy() {      }  }  

关键是XssHttpServletRequestWrapper的实现方式，继承servlet的HttpServletRequestWrapper，并重写相应的几个有可能带xss攻击的方法，如：

package cn.pconline.morden.filter;  import javax.servlet.http.HttpServletRequest;  import javax.servlet.http.HttpServletRequestWrapper;  import org.apache.commons.lang3.StringEscapeUtils;  public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {      public XssHttpServletRequestWrapper(HttpServletRequest request) {          super(request);      }      @Override      public String getHeader(String name) {          return StringEscapeUtils.escapeHtml4(super.getHeader(name));      }      @Override      public String getQueryString() {          return StringEscapeUtils.escapeHtml4(super.getQueryString());      }      @Override      public String getParameter(String name) {          return StringEscapeUtils.escapeHtml4(super.getParameter(name));      }      @Override      public String[] getParameterValues(String name) {          String[] values = super.getParameterValues(name);          if(values != null) {              int length = values.length;              String[] escapseValues = new String[length];              for(int i = 0; i < length; i++){                  escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);              }              return escapseValues;          }          return super.getParameterValues(name);      }  }  

到此为止，在输入的过滤就完成了。

在页面显示数据的时候，只是简单地用fn:escapeXml()对有可能出现xss漏洞的地方做一下转义输出。
复杂内容的显示，具体问题再具体分析。

另外，有些情况不想显示过滤后内容的话，可以用StringEscapeUtils.unescapeHtml4()这个方法，把StringEscapeUtils.escapeHtml4()转义之后的字符恢复原样。

来源：http://breezylee.iteye.com/blog/2063615