XSS ，全名：cross-site scripting（跨站點腳本），是當前 web 應用中最危險和最普遍的漏洞之一。攻擊者嘗試注入惡意腳本代碼（常js腳本）到受信任的網站上執行惡意操作，用戶使用瀏覽器瀏覽含有惡意腳本頁面時，會執行該段惡意腳本，進而影響用戶（比如關不完的網站、盜取用戶的 cookie 信息從而偽裝成用戶去操作）等等。

它與 SQL 注入很類似，同樣是通過注入惡意指令來進行攻擊。但 SQL 注入是在服務器端上執行的，而 XSS 攻擊是在客戶端上執行的，這點是他們本質區別。

其實，個人感覺對于xss攻擊不必區分究竟是反射型XSS、存儲型XSS還是DOM Based XSS，只需要知道如何去防護。而防護的最有效的措施就是過濾，對前端頁面提交到后臺的內容進行過濾。具體如下：

攔截所有的請求參數，對請求參數中包含特殊字符’<‘或’>’進行過濾。

package com.haier.openplatform.srm.base.filter;import java.io.IOException;import java.util.Iterator;import java.util.Map;import java.util.Set;import javax.servlet.FilterChain;import javax.servlet.ServletException;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletRequestWrapper;import javax.servlet.http.HttpServletResponse;import org.springframework.web.filter.OncePerRequestFilter;public class StringFilter extends OncePerRequestFilter{@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)throws ServletException, IOException {chain.doFilter(new StringFilterRequest((HttpServletRequest)request), response);}}class StringFilterRequest extends HttpServletRequestWrapper {public StringFilterRequest(HttpServletRequest request) {super(request);}@Overridepublic String getParameter(String name) {// 返回值之前 先進行過濾return filterDangerString(super.getParameter(name));}@Overridepublic String[] getParameterValues(String name) {// 返回值之前 先進行過濾String[] values = super.getParameterValues(name);if(values==null){return null;}for (int i = 0; i < values.length; i++) {values[i] = filterDangerString(values[i]);}return values;}@Overridepublic Map getParameterMap() {Map keys = super.getParameterMap();Set set = keys.entrySet();Iterator iters = set.iterator();while (iters.hasNext()) {Object key = iters.next();Object value = keys.get(key);keys.put(key, filterDangerString((String[]) value));}return keys;}/*@Overridepublic Object getAttribute(String name) {// TODO Auto-generated method stubObject object = super.getAttribute(name);if (object instanceof String) {return filterDangerString((String) super.getAttribute(name));} elsereturn object;}*/public String filterDangerString(String value) {if (value == null) {return null;}//value = value.replaceAll('{', '｛');value = value.replaceAll('<', '&lt;');value = value.replaceAll('>', '&gt;');//value = value.replaceAll('t', ' ');//value = value.replaceAll('rn', 'n');//value = value.replaceAll('n', '<br/>');//value = value.replaceAll('’', '&#39;');//value = value.replaceAll('', '&#92;');//value = value.replaceAll(''', '&quot;');//value = value.replaceAll('}', '?').trim();return value;}public String[] filterDangerString(String[] value) {if (value == null) {return null;}for (int i = 0; i < value.length; i++) {String val = filterDangerString(value[i]);value[i] = val;}return value;}}

web.xm中的過濾器配置:

<filter> <filter-name>StringFilter</filter-name> <filter-class>com.xxx.base.filter.StringFilter</filter-class> </filter> <filter-mapping> <filter-name>StringFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>2.解決方法二（轉，未驗證）2.1前端過濾

2.1.1 javascript 原生方法

//轉義 元素的innerHTML內容即為轉義后的字符 function htmlEncode ( str ) { var ele = document.createElement(’span’); ele.appendChild( document.createTextNode( str ) ); return ele.innerHTML; } //解析 function htmlDecode ( str ) { var ele = document.createElement(’span’); ele.innerHTML = str; return ele.textContent; }

2.1.2 JQuery 方法

function htmlEncodeJQ ( str ) { return $(’<span/>’).text( str ).html(); } function htmlDecodeJQ ( str ) { return $(’<span/>’).html( str ).text(); }

2.1.3 調用方法

var msg1= htmlEncodeJQ(’<script>alert(’test’);</script>’);var msg1= htmlEncode(’<script>alert(’test’);</script>’);//結果變成：&lt;script&gt;alert(’test’);&lt;/script&gt;2.2 后端過濾

2.2.1 java 一些框架自動工具類，

比如：org.springframework.web.util.HtmlUtils

public static void main(String[] args) { String content = '<script>alert(’test’);</script>'; System.out.println('content='+content); content = HtmlUtils.htmlEscape(content); System.out.println('content='+content); content = HtmlUtils.htmlUnescape(content); System.out.println('content='+content);}

但這樣有個問題，就是它全部的html標簽都不解析了。

可能這不是你想要的，你想要的是一部分解析，一部分不解析。好看下面。

2.2.2 自己用正則來完成你的需求

package top.lrshuai.blog.util;import java.util.regex.Matcher;import java.util.regex.Pattern;/** * * @author lrshuai * @since 2017-10-13 * @version 0.0.1 */public class HTMLUtils {/** * 過濾所有HTML 標簽 * @param htmlStr * @return */public static String filterHTMLTag(String htmlStr) { //定義HTML標簽的正則表達式 String reg_html='<[^>]+>'; Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); Matcher matcher=pattern.matcher(htmlStr); htmlStr=matcher.replaceAll(''); //過濾html標簽 return htmlStr;}/** * 過濾標簽，通過標簽名 * @param htmlStr * @param tagName * @return */public static String filterTagByName(String htmlStr,String tagName) { String reg_html='<'+tagName+'[^>]*?>[sS]*?</'+tagName+'>'; Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); Matcher matcher=pattern.matcher(htmlStr); htmlStr=matcher.replaceAll(''); //過濾html標簽 return htmlStr;}/** * 過濾標簽上的 style 樣式 * @param htmlStr * @return */public static String filterHTMLTagInStyle(String htmlStr) { String reg_html='style=(’|')(.*?)(’|')'; Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); Matcher matcher=pattern.matcher(htmlStr); htmlStr=matcher.replaceAll(''); //過濾html標簽 return htmlStr;}/** * 替換表情 * @param htmlStr * @param tagName * @return */public static String replayFace(String htmlStr) { String reg_html='[em_d{1,}]'; Pattern pattern =Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); Matcher matcher=pattern.matcher(htmlStr); if(matcher.find()) {matcher.reset();while(matcher.find()) { String num = matcher.group(0); String number=num.substring(num.lastIndexOf(’_’)+1, num.length()-1); htmlStr = htmlStr.replace(num, '<img src=’/face/arclist/'+number+'.gif’ border=’0’ />');} } return htmlStr;} public static void main(String[] args) {String html = '<script>alert(’test’);</script><img src=’/face/arclist/5.gif’ border=’0’ /><div style=’position:fixs;s’></div><style>body{color:#fff;}</style><Style>body{color:#fff;}</Style><STYLE>body{color:#fff;}</STYLE>';System.out.println('html='+html);html = HTMLUtils.filterTagByName(html, 'style');System.out.println('html='+html);html = HTMLUtils.filterTagByName(html, 'script');System.out.println('html='+html);html = HTMLUtils.filterHTMLTagInStyle(html);System.out.println('html='+html); }}java 過濾特殊字符串升級版

ASCII碼中除了32之外還有160這個特殊的空格 db中的空格 不間斷空格->頁面上的&nbsp所產生的空格;

/** * 過濾特殊字符 * @param str * @return * * u00A0 特殊的空格 */ public static String stringFilter (String str){String regEx='[u00A0s'`~!@#$%^&*()+=|{}’:;’,[].<>/?~！@#￥%……&*（）——+|{}【】‘；：”“’。，、？]';Pattern p = Pattern.compile(regEx);Matcher m = p.matcher(str);return m.replaceAll('').trim(); }

以上為個人經驗，希望能給大家一個參考，也希望大家多多支持好吧啦網。