如果系统中,没有富文本编辑器的功能,那么对于XSS过滤可以采用如下方式过滤
如果采用了struts2,那么需要重写StrutsRequestWrapper
如果没有采用struts2,那么直接重写HttpServletRequestWraper
在自定义的HttpServletRequestWraper中需要重写getParameterMap()方法才行,如下:
@Override
public Map<String, String[]> getParameterMap() {
Map<String, String[]> paramMap = super.getParameterMap();
Set<String> keySet = paramMap.keySet();
for (Iterator iterator = keySet.iterator(); iterator.hasNext();) {
String key = (String) iterator.next();
String[] str = paramMap.get(key);
// for(int i=0; i<str.length; i++) {
// str[i] = str[i]+"1";
//这里可以对页面传入的所有值进行过滤了,你想怎么处理就怎么处理。比如对出入的值进行html危险字符过滤
}
}
return paramMap ;
}
在自定义的过滤器中需要把ServletRequest转换为你自己的MyHttpServletRequestWraper传进去
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
FilterChain filterChain) throws IOException, ServletException { MyHttpServletRequestWraper request
= new MyHttpServletRequestWraper((HttpServletRequest)servletRequest);
HttpServletResponse response = (HttpServletResponse)servletResponse;
filterChain.doFilter(request, response);
}这样在struts2注入值之前就对页面传过来的值进行了过滤
来源:oschina
链接:https://my.oschina.net/u/937713/blog/146712