Java过滤XSS脚本, 可通过Appscan扫描

项目中有时会需要把一些报错或者解决方案直接返回给前端,

如果直接返回原字符串, 可能会被恶意传参来实现xss注入.

例如常规业务访问一个页面读取文件&file=sdf.cpt,

如果文件不存在, 则页面返回没有找到sdf.cpt的报错.

恶意传参即: &file=sdf.cpt<script>alert(123);</script>, 这样页面会alert出来123;

这时需要我们在后台对于一些报错进行去脚本话.

一开始是用的正则, 后来发现可以注入的脚本方式太多了, 用正则越来越长.

 &file=/doc/Advanced/Chart/LineChart/%E5%AE%9A%E6%97%B6%E5%88%B7%E6%96%B0%E6%8A%98%E7%BA%BF%E5%9B%BE.cpt'%20STYLE='xss:e/**/xpression(try{a=firstTime}catch(e){firstTime=1;alert(9178)});

 &file=emb%3Ciframe+src%3Djavascript%3Aalert%2898%29+

索性直接采用最简单粗暴的字符串替换了, 把html实体编码，特殊字符如()<>/，例如> 编成&gt; <编成&lt;

这样显示起来没有问题，也不会导致用户输入的js语句被插入到输出页面而被执行.

改完用Appscan扫了下, 也不会提示xss漏洞. Spring中也提供了类似的方法HtmlUtils.htmlEscape.

     private static String encodeHtml(String strInput) {
         if (StringUtils.isEmpty(strInput)) {
             return StringUtils.EMPTY;
         }
         StringBuffer builder = new StringBuffer(strInput.length() * 2);
         CharacterIterator it = new StringCharacterIterator(strInput);
         for (char ch = it.first(); ch != CharacterIterator.DONE; ch = it.next()) {
             if ((((ch > '`') && (ch < '{')) || ((ch > '@') && (ch < '[')))
                     || (((ch == ' ') || ((ch > '/') && (ch < ':'))) || (((ch == '.') || (ch == ',')) || ((ch == '-') || (ch == '_'))))) {
                 builder.append(ch);
             } else {
                 builder.append("&#" + (int) ch + ";");
             }
         }
         return builder.toString();
     }