一、XSS攻击的危害

作为Web网站来说，抵御XSS攻击是必须要做的事情。XSS攻击的手段很简单，就是通过各种手段向我们的Web网站植入JS代码。比如说普通网站的用户注册、论坛网站的发帖和回帖，以及电商网站的商品评价等等，黑客在文本框中填写的文字信息里面包含一段JS代码，那么前端页面在显示这个信息的时候，就会执行这些JS代码了。例如我在慕课网上面回复某个问题的时候，填写的内容如下：

如果慕课网没有对保存的信息做XSS转义处理的话，将来某个用户打开网页，恰好翻到我的回复。这时候<script>标签就会被当做JS脚本来执行了，于是用户的浏览器就会弹出HelloWorld这样的文字。其实弹出HelloWorld已经是危害很轻的XSS攻击了，如果黑客植入的JS脚本先读取浏览器的Cookie信息，然后把Cookie通过Ajax发送给黑客的服务器，那么远端的黑客就能用你的Cookie来模拟登陆，这多可怕啊。

防御XSS攻击的办法很简单，那就是对所有用户的数据先做转义处理，然后再保存到数据库里面。转义之后的信息，将来被加载到网页上面就丧失了作为脚本执行的能力。比如说上面文本框里面的脚本，经过转义之后就变成了<script>alert("HelloWorld")</script>这个样子。就拿<script>来说吧，它会被渲染成<script>字符串，而不是当做脚本标签来执行。

二、实现XSS内容转义

首先我们要创建一个执行转义的封装类，这个类继承HttpServletRequestWrapper父类。在Web项目中，我们无法修改HttpServletRequest实现类的内容，因为请求的实现类是由各个Web容器厂商自己扩展的。但是有时候我们还想修改请求类中的内容，这该怎么办呢？Java语言给我们留出了缺口，我们只要继承Java Web内置的HttpServletRequestWrapper父类，就能修改请求类的内容。如果我们能修改请求类的内容，我要修改获取请求数据的函数，返回的并不是客户端Form表单或者Ajax提交的数据，而是经过转义之后数据。

在com.example.emos.api.config.xss包中创建XssHttpServletRequestWrapper.java类。把获取请求头和请求体数据的方法都要重写，返回的是经过XSS转义后的数据。

package com.example.emos.api.config.xss;

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value= super.getParameter(name);
        if(!StrUtil.hasEmpty(value)){
            value=HtmlUtil.cleanHtmlTag(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values= super.getParameterValues(name);
        if(values!=null){
            for (int i=0;i<values.length;i++){
                String value=values[i];
                if(!StrUtil.hasEmpty(value)){
                    value=HtmlUtil.cleanHtmlTag(value);
                }
                values[i]=value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map=new LinkedHashMap();
        if(parameters!=null){
            for (String key:parameters.keySet()){
                String[] values=parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.cleanHtmlTag(value);
                    }
                    values[i] = value;
                }
                map.put(key,values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value= super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.cleanHtmlTag(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in= super.getInputStream();
        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer=new BufferedReader(reader);
        StringBuffer body=new StringBuffer();
        String line=buffer.readLine();
        while(line!=null){
            body.append(line);
            line=buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();
        Map<String,Object> map=JSONUtil.parseObj(body.toString());
        Map<String,Object> result=new LinkedHashMap<>();
        for(String key:map.keySet()){
            Object val=map.get(key);
            if(val instanceof String){
                if(!StrUtil.hasEmpty(val.toString())){
                    result.put(key,HtmlUtil.cleanHtmlTag(val.toString()));
                }
            }
            else {
                result.put(key,val);
            }
        }
        String json=JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
    }
}

接下来我们要创建一个Filter类，拦截所有的HTTP请求，然后调用上面创建的XssHttpServletRequestWrapper类，这样就能按照我们设定的方式获取请求中的数据了。

在com.example.emos.api.config.xss包中创建XssFilter.java类。

package com.example.emos.api.config.xss;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request= (HttpServletRequest) servletRequest;
        XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);
        filterChain.doFilter(wrapper,servletResponse);
    }

    @Override
    public void destroy() {

    }
}