Xss编码输出工具（XSS工具）

XSS过滤器

背景：过滤xss攻击，同时将过滤后的日志输出到指定文件。（指定文件输出请看上篇博文）

前景：利用filter进行xss攻击过滤，需要应对不同请求做不同的过滤处理，若是post请求的json格式数据，需要重写getinputstream *** (因为流读取一次后，下层controller无法再次进行读取。原理可自行百度)

因此需要重写两个wrapper（继承HttpServletRequestWrapper）（针对post的json请求以及其他格式的请求）

在filter中以contentType做类型的区分

未做业务耦合的区分（日志输出与xss过滤耦合到一起），若要区分开功能，单独书写即可

一:重写wrapper

1:contentType为multipart/form-data或application/x-www-form-urlencoded

2:contentType为application/json

二：xss处理工具 *** ：

三：filter过滤器

四：在web.xml配置过滤器

存储型xss怎么扫描出来

1、首先通过扫描工具appscan或者burpsuite工具扫描，查看与验证扫描结果中的XSS漏洞。

2、然后反射型XSS，在请求的url的参数后面拼接XSS脚本，看是否能正常执行。

3、最后存储型XSS在保存数据的时候输入XSS脚本，检查数据是否能正常保存，测试时注意脚本的变种，如编码和大小写混编。

如何在jetty服务器层面解决XSS漏洞？

一，给cookie的属性设置为httponly

这样能够避免js读取Cookie信息（设置后有助于缓解XSS，但是XSS除了劫持Cookie之外，还可以模拟用户的身份进行操作）

二，进行输入检查

如果仅仅在客户端通过 *** 来做输入校验，有可能会被攻击者绕过，WEB开发中的普遍做法是同时在客户端和服务端做校验。这种输入检查的方式也称之为XSS Filter。

三，输出检查

一般说来，除了富文本输出之外，在变量输出到HTML页面时，可以使用编码或者转义的方式来防御XSS攻击。

四，防御DOM BasedXSS

前面提到的集中 *** ，对于这种类型不太适用，需要特别对待，那如何才能防御呢？

首先是$var输出到script是，应该执行一次javasriptEncode，其次在doument.write输出到HTML页面时，如果是输出到事件或者脚本，可以再做一次javaScriptEncode，如果是输出到HTML内容或者属性，则可以做一次HtmlEncode。

上面提到的这些防御 *** 都属于安全生产的环节，也就是说实在开发同学写代码的时候要特别注意，这种是否做的规范，可以通过工具扫描代码的方式来实现，也就是白盒测试，如果代码没有做输入或者输出检查，则发报告提示开发来进行修改。但是有些场景白盒没法覆盖到，例如输出jsonp类型的接口，对于callback参数的原味输出，白盒有时候就扫不出来，这时候，可以通过黑盒测试工具，模拟入参的各种情况，也就是穷举，来构造，如果发生了XSS请求，则发出报告即可。