5

JSP页面c:out输出设计
设计概述：XSS攻击后最终的体现是在前端，直接暴露给用户，抓住前端代码处理环节是XSS最后的防护，由于以上我们做了大量的XSS处理杜绝源头，因此页面纯粹是增强设计。
应用场景设计：对controller的方法层直接返回页面，使用request.setAttribute，modelandview请求数据场景
c:out的作用域只能是Jsp，含Jsp的HTML部分、Javascript、css部分都是有效的，但是单独JS文件、CSS文件是无效引入。
步骤1：页面引入jstl c标签库
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
步骤2：页面使用如下方式对el表示式处理；
<c:out value=”${groupName}” />
步骤3：注意事项
1）、<c:foreach> items引用的循环对象不要使用c:out输出；
2）、控件的属性值使用c:out时要么是双引号在外，单引号在内，反之亦然；

Js文件处理设计
设计概述：我们中台部分应用场景设计提交表单->回写表单的数据不是实时从数据库获取，需要F5二次刷新才可以取到已处理XSS的数据，初次回写造成XSS的攻击假象，因此针对这种场景又苦恼无法使用c:out，因此我们在Js里定义了一个页面简单转义的函数。
步骤1：定义html-util.js工具脚本类,增加如下代码
var HtmlUtil = {
htmlEncodeByRegExp : function(str) {
var s = "";
if (str.length == 0)
return "";
s = str.replace(/&/g, "&");
s = s.replace(/</g, "<");
s = s.replace(/>/g, ">");
s = s.replace(/ /g, " ");
s = s.replace(/'/g, "'");
s = s.replace(/"/g, """);
return s;
},
htmlDecodeByRegExp : function(str) {
var s = "";
if (str.length == 0)
return "";
s = str.replace(/&/g, "&");
s = s.replace(/</g, "<");
s = s.replace(/>/g, ">");
s = s.replace(/ /g, " ");
s = s.replace(/'/g, "'");
s = s.replace(/"/g, """);
return s;
}
};
步骤2：调用示例
var name = HtmlUtil.htmlEncodeByRegExp($("#name").val());
FAQ
如何避免重复转义？
答：由于我们最终字符串层都是统一调用spring-web的HtmlUtils类处理，不管是数据涉及编辑多次重复转义问题、还是Jackson输出前转义都需先还原原字符，然后再转义一次即可达合法输出。
如下代码：
HtmlUtils.htmlEscape(HtmlUtils.htmlUnescape(value));
哪些范围不能使用c:out输出？
答：富文本区域不能用c:out输出，如果硬要c:out请设置escapeXml=”false”
还有哪些地方需要完善？
答：具体系统具体分析，比如数据字典的正则表达式，应该特殊处理，然后涉及富文本的应该走富文本过滤，富文本XSS过滤还需进一步完善。