Discussion :

[cecile38]

Bonjour,

Dans mon application, j'ai mis en place un filtre permettant d'échapper les caractères html spéciaux afin d'éviter l'execution de scripts malveillants.
Ce filtre réécrit la methode getParameterValue afin d'échapper ces caractères.

Le problème est que depuis que le filtre est en place, le navigateur affiche le code iso des caractères échappés au lieux des caractères eux meme comme si les caractères échappés n'avaient pas été interprétés par le navigateur.

Comment puis-je faire pour appliquer le filtre et que ce soit transparent pour l'utilisateur (affichage normal des chaines de caractères)?

Merci d'avance

[OButterlin]

Peux-tu montrer le code de ton filtre ?

[cecile38]

Le code du filtre est le suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
public class CrossScriptingFilter implements Filter {  
 
public void init(FilterConfig filterConfig) throws ServletException {}  
 
public void destroy() {}      
 
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException 
{   
	chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);
	}
}

et celui de RequestWrapper :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
 
 
public final class RequestWrapper extends HttpServletRequestWrapper {     
 
	public RequestWrapper(HttpServletRequest servletRequest) {
		super(servletRequest);     
		}     
	public String[] getParameterValues(String parameter) {       
		String[] values = super.getParameterValues(parameter);       
		if (values==null)  {                   
			return null;           
		}       
		int count = values.length;       
		String[] encodedValues = new String[count];       
		for (int i = 0; i < count; i++) { 
			encodedValues[i] = cleanXSS(values[i]);
		}       
		return encodedValues;     
		}     
 
	public String getParameter(String parameter) { 
		String value = super.getParameter(parameter);   
		if (value == null) {                  
			return null;                   
			}           
		return cleanXSS(value);     
		}     
 
	public String getHeader(String name) {         
		String value = super.getHeader(name);         
		if (value == null)             
			return null;         
		return cleanXSS(value);     
		}     
 
	private String cleanXSS(String value) { 
		//You'll need to remove the spaces from the html entities below         
		value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");         
		value = value.replaceAll("\\(", "(").replaceAll("\\)", ")");         
		value = value.replaceAll("'", "'");         
		value = value.replaceAll("eval\\((.*)\\)", "");         
		value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");         
		value = value.replaceAll("script", "");
		return value;     
	}  
}

[OButterlin]

Tu utilises ces valeurs comment côté serveur ? j'arrive pas trop à voir l'intérêt sur le request... j'aurais mieux compris sur la réponse par ce que finalement, le code n'est interprétable que dans le navigateur, j'ai raté quelque chose ?

[cecile38]

Oui effectivement, c'est au niveau de l'affichage des valeur dans les champs que je veux échapper les caractères spéciaux.
Il y a l'option escapexml pour les balises <c:out mais pour les autres balises je ne sais pas bien comment faire et j'aurais aimé le faire de manière automatique

[OButterlin]

Tu en as besoin pour quelles autres balises ?
Les champs d'input n'ont pas besoin d'être échappés, le code n'est pas interprété dans l'attribut "value".

[cecile38]

en fait du coup j'ai posté dans la catégorie "struts" car je fais un document.getElementsByTagName('*').escapeHTML(); mais ca ne fonctionne qu'avec les balises html mais pas avec les balises struts