配置启用防护跨站脚本攻击

为解决跨站点脚本漏洞问题，例如，URL 链接注入漏洞、URL 基于 DOM 的跨站点脚本漏洞、URL 宽字符跨站漏洞、URL 跨站漏洞等，可以通过修改 iServer 配置文件【SuperMap iServer 安装目录】\webapps\iserver\WEB-INF\web.xml 来启用防护跨站点脚本攻击（在 iPortal 中启用防护跨站点脚本攻击时，配置文件为【SuperMap iPortal 安装目录】\webapps\iportal\WEB-INF\web.xml）。

配置开启防护跨站点脚本攻击如下所示：

<filter> 
      <filter-name>XssFilter</filter-name>
      <display-name>XssFilter</display-name>
      <filter-class>com.supermap.server.host.webapp.XssFilter</filter-class>
      <async-supported>true</async-supported>
      <init-param>
            <param-name>processMode</param-name>
            <!-- 可选值：CLEAN、THROWERROR分别表示清除危险字符，抛出异常 -->
            <param-value>THROWERROR</param-value>
      </init-param>
      <init-param>
            <param-name>antisamyName</param-name>
            <!-- 可选值：antisamy-myspace.xml、antisamy-ebay.xml、antisamy-tinymce.xml、antisamy-slashdot.xml -->
            <param-value>antisamy-ebay.xml</param-value>
      </init-param>
      <init-param>
             <param-name>xsrfDefendEnable</param-name>
             <!-- 可选值：true、false分别表示开启和关闭防护跨站请求伪造 -->
             <param-value>true</param-value>
       </init-param>
      <init-param>
             <param-name>xsrfDefendTime</param-name>
             <!-- 开启防护跨站请求伪造后，可以设置防护跨站请求时间间隔，单位毫秒 -->
             <param-value>1000</param-value>
       </init-param>
       <init-param>
             <param-name>refererWhiteList</param-name>
             <!-- 开启防护跨站请求伪造后，可以设置跨站请求白名单 -->
             <param-value>域名1;域名2;域名3</param-value>
       </init-param>
       <init-param>
             <param-name>hostWhiteList</param-name>
             <!-- 开启防护跨站请求伪造后，可以设置host请求头白名单 -->
             <param-value>ip1:port1;ip2:port2;ip3:port3</param-value>
       </init-param>
</filter>
<filter-mapping>
      <filter-name>XssFilter</filter-name>
      <url-pattern>/*</url-pattern>
</filter-mapping>

1、要使 XssFilter 真正起到防护作用，需要在 web.xml 中定义该 filter 和 filter-mappping ；并且<filter-mapping>...</filter-mapping>有严格的执行顺序， XssFilter 对应的 filter-mapping 需要放在 iserver-services 之前。

2、在 web.xml 配置完成后，重启 iServer 或 iPortal 方可生效。

其中，主要配置<init-param>初始化参数如下：

参数名称	含义	参数值	描述
processMode	处理方式	THROWERROR（默认）	在响应中直接报错
processMode	处理方式	CLEAN	将可能存在危险的字符清除掉
antisamyName	安全防护策略文件	antisamy-ebay.xml（默认）	相对安全，对内容进行过滤，适用于电子商务网站，允许用户输入HTML脚本作为页面的一部分
		antisamy-myspace.xml	相对危险，适用于社交网站，允许用户输入作为整个页面
		antisamy-tinymce.xml	相对安全，只允许文本格式通过
		antisamy-slashdot.xml	适用于新闻网站的评论过滤
xsrfDefendEnable	防护跨站请求伪造	false（默认）或true	关闭/开启状态
xsrfDefendTime	防护跨站请求时间间隔	空（默认）或数值	时间单位为 ms 。开启防护跨站请求伪造后，防护跨站请求时间间隔设置大于 0 时才会生效。在设置的时间间隔内对 iServer 或 iPortal 同一资源进行跨站请求将会被拒绝。
refererWhiteList	跨站请求白名单	空（默认值）或名单	开启防护跨站请求伪造后，host请求头白名单才会生效。host请求头白名单为空，此时所有host头都会被拒绝。用户可以通过配置文件向host请求头白名单中添加主机地址（ip:port形式，多个IP端口间用";"隔开）。当浏览器向 iServer 或 iPortal 发送请求时，只有该请求的host请求头在白名单内，用户才可以访问 iServer 或 iPortal，host请求头不在白名单内的请求会被拒绝