本节书摘来异步社区《Java编码指南：编写安全可靠程序的75条建议》一书中的第1章，第1.6节，作者：【美】Fred Long（弗雷德•朗）, Dhruv Mohindra（德鲁•莫欣达）, Robert C.Seacord（罗伯特 C.西科德）, Dean F.Sutherland（迪恩 F.萨瑟兰）, David Svoboda（大卫•斯沃博达），更多章节内容可以访问云栖社区“异步社区”公众号查看。

指南6：正确地编码或转义输出

适当的输入检查可以防止恶意数据插入数据库等子系统。虽然不同的子系统需要不同类型的数据无害化处理，但是子系统最终要接收的输入形式都很明确，因此可以很清楚地知道需要什么样的数据无害化处理。

有几个用于输出数据的子系统。HTML渲染器是一种常见的用于显示程序输出的子系统。发送给输出子系统的数据，来源似乎都很可靠。然而，假设输出数据不必做无害化处理，是很危险的，因为这些数据可能间接来源于一个不可信的来源，并且可能包含恶意的内容。如果没能正确地处理传递给输出子系统的数据，就会让多种类型的攻击有机可乘。例如，HTML渲染器易受HTML注入攻击和跨站脚本（XSS）攻击[OWASP 2011]。因此，用于防止此类攻击的输出无害化处理，和输入无害化处理一样重要。

和输入验证一样，数据应该在消除恶意字符之前被标准化。正确编码所有输出字符，其中那些已知的、不会由于绕过数据验证而导致安全漏洞的字符除外。更多信息参见《The CERT® Oracle® Secure Coding Standard for Java™》[Long 2012]的“IDS01-J. Normalize strings before validating them”。

违规代码示例

下面的违规代码示例使用基于Java EE的Spring框架中的模型-视图-控制器（Model-View-Controller，MVC）概念，向用户显示了没有经过编码或转义的数据。因为数据会被发送到Web浏览器，所以该代码容易受到HTML注入攻击和XSS攻击。

@RequestMapping("/getnotifications.htm")public ModelAndView getNotifications(　HttpServletRequest request, HttpServletResponse response) {　ModelAndView mv = new ModelAndView();　try {　　UserInfo userDetails = getUserInfo();　　List

public class ValidateOutput {

　// Allows only alphanumeric characters and spaces　private static final Pattern pattern =　　Pattern.compile("^[a-zA-Z0-9\s]{0,20}$");

　// Validates and encodes the input field based on a whitelist

　public String validate(String name, String input)　　 throws ValidationException { 　　String canonical = normalize(input);

　　if (!pattern.matcher(canonical).matches()) {

　　　throw new ValidationException("Improper format in " + 　　　　　　　　　　　　　　　　　　name + " field");　　}

　　// Performs output encoding for nonvalid characters

　　canonical = HTMLEntityEncode(canonical);　　return canonical;　}

　// Normalizes to known instances

　private String normalize(String input) { 　　String canonical =　　　java.text.Normalizer.normalize(input,　　　　Normalizer.Form.NFKC);　　return canonical;　}

　// Encodes nonvalid data

　private static String HTMLEntityEncode(String input) { 　　StringBuffer sb = new StringBuffer();

　　for (int i = 0; i < input.length(); i++) {

　　　char ch = input.charAt(i);　　　if (Character.isLetterOrDigit(ch) ||　　　　　　Character.isWhitespace(ch)) { 　　　　　sb.append(ch);　　　　} else { 　　　　　sb.append("" + (int)ch + ";");　　　　}　　　}　　　return sb.toString();　}}

// ...

@RequestMapping("/getnotifications.htm")

public ModelAndView getNotifications(HttpServletRequest request, 　 HttpServletResponse response) { 　ValidateOutput vo = new ValidateOutput();

　ModelAndView mv = new ModelAndView();　

　try { 　　UserInfo userDetails = getUserInfo();　　List> list =　　　new ArrayList>();　　List notificationList =　　　NotificationService.getNotificationsForUserId(　　　　serDetails.getPersonId());

　　for (Notification notification: notificationList) {

　　　　Map map = new HashMap();　　　　map.put("id", vo.validate("id" ,notification.getId()));　　　　map.put("message",　　　　　vo.validate("message", notification.getMessage()));　　　　list.add(map);　　}

　　mv.addObject("Notifications", list);

　}　catch (Throwable t) { 　　// Log to file and handle　}

　return mv;

}`当接受危险的字符如双引号和尖括号时，必须对输出进行编码和转义。即使在输入白名单中不允许出现这样的字符，也要对输出进行转义，因为这样就提供了一个二级防御。注意，确切的转义序列会发生变化，具体取决于该输出将要被嵌入的地方。例如，HTML标签属性值、CSS、URL或者脚本中都可能会出现不可信输出，不同情况下的输出编码例程也会有所不同。另外，在有些上下文中，无法安全地使用不可信的数据。

适用性

在输出被显示前或被传递到可信边界前，没能对其进行编码或转义，导致任意代码的执行。

相关漏洞

据2006年1月报道，Apache GERONIMO-1474漏洞允许攻击者提交包含JavaScript的URL。网络访问日志查看器（Web Access Log Viewer）未能对跳转到管理员控制台的数据进行无害化处理，从而促成了一个典型的XSS攻击。