2. 程式人生 > >Filter攔截【Request】處理特殊字元、跨站指令碼

Filter攔截【Request】處理特殊字元、跨站指令碼

阿新 發佈:2018-12-20

處理類:繼承 HttpServletRequestWrapper

package ***;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequest extends HttpServletRequestWrapper{

	public XssHttpServletRequest(HttpServletRequest request) {
		super(request);
	}
	
	 @Override  
     public String getParameter(String name) {  
		if((name.equals("userName")) || (name.equals("passWord")) || (name.contains("saltvalue"))){
	    	return super.getParameter(name);
    	}else{
    		return cleanXSS(super.getParameter(name));  
    	}
     }  
  
     @Override  
     public String[] getParameterValues(String name) {  
    	if((name.equals("userName")) || (name.equals("passWord")) || (name.contains("saltvalue"))){
    		return super.getParameterValues(name);
    	}else{
    		String[] values = super.getParameterValues(name);  
    		if(values != null) {  
    			int length = values.length;  
    			String[] escapseValues = new String[length];  
    			for(int i = 0; i < length; i++){  
    				escapseValues[i] = cleanXSS(values[i]);  
    			}  
    			return escapseValues;  
    		}  
    		return super.getParameterValues(name);  
    	}
     }
     
     /**
 	 * 清除XSS程式碼攻擊
 	 * @param value(清除XSS程式碼前)
 	 * @return value(清除XSS程式碼後)
 	 */
 	private String cleanXSS(String value)  
     {  
 		if(value==null){
 			return value;
 		}
        /* value = value.replaceAll("<", "");
         value = value.replaceAll(">", "");
         value = value.replaceAll("\\(", "");
         value = value.replaceAll("\\)", "");*/
         value = value.replaceAll("&", "");
         value = value.replaceAll("$", "");
        /* value = value.replaceAll("\"", "");
         value = value.replaceAll("\'", "");
         value = value.replaceAll("\\+", "");*/
         value = value.replaceAll("eval\\((.*)\\)", "");
         value = value.replaceAll("[\\\"<a>\\\'][\\s]*javascript:(.*)[\\\"\\\'</a>]", "\"\"");
         value = value.replaceAll("javascript", "");
         value = value.replaceAll("script", "");
         value = value.replaceAll("alert", "");
         return value;  
     }
}

攔截器:實現Filter

package ***;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import org.apache.log4j.Logger;
import com.chinaums.dc.common.util.XssHttpServletRequest;

public class XSSFilter implements Filter{
	
	public static final Logger logger = Logger.getLogger(XSSFilter.class);
	
	@SuppressWarnings("xxx")
	private FilterConfig filterConfig;

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		this.filterConfig = filterConfig;
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		String encoding = request.getCharacterEncoding();  
		if(encoding==null){
			request.setCharacterEncoding("UTF-8");
		}
		HttpServletRequest hreq=(HttpServletRequest) request;
        chain.doFilter(new XssHttpServletRequest(hreq), response);  
	}

	@Override
	public void destroy() {
		
	}
}

配置檔案:

  <filter>
    <filter-name>xssfilter</filter-name>
    <filter-class>com.chinaums.dc.common.filter.XSSFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>xssfilter</filter-name>
    <url-pattern>*.do</url-pattern>
  </filter-mapping>

相關推薦

Filter攔截Request處理特殊字元指令碼

處理類:繼承 HttpServletRequestWrapper package ***; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequest

程式碼審計EasySNS_V1.6 前臺XSS指令碼漏洞分析

  0x00 環境準備 EasySNS官網:http://www.imzaker.com/ 網站原始碼版本:EasySNS極簡社群V1.60 程式原始碼下載:http://es.imzaker.com/index.php/Topic/gview/id/92.html 預設後臺地址:http

Spring MVC通過攔截處理sql注入XSS攻擊風險(jeecg)

最近一個以前做的政府網站被資訊保安部門掃描了一下,存在一些風險,發了一份安全報告過來。所以開始對這個網站進行安全性升級。其中主要的幾個問題是sql注入風險、跨站xss攻擊和連結注入問題。 首先,什麼是sql注入,度娘一下一大堆,官方語言我就不多說了,說說我自己

hdoj_2100Lovekey(大數+字元處理)

根據題目意思,現將字串轉化為10進位制,再採用10進位制加法相加,再轉化為26進位制. 另一種直接的思路是:採用26進位制,模擬加法過程. 思路:用字串儲存兩個26進位制的數,然後在前面補A(相

python字符串16進制等數據處理

python binascii 轉碼最近做一個socket server,需要接收組播報文,並進行分析處理。其中涉及的一個問題是,待發送的報文是字符串形式,類似“hello world”。從wireshark截取的報文看,都是16進制數據,以為必須轉為該種類型才能發送,需要轉換為16進制字符串,類似“0x\a

技巧處理提交數據的技巧

處理 tty back ctx get 提交 use sel post function addUserRole() { var instance = $(‘#resourcesTree‘).jstree(true); var select = instance.g

01markdown特殊說明

.html file mark 表格 你是 舉例 line microsoft block 【01】說明Markdown 的目標是實現「易讀易寫」。可讀性,無論如何,都是最重要的。一份使用 Markdown 格式撰寫的文件應該可以直接以純文本發布,並且看起來不會像是由許多標

BZOJ4566找相同字元字尾自動機

題意  給定兩個字串,求兩個字串相同子串的方案數。 分析  那麼將字串s1建SAM,然後對於s2的每個字首,都在SAM中找出來,並且計數就行。  我一開始的做法是,建一個u和len,順著s2跑SAM,當st[u].next[c]存在的時候,u=st[u].next[c],

Python3 正則處理特殊字元

Python3 正則處理特殊字元 import re # 測試文字 content = '<h1>你好</h1>666*Notice*\toh\rsee\ngood&nbsp;' def clear_special_char(content):

驅動第1課字元裝置驅動

=====節一、字元裝置驅動程式之概念介紹=====1、模組(即某單一驅動)是如何構建的?答:構建一個最基本的驅動模組,只需要4函式+1標頭檔案:模組裝載函式xx_init(), 模組解除安裝函式xx_exit(), module_init(), module_exit(), <linux/init.h

json處理特殊字元

json處理特殊字元 //JSon 資料中的String 傳遞資料時,需要處理好特殊字元 //1 :引號 如果是使用單引號,來括值的話,那String 中 ' 單引號為特殊字元 //2:正斜槓,反斜槓,換行符號等 。另外,必須用 (") 而非 (') 表示字串:

stream處理含null欄位的排序

msgInfoList=msgInfoList.stream().sorted(Comparator.comparing(l->l.getCreateDate(), Comparator.nullsFirst(java.util.Date::compareTo).reversed())).

LeetCode無重複字元的最長子串

斷斷續續的,也在寫點LeetCode上的題(當然是偏簡單的那種啦)。就順便把自己解題的一些思路粘在這裡吧。 無重複字元的最長子串 給定一個字串,找出不含有重複字元的最長子串的長度。 示例 1: 輸入: “abcabcbb” 輸出: 3 解釋: 無重複字元的最長子

JAVAScript處理字串方法彙總

2018年11月12日 10:32:11 shuiyyyy 閱讀數:5 標籤: 前端 js

spring IOC字面值處理特殊字元

字面值:可以用字串表示的值,可以通過 元素標籤或value屬性進行注入。 基本資料型別及其封裝類,String 等型別都可以採取字面值注入的方式 若字面值中包含特殊字元,可以使用<![CDATA[]]>把字面值包裹起來 比如在下面的value中加入尖括號,就發現不行。或報錯。

HNOI2016—找相同字元(字尾自動機)

傳送門 一道不錯的題 雖然不知道為什麼一群 D a l

NCL新增中文字元

load "$NCARG_ROOT/lib/ncarg/nclscripts/csm/gsn_code.ncl" load "$NCARG_ROOT/lib/ncarg/nclscripts/csm/

Selenium10處理對話方塊

頁面上彈出的對話方塊若是基於iframe,需要進行switch_to_frame操作,若是div形式,則處理更簡單 操作有:開啟對話方塊、關閉對話方塊、操作對話方塊中的元素 用到的html <html> <head> <meta htt

IOS 去空格處理 特殊字元處理

1. 去掉字串中兩邊的空格 NSCharacterSet *whiteSpace = [NSCharacterSetwhitespaceAndNewlineCharacterSet]; NSString *strr = [[NSStringalloc]initWith

java replaceall 用法:處理特殊字元

Java程式碼   public class TryDotRegEx {   public static void main(String[] args) {   // TODO Auto-generated method stub   String str = "