2. 程式人生 > >XSS攻擊解決方案之一(過濾器)

XSS攻擊解決方案之一(過濾器)

阿新 發佈:2019-01-07

一、XssFilter.java

package com.stylefeng.roses.core.xss;


import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.List;


public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    private List<String> urlExclusion = null;

    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    public void destroy() {
        this.filterConfig = null;
    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String servletPath = httpServletRequest.getServletPath();

        if (urlExclusion != null && urlExclusion.contains(servletPath)) {
            chain.doFilter(request, response);
        } else {
            chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
        }
    }

    public List<String> getUrlExclusion() {
        return urlExclusion;
    }

    public void setUrlExclusion(List<String> urlExclusion) {
        this.urlExclusion = urlExclusion;
    }
}

二、配置web.xml檔案

    <filter>
		<filter-name>XssFilter</filter-name>
		<filter-class>com.powersi.hygeia.web.filter.XssFilter
		</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>XssFilter</filter-name>
		<url-pattern>業務</url-pattern>
	</filter-mapping>

三、其實核心在XssHttpServletRequestWrapper中的cleanXSS方法(定義了轉義的字元)。

package com.stylefeng.roses.core.xss;


import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {

        super(servletRequest);

    }

    public String[] getParameterValues(String parameter) {

        String[] values = super.getParameterValues(parameter);

        if (values == null) {

            return null;

        }

        int count = values.length;

        String[] encodedValues = new String[count];

        for (int i = 0; i < count; i++) {

            encodedValues[i] = cleanXSS(values[i]);

        }

        return encodedValues;

    }

    public String getParameter(String parameter) {

        String value = super.getParameter(parameter);

        if (value == null) {

            return null;

        }

        return cleanXSS(value);

    }

    public String getHeader(String name) {

        String value = super.getHeader(name);

        if (value == null)

            return null;

        return cleanXSS(value);

    }

    private String cleanXSS(String value) {

        //You'll need to remove the spaces from the html entities below

        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");

        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");

        value = value.replaceAll("'", "& #39;");

        value = value.replaceAll("eval\\((.*)\\)", "");

        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("script", "");

        return value;

    }


}

相關推薦

XSS攻擊解決方案之一過濾器

一、XssFilter.java package com.stylefeng.roses.core.xss; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import jav

ASP.NET Zero--解決方案結構

ges 檢測 lan auto git png 其他 nan repos 解決方案結構(層) 創建和下載項目後,您將具有如下所示的解決方案結構: 解決方案有8個項目: Core項目包含域層類(如 實體 和 域服務)。 Application項目包含應用

分布式事務解決方案框架LCN

city type 中間件 part 參與者 acid 啟動 msu cat 事物概念事物特性(ACID)原子性(A)所謂的原子性就是說,在整個事務中的所有操作,要麽全部完成,要麽全部不做,沒有中間狀態。對於事務在執行中發生錯誤,所有的操作都會被回滾,整個事務就像從沒被執行

分散式事務解決方案框架LCN

事物概念 事物特性(ACID) 原子性(A) 所謂的原子性就是說,在整個事務中的所有操作,要麼全部完成,要麼全部不做,沒有中間狀態。對於事務在執行中發生錯誤,所有的操作都會被回滾,整個事務就像從沒被執行過一樣。 一致性(C) 事務的執行必須保證系統的一致性,就拿轉賬

java輕量級的CMS解決方案 天梯tianti

       配套書籍:       檢視>>>       專案簡介:     ·天梯(tianti)是一款使用Java編寫的免費開源的輕量級CMS系統,目前提供了從後臺管理到前端展

PowerBI更新 - 解決方案架構一圖勝萬字!

service 包括 obi font 數據模型 ont ima power mis 今天發福利啦!發福利啦!發福利啦! 企業的各種數據整合到PowerBI顯示,瀏覽器,移動端顯示關鍵指標。 一個很好的PowerBI解決方案的圖!一圖勝萬字!你所需要知

Java本地緩存解決方案其一使用Google的CacheBuilder

import 緩存 tar google 相對 for use 控制臺 star 前不久,業務實現上需要用到本地緩存來解決一些數據量相對較小但是頻繁訪問的數據,通過查找各種資料,找到了一種可以實現的方案——采用的是Google的CacheBuilder。下面是代碼實現過程:

實現IE兼容方案之一濾鏡

alpha arp ie6 code pix fault 技術 bsp work 當 CSS3 遇上較低版本 IE,濾鏡就成了實現兼容性的折衷方案之一。雖然濾鏡是過時很久的技術了,但還是能看出微軟的高瞻遠矚——早在 IE6 就用濾鏡實現了 bug 叢

12月11日,發生大面積的包含 react-native-image-picker 的安卓專案啟動崩潰現象解決方案我的已經解決

12月11日,發生大面積的包含 react-native-image-picker 的安卓專案啟動崩潰現象。疑似原因為maven源丟失。解決方案見github:https://github.com/react-native-community/react-native-image-picke

APP使用者登入解決方案——JWTjava web token生成Token

什麼是JSON Web Token?JSON Web Token(JWT)是一個開放式標準(RFC 7519),它定義了一種緊湊且自包含的方式,用於在各方之間以JSON物件安全傳輸資訊。這些資訊可以通過數字簽名進行驗證和信任。可以使用祕密(使用HMAC演算法)或使用RSA的公

AJax請求處理成功卻不進入success的解決方案專案遷移至springboot中出現的問題

之前環境eclipse+ssm 執行一切ok 之後環境idea+maven+springboot 出錯 博主在出現這個問題的時候是在把ssm專案遷移成springboot中時出現的。 也就是說ssm專案中可以正常返回資料,springboot就不行了。 一般這種問

Android Studio匯入專案遇到的問題【解決方案救火專用

    近段時間要做Android的課設,但是Android Studio真的不怎麼會,只好匯入一下別人的專案參考一下,沒想到匯入專案時也會遇到這麼多問題,頭都快炸了好嗎。下面記錄一下我個人遇到的問題和解決方案,僅供參考。    先新建一個空白專案, 然後點選選單File-&

Leetcode 279:完全平方數最詳細解決方案!!!

給定正整數 n,找到若干個完全平方數(比如 1, 4, 9, 16, ...)使得它們的和等於 n。你需要讓組成和的完全平方數的個數最少。 示例 1: 輸入: n = 12 輸出: 3 解釋: 12 = 4 + 4 + 4. 示例 2: 輸入: n = 13

Leetcode 328:奇偶連結串列最詳細解決方案!!!

給定一個單鏈表,把所有的奇數節點和偶數節點分別排在一起。請注意,這裡的奇數節點和偶數節點指的是節點編號的奇偶性,而不是節點的值的奇偶性。 請嘗試使用原地演算法完成。你的演算法的空間複雜度應為 O(1),時間複雜度應為 O(nodes),nodes 為節點總數。

Leetcode 209:長度最小的子陣列最詳細解決方案!!!

給定一個含有 n 個正整數的陣列和一個正整數 s ,找出該陣列中滿足其和 ≥ s 的長度最小的子陣列。如果不存在符合條件的子陣列,返回 0。 示例: 輸入: [2,3,1,2,4,3], s = 7 輸出: 2 解釋: 子陣列 [4,3] 是該條件下的

Leetcode 92:反轉連結串列 II最詳細解決方案!!!

反轉從位置 m 到 n 的連結串列。請使用一趟掃描完成反轉。 說明: 1 ≤ m ≤ n ≤ 連結串列長度。 示例: 輸入: 1->2->3->4->5->NU

AccessibilityService2016終極解決方案包括微信搶紅包外掛原理解析和開發實現

一、前言 自從去年中微信新增搶紅包的功能,微信的電商之旅算是正式開始正式火爆起來。但是作為Android開發者來說,我們在搶紅包的同時意識到了很多問題,就是手動去搶紅包的速度慢了,當然這些有很多原因導致了。或許是網路的原因,而且這個也是最大的原因。但是其他的不可忽略的因

Leetcode 206:反轉連結串列最詳細解決方案!!!

反轉一個單鏈表。 示例: 輸入: 1->2->3->4->5->NULL 輸出: 5->4->3->2->1->NULL 進階: 你可以迭代

併發程式設計與高併發解決方案學習Java 記憶體模型

JMM(Java Memory Model)    JMM是一種規範,規範了Java虛擬機器與計算機記憶體是如何協同工作的,規定了一個執行緒如何和何時可以看到其他執行緒修改過的共享變數的值,以及在必須的時候如果同步的訪問共享變數。棧    棧的優勢:存取速度比堆要快,僅次於計

Leetcode 237:刪除連結串列中的節點最詳細解決方案!!!

請編寫一個函式,使其可以刪除某個連結串列中給定的(非末尾)節點,你將只被給定要求被刪除的節點。 現有一個連結串列 – head = [4,5,1,9],它可以表示為: 4 -> 5