2. 程式人生 > >配置攔截器防xss和sql注入

配置攔截器防xss和sql注入

阿新 發佈:2019-01-27

1. web.xml配置攔截器

自定義一個實現了Filter介面的類XssAndSqlFilter。這個類用來實現具體的引數替換邏輯。

<!-- 防XSS和sql注入漏洞       開始  -->
    <filter>  
        <filter-name>xssAndSqlFilter</filter-name>  
        <filter-class>com.lancy.web.filter.XssAndSqlFilter</filter-class>  
    </filter>  
    <filter-mapping
 
>  
        <filter-name>xssAndSqlFilter</filter-name>  
        <url-pattern>*</url-pattern>  
    </filter-mapping>
    <!-- 防XSS和sql注入漏洞       結束-->

2. 編寫自定義攔截器類,實現Filter介面

package com.lancy.web.filter;

import java.io.IOException;

import javax.servlet.Filter;
import
 
 javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.lancy.web.request.XssAndSqlHttpServletRequestWrapper;

/**  
 * @Title: XssAndSqlFilter.java
 * @Description
 
: 防XSS和sql注入漏洞   filter
 * @date 2017年9月7日 下午6:59:23
 * @version V1.0  
 */
public class XssAndSqlFilter  implements Filter {  

    @Override  
    public void destroy() {  
        // TODO Auto-generated method stub  

    }  

    @Override  
    public void init(FilterConfig arg0) throws ServletException {  
        // TODO Auto-generated method stub  

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            javax.servlet.FilterChain chain) throws IOException,
            ServletException {
        //此類繼承了HttpServletRequestWrapper,可以對請求引數進行過濾
        XssAndSqlHttpServletRequestWrapper xssRequest = new XssAndSqlHttpServletRequestWrapper((HttpServletRequest) request);  
        chain.doFilter(xssRequest, response);  

    }   
}

3. 繼承HttpServletRequestWrapper,實現請求引數的過濾

這一步是最主要的,是業務邏輯的主要實現部分,封裝了HttpServletRequest請求,是裝飾模式。

package com.lancy.web.request;

import java.util.regex.Pattern;  

import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletRequestWrapper;  

/**  
 * @Title: XssAndSqlHttpServletRequestWrapper.java
 * @Description: TODO
 * @version V1.0  
 */
public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {  

  HttpServletRequest orgRequest = null;  

  public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {  
      super(request);  
      orgRequest = request;  
  }  

  /** 
   * 覆蓋getParameter方法,將引數名和引數值都做xss & sql過濾。<br/> 
   * 如果需要獲得原始的值,則通過super.getParameterValues(name)來獲取<br/> 
   * getParameterNames,getParameterValues和getParameterMap也可能需要覆蓋 
   */  
  @Override  
  public String getParameter(String name) {  
      String value = super.getParameter(xssEncode(name));  
      if (value != null) {  
          value = xssEncode(value);  
      }  
      return value;  
  }  

  /** 
   * 覆蓋getHeader方法,將引數名和引數值都做xss & sql過濾。<br/> 
   * 如果需要獲得原始的值,則通過super.getHeaders(name)來獲取<br/> 
   * getHeaderNames 也可能需要覆蓋 
   */  
  @Override  
  public String getHeader(String name) {  

      String value = super.getHeader(xssEncode(name));  
      if (value != null) {  
          value = xssEncode(value);  
      }  
      return value;  
  }  

  /** 
   * 將容易引起xss & sql漏洞的半形字元直接替換成全形字元 
   *  
   * @param s 
   * @return 
   */  
  private static String xssEncode(String s) {  
      if (s == null || s.isEmpty()) {  
          return s;  
      }else{  
          s = stripXSSAndSql(s);  
      }  
      StringBuilder sb = new StringBuilder(s.length() + 16);  
      for (int i = 0; i < s.length(); i++) {  
          char c = s.charAt(i);  
          switch (c) {  
          case '>':  
              sb.append(">");// 轉義大於號  
              break;  
          case '<':  
              sb.append("<");// 轉義小於號  
              break;  
          case '\'':  
              sb.append("'");// 轉義單引號  
              break;  
          case '\"':  
              sb.append(""");// 轉義雙引號  
              break;  
          case '&':  
              sb.append("&");// 轉義&  
              break;  
          case '#':  
              sb.append("#");// 轉義#  
              break;  
          default:  
              sb.append(c);  
              break;  
          }  
      }  
      return sb.toString();  
  }  

  /** 
   * 獲取最原始的request 
   *  
   * @return 
   */  
  public HttpServletRequest getOrgRequest() {  
      return orgRequest;  
  }  

  /** 
   * 獲取最原始的request的靜態方法 
   *  
   * @return 
   */  
  public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
      if (req instanceof XssAndSqlHttpServletRequestWrapper) {  
          return ((XssAndSqlHttpServletRequestWrapper) req).getOrgRequest();  
      }  

      return req;  
  }  

  /** 
   *  
   * 防止xss跨指令碼攻擊(替換,根據實際情況調整) 
   */  

  public static String stripXSSAndSql(String value) {  
      if (value != null) {  
          // NOTE: It's highly recommended to use the ESAPI library and  
          // uncomment the following line to  
          // avoid encoded attacks.  
          // value = ESAPI.encoder().canonicalize(value);  
          // Avoid null characters  
/**         value = value.replaceAll("", "");***/  
          // Avoid anything between script tags  
          Pattern scriptPattern = Pattern.compile("<[\r\n| | ]*script[\r\n| | ]*>(.*?)</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);  
          value = scriptPattern.matcher(value).replaceAll("");  
          // Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e-xpression  
          scriptPattern = Pattern.compile("src[\r\n| | ]*=[\r\n| | ]*[\\\"|\\\'](.*?)[\\\"|\\\']", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
          value = scriptPattern.matcher(value).replaceAll("");  
          // Remove any lonesome </script> tag  
          scriptPattern = Pattern.compile("</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);  
          value = scriptPattern.matcher(value).replaceAll("");  
          // Remove any lonesome <script ...> tag  
          scriptPattern = Pattern.compile("<[\r\n| | ]*script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
          value = scriptPattern.matcher(value).replaceAll("");  
          // Avoid eval(...) expressions  
          scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
          value = scriptPattern.matcher(value).replaceAll("");  
          // Avoid e-xpression(...) expressions  
          scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
          value = scriptPattern.matcher(value).replaceAll("");  
          // Avoid javascript:... expressions  
          scriptPattern = Pattern.compile("javascript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);  
          value = scriptPattern.matcher(value).replaceAll("");  
          // Avoid vbscript:... expressions  
          scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);  
          value = scriptPattern.matcher(value).replaceAll("");  
          // Avoid onload= expressions  
          scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
          value = scriptPattern.matcher(value).replaceAll(""); 
          value = value.trim();
      }  
      return value;  
  }  

}

相關推薦

配置攔截xsssql注入

1. web.xml配置攔截器 自定義一個實現了Filter介面的類XssAndSqlFilter。這個類用來實現具體的引數替換邏輯。 <!-- 防XSS和sql注入漏洞 開始 --> <filter>

安全防禦之xssSQL注入、與CSRF攻擊

XSS攻擊 個人理解,專案中最普通的就是通過輸入框表單,提交js程式碼,進行攻擊例如在輸入框中提交 <script>alert("我是xss攻擊");</script>,如果沒有防御措施的話,就會在表單提交之後,彈出彈窗 防禦措施,目前我主要是用一個過濾器,將特殊字元進行轉

Spring 防禦CSRF、XSSSQL注入攻擊

對每個post請求的引數過濾一些關鍵字,替換成安全的,例如:< > ' " \ /  # & 方法是實現一個自定義的HttpServletRequestWrapper,然後在Filter裡面呼叫它,替換掉getParameter函式即可。 首先新增一個X

Spring MVC防禦CSRF、XSSSQL注入攻擊

說說CSRF 對CSRF來說,其實Spring3.1、ASP.NET MVC3、Rails、Django等都已經支援自動在涉及POST的地方新增Token(包括FORM表單和AJAX POST等),似乎是一個tag的事情,但如果瞭解一些實現原理,手工來處理,也是有好處的。因為其實很多人做web開

springboot 實現防止xss攻擊sql注入

一、xss攻擊和sql注入(可以使用IBM安全漏洞掃描工具) (1)XSS(Cross Site Scripting),即跨站指令碼攻擊,是一種常見於web application中的電腦保安漏洞。XSS通過在使用者端注入惡意的可執行指令碼,若伺服器端對使用者輸入不進行處理,直接將使用者輸入

防止Xss攻擊Sql注入

Xss攻擊簡介 XSS攻擊全稱跨站指令碼攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS,XSS是一種在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給

SpringBoot整合Mybatis自定義攔截,實現拼接sql修改

一、應用場景 1.分頁,如com.github.pagehelper的分頁外掛實現; 2.攔截sql做日誌監控; 3.統一對某些sql進行統一條件拼接,類似於分頁。 二、MyBatis的攔截器簡介 然後我們要知道攔截器攔截什麼樣的物件,攔截物件的什麼行為,什麼時候攔截? &n

安全測試-- 告訴你什麼是XSSsql注入?POSTGET的區別

1、使用者許可權測試   (1) 使用者許可權控制   1) 使用者許可權控制主要是對一些有許可權控制的功能進行驗證   2) 使用者A才能進行的操作,B是否能夠進行操作(可通過竄session,將在下面介紹)   3)只能有A條件的使用者才能檢視的頁面,是否B能夠檢視(可

PHP防止被xsssql語句注入攻擊的方法(網站app通用)

傳過來的引數 如果是整數型別 那就直接用intval函式轉化為整數 字串 那就要用函數了 注意輸入的內容htmlspecialchars過濾程式碼如下 // Anti_SQL Injection, escape quotes function filter($content

Struts2配置攔截自定義棧時拋異常:Unable to load configuration. - interceptor-ref - file:/D:/tomcat_install/webapps/crm/WEB-INF/classes/struts.xml

註意 其他 默認 才會 eba staf -i sta fault 代碼如下: <interceptors> <!-- 註冊自定義攔截器 --> <interceptor name="LoginInterceptor" class="co

Spring+Session+interceptor+ajax(攔截)的登陸退出

register servle output http con cal 異常 header get 方法一使用servlet自帶的HttpSession 註意點: HttpSession應該作為方法的參數 //登入 public boolean customerLo

mybatis攔截實現查看sql執行效率

nth 內部 設置 work check sel nts mage view package cc.zeelan.common.utils; import java.lang.reflect.Field; import java.sql.Statement; impor

關於在線文本編輯XSS註入攻擊問題

使用 行處理 som 註入攻擊 .get str 代碼 自動 這樣的 跨站腳本攻擊,又稱XSS代碼攻擊,也是一種常見的腳本註入攻擊。例如在下面的界面上,很多輸入框是可以隨意輸入內容的,特別是一些文本編輯框裏面,可以輸入例如<script>alert(‘這是一個頁

XXSSQL註入

style applet seo ava att base col rip 表達式 對網站發動XSS攻擊的方式有很多種,僅僅使用php的一些內置過濾函數是對付不了的,即使你將filter_var,mysql_real_escape_string,htmlentities,h

SpringBoot配置攔截

href 步驟 reg void 成功 config 技術分享 pub 表示 【配置步驟】 1.為類添加註解@Configuration,配置攔截器 2.繼承WebMvcConfigurerAdapter類 3.重寫addInterceptors方法,添加需要攔截的請求 @

Struts_登錄練習(未配置攔截

struts mode 分享圖片 技術 imp dao hibernate 截器 使用 1、在domain中建個User.java和其配置文件 並在hibernate.cfg.xml中加入配置 2、配置struts文件 3、在jsp文件中修改action地

axios 全域性攔截 (相應請求)

axios.interceptors.request.use(function (config) { // 在傳送請求之前做些什麼 return config; }, function (error) { // 對請求錯誤做些什麼 return Promise.reject(error); }); // 新增

spring boot整合swagger,自定義註解,攔截xss過濾,非同步呼叫,定時任務案例

本文介紹spring boot整合swagger,自定義註解,攔截器,xss過濾,非同步呼叫,定時任務案例 整合swagger--對於做前後端分離的專案,後端只需要提供介面訪問,swagger提供了介面呼叫測試和各種註釋的視覺化web介面。配置swagger的掃描包路徑,api資訊等,見配置類Swagger

SpringMVC 配置攔截 HandlerInterceptor

目錄 一、實現思路 二、具體實現 三、HandlerInterceptorAdapter  一、實現思路 在 SpringMVC 或者 SSM 環境的專案下,新建一個攔截類,繼承 HandlerInterceptor 介面,然後實現接口裡面的三個方法,接著在 pre

[工作日誌] 2018-11-28 重點: 全域性配置攔截問題

頁面回顯時間戳 問題描述 : 問題1 : 在資料庫中, 更新時間等格式是 yyyy-MM-dd HH:mm:ss , 但是我通過UserVo的形式直接回顯到頁面上時, 資料庫中的時間, 變成了毫秒的格式, 也就是時間戳.  但是在全域性的配置檔案application.yml 中加入