文档章节

filter的使用处理URL白名单和参数白名单(用于安全红线扫描)

lee123lee
 lee123lee
发布于 2013/09/27 00:16
字数 441
阅读 602
收藏 1
点赞 0
评论 0
package com.huawei.filters;

import java.io.IOException;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Vector;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class RequestActionFilter implements Filter
{

    private String OptionalCharEncode;

    private String isDebug;

    private String whiteUriList[];

    private String whiteParams[];

    public RequestActionFilter()
    {
        OptionalCharEncode = null;
        isDebug = "1";
        whiteUriList = null;
        whiteParams = null;
    }

    public void init(FilterConfig filterConfig) throws ServletException
    {
        OptionalCharEncode = filterConfig
                .getInitParameter("OptionalCharEncode");
        isDebug = filterConfig.getInitParameter("isDebug");
        if (isDebug == null || "".equals(isDebug))
        {
            isDebug = "1";
        }
        if (OptionalCharEncode == null)
        {
            OptionalCharEncode = "";
        }
        whiteUriList = filterConfig.getInitParameter("whiteUriList").split("@");
        whiteParams = filterConfig.getInitParameter("whiteParams").split("@");
    }

    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException
    {
        HttpServletRequest req = (HttpServletRequest) request;
        String freeUriPattern = ".*\\.(js|css|gif|jpg|ico|png)$";
        if (Pattern.matches(freeUriPattern, req.getRequestURI()))
        {
            chain.doFilter(request, response);
            return;
        }
        if ("0".equals(isDebug))
        {
            System.out.println("--------RequestURI:" + req.getRequestURI());
        }
        if (IsWhiteUri(req.getRequestURI()))
        {
            if ("0".equals(isDebug))
            {
                System.out.println("--------" + req.getRequestURI()
                        + " is whiteUri");
            }
            chain.doFilter(request, response);
            return;
        }
        HashMap paramMap = new HashMap(req.getParameterMap());
        processParamsters(paramMap);
        if ("0".equals(isDebug))
        {
            Vector vec = new Vector(paramMap.keySet());
            Enumeration keys = vec.elements();
            String key = "";
            String values[] = (String[]) null;
            while (keys.hasMoreElements())
            {
                Object obj = keys.nextElement();
                if (obj != null)
                {
                    key = (String) obj;
                    values = (String[]) paramMap.get(key);
                    for (int i = 0; i < values.length; i++)
                    {
                        System.out.println("------convert_after_paramname:"
                                + key + "-----convert_after_paramvalue:"
                                + values[i]);
                    }

                }
            }
        }
        chain.doFilter(request, response);
    }

    private boolean IsWhiteUri(String uri)
    {
        for (int i = 0; i < whiteUriList.length; i++)
        {
            if (whiteUriList[i].length() > 0)
            {
                String whiteuri = whiteUriList[i];
                whiteuri = whiteuri.trim();
                Pattern p = Pattern.compile(whiteuri);
                if (p.matcher(uri).find())
                {
                    return true;
                }
            }
        }

        return false;
    }

    private boolean IsWhiteParam(String param)
    {
        for (int i = 0; i < whiteParams.length; i++)
        {
            String whiteparam = whiteParams[i];
            whiteparam = whiteparam.trim();
            if (whiteparam.equals(param))
            {
                return true;
            }
        }

        return false;
    }

    private void processParamsters(HashMap params)
    {
        Vector l = new Vector(params.keySet());
        Enumeration keys = l.elements();
        String key = "";
        String values[] = (String[]) null;
        int len = 0;
        while (keys.hasMoreElements())
        {
            Object obj = keys.nextElement();
            if (obj != null)
            {
                key = (String) obj;
                if (!IsWhiteParam(key))
                {
                    values = (String[]) params.get(key);
                    len = values.length;
                    for (int i = 0; i < len; i++)
                    {
                        if ("0".equals(isDebug))
                        {
                            System.out.println("------convert_per_paramname:"
                                    + key + "-----convert_per_paramvalue:"
                                    + values[i]);
                        }
                        values[i] = values[i].replaceAll("&", "&amp;");
                        values[i] = values[i].replaceAll("<", "&lt;");
                        values[i] = values[i].replaceAll(">", "&gt;");
                        values[i] = values[i].replaceAll("\"", "&quot;");
                        values[i] = values[i].replaceAll("'", "&#39;");
                        if (OptionalCharEncode.equalsIgnoreCase("true"))
                        {
                            values[i] = values[i].replaceAll("/", "&#47;");
                            values[i] = values[i].replaceAll("\\(", "&#40;");
                            values[i] = values[i].replaceAll("\\)", "&#41;");
                        }
                    }

                }
            }
        }
    }

    public void destroy()
    {
    }
}

 

 

<filter>
 <filter-name>urlFilter</filter-name>
 <filter-class>com.huawei.filters.RequestActionFilter</filter-class>
  <init-param>
  <param-name>isDebug</param-name>
  <param-value>0</param-value>
 </init-param>
 <init-param>
  <param-name>OptionalCharEncode</param-name>
  <param-value>true</param-value>
 </init-param>
 <init-param>
      <param-name>whiteUriList</param-name>
      <param-value></param-value>
    </init-param>
    <init-param>
      <param-name>whiteParams</param-name>
      <param-value>pswd@validateCode@URL</param-value>
    </init-param>
</filter>
<filter-mapping>
 <filter-name>urlFilter</filter-name>
 <url-pattern>/*</url-pattern>
</filter-mapping>

© 著作权归作者所有

共有 人打赏支持
lee123lee
粉丝 51
博文 136
码字总数 122159
作品 1
闵行
高级程序员
[Android]PhoneGap源码分析——白名单

对于单独的Web app应用来说,加载进来的url一般不能保证它的安全性。那么如何来处理url安全性的问题呢。 让我们来看看PhoneGap是如何做的。 PhoneGap采用了白名单的形式,认为在白名单中的u...

亭子happy ⋅ 2012/09/29 ⋅ 1

pomelo 0.8 发布,网易游戏服务器框架

0.8 版本新特性 pomelo-cocos2d-jsb 对 cocos2d-x javaScript binding 环境有了支持,开发者可以很方便的使用 javaScript 来完成前后端的开发,并发布到 ios,android,web平台上 详细请看 po...

oschina ⋅ 2013/12/25 ⋅ 0

[WordPress源码分析]插件配置更新

WordPress有一套注册和修改配置的机制,很多插件设置都基于这套机制实现。以BAE-Helper为例,插件的配置都是通过wp-admin/options.php更新的,详见《[BAE-Helper]实现分析v0.1》。而具体Wor...

joshuazhan ⋅ 2013/09/17 ⋅ 0

CSP的今世与未来

一、从两个工具说起 最近Google又推出了两款有关CSP利用的小工具,其一为CSP Evaluator,这是一个能够评估你当前输入的CSP能否帮助你有效避免XSS攻击的工具,其用法非常简单,在输入框中输入...

阿里聚安全 ⋅ 2016/10/18 ⋅ 0

CSP的今世与未来

一、从两个工具说起 最近Google又推出了两款有关CSP利用的小工具,其一为CSP Evaluator,这是一个能够评估你当前输入的CSP能否帮助你有效避免XSS攻击的工具,其用法非常简单,在输入框中输入...

阿里聚安全 ⋅ 2016/10/18 ⋅ 2

Java Web:主动和被动方式检测安全的框架

对于某些敏感的系统例如支付、交易需要为其加固,有必要将可能的攻击情况考虑进来加以防范,于是有了这么一个简易的安全框架。在前辈的代码上( 详见 :http://blog.csdn.net/zhongweijian/a...

sp42 ⋅ 2017/02/05 ⋅ 0

开源邮件网关ScrolloutF1之四--安全

ScrolloutF1的配置重头戏在这里 1.Secure-Levels 此页面是配置各个过滤器及评分等级的,1-3是严格,4-6是中等,7-10是宽松. 1.1 Auto Defense 自动防御,禁用非法访问及超限访问IP一段时间. 新搭...

winters ⋅ 04/18 ⋅ 0

cordova开发日记05 白名单的配置和说明(Whitelist)

Whitelist是cordova为了解决同源策略的方案,配置方法如下: 官网地址: http://cordova.apache.org/docs/en/latest/guide/appdev/whitelist/index.html http://cordova.apache.org/docs/en/la......

WolfX ⋅ 2016/05/19 ⋅ 0

filter的使用处理URL白名单和参数白名单(用于安全红线扫描)

@OSC大波波泷泽萝拉 你好,想跟你请教个问题:关于url处理的

wtkuaile ⋅ 2015/12/07 ⋅ 3

SpringBoot11 之Druid连接池

Druid是Java语言中最好的数据库连接池,并且能够提供强大的监控和扩展功能。 业界把 Druid 和 HikariCP 做对比后,虽说 HikariCP 的性能比 Druid 高,但是因为 Druid 包括很多维度的统计和分...

小鸟也疯狂 ⋅ 2016/12/13 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Mahout基于内存的DataMode 推荐引擎Demo2

Mahout基于内存的DataMode 推荐引擎Demo2 //注释的部分是基于文件也可以理解为基于日志文件的, //DataModel 可以有很多种,实现abstractDataMode的子类,原则上都可以作为数据源,个人觉得,...

xiaomin0322 ⋅ 18分钟前 ⋅ 0

Docker部署Tomcat及Web应用

一、在线下载docker yum install -y epel-releaseyum install docker-io # 安装dockerchkconfig docker on # 加入开机启动service docker start # 启动docker服务 1 ...

Jeam_ ⋅ 19分钟前 ⋅ 0

研发运营一体化能力成熟度模型

研发运营一体化是指在 IT 软件及相关服务的研发及交付过程中,将应用的需求、开发、测试、部 署和运营统一起来,基于整个组织的协作和应用架构的优化,实现敏捷开发、持续交付和应用运营的无...

stars永恒 ⋅ 24分钟前 ⋅ 0

jQuery缩小放大触发事件

jquery的resize()方法使用 <html> <head> <script type="text/javascript" src="/jquery/jquery.js"></script> <script type="text/javascript"> var i = 0; $(document).ready(function(){ ......

RobertZou ⋅ 25分钟前 ⋅ 0

eclipse python 搭建

https://jingyan.baidu.com/article/9113f81b68ebce2b3214c7e0.html https://www.cnblogs.com/ZhangRuoXu/p/6397756.html https://blog.csdn.net/zhangphil/article/details/78962159 字符集......

之渊 ⋅ 25分钟前 ⋅ 0

weex,react native,flutter

weex: 一次编写,处处运行 RN: 学一次,到处写(针对安卓,IOS平台特性 各自写,会有很大一部分是一样的代码) 这些方案是否真正的解决了跨平台问题呢?从目前的状况来看,很显然是没有的,因...

东东笔记 ⋅ 31分钟前 ⋅ 0

Spring Cloud微服务分布式云架构-集成项目

Spring Cloud集成项目有很多,下面我们列举一下和Spring Cloud相关的优秀项目,我们的企业架构中用到了很多的优秀项目,说白了,也是站在巨人的肩膀上去整合的。在学习Spring Cloud之前大家必...

明理萝 ⋅ 36分钟前 ⋅ 1

SpringMVC图片上传问题解决

当我们上传图片时一直发现: MultipartFile file = null; if (request instanceof MultipartHttpServletRequest) 匹配不上, 解决方案: 在前端xml加入如下配置代码即可 <!-- 图片上传bean --...

泉天下 ⋅ 38分钟前 ⋅ 0

Spring表达式语言(SpEL)

1、SpEL引用 Spring EL在bean创建时执行其中的表达式。此外,所有的Spring表达式都可以通过XML或注解的方式实现。下面将使用Spring表达式语言(SpEL),注入字符串,整数,Bean到属性。 SpEL的...

霍淇滨 ⋅ 54分钟前 ⋅ 0

Gradle使用阿里云镜像

gradle 生命周期中有一个初始化( Initialization )的过程,这个过程运行在 build script 之前,我们可以在这个地方做一点系统全局的设置,如配置仓库地址。 你可以在以下几个位置实现仓库地址...

明MikeWoo ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部