文档章节

XSS跨站点脚本攻击拦截器

罗荣熙
 罗荣熙
发布于 2015/04/28 12:03
字数 443
阅读 46
收藏 1
点赞 0
评论 0

别的就不说了,直接上代码: 1、web.xml文件的配置 <!-- xss跨站点脚本攻击拦截器 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>com.gzqh.common.interceptor.XSSFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> 2、拦截器代码 1)类1代码: package com.gzqh.common.interceptor;

import java.io.IOException;

import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest;

public class XSSFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException {
}

@Override 
public void doFilter(ServletRequest request, ServletResponse response,  
        FilterChain chain) throws IOException, ServletException {  

    XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(  
            (HttpServletRequest) request);  
    chain.doFilter(xssRequest, response);  
}  

@Override 
public void destroy() {  
} 

}

2)类2代码 package com.gzqh.common.interceptor;

import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest orgRequest = null;

public XssHttpServletRequestWrapper(HttpServletRequest request) {  
    super(request);  
    orgRequest = request;  
}  

/** 
 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/> 
 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> 
 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
 */ 
@Override 
public String getParameter(String name) {  
    String value = super.getParameter(xssEncode(name));  
    if (value != null) {  
        value = xssEncode(value);  
    }  
    return value;  
}  

/** 
 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/> 
 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> 
 * getHeaderNames 也可能需要覆盖 
 */ 
@Override 
public String getHeader(String name) {  

    String value = super.getHeader(xssEncode(name));  
    if (value != null) {  
        value = xssEncode(value);  
    }  
    return value;  
}  

/** 
 * 将容易引起xss漏洞的半角字符直接替换成全角字符 
 *  
 * @param s 
 * @return 
 */ 
private static String xssEncode(String s) {  
    if (s == null || s.isEmpty()) {  
        return s;  
    }
    StringBuilder sb = new StringBuilder(s.length() + 16);  
    for (int i = 0; i < s.length(); i++) {  
        char c = s.charAt(i);  
        switch (c) {  
        case '>':  
            //sb.append("&gt;");// 转义大于号   
            break;  
        case '<':  
            //sb.append("&lt;");// 转义小于号   
            break;  
        case '\'':  
            //sb.append("'");// 转义单引号   
            break;  
        case '\"':  
            //sb.append("&quot;");// 转义双引号   
            break;
        case '(':
            break;
        case ')':
            break;
        case ';':
            break;
        case '&':  
            sb.append("&");// 转义&   
            break;  
        default:  
            sb.append(c);  
            break;  
        }  
    }  
    return sb.toString();  
}  

/** 
 * 获取最原始的request 
 *  
 * @return 
 */ 
public HttpServletRequest getOrgRequest() {  
    return orgRequest;  
}  

/** 
 * 获取最原始的request的静态方法 
 *  
 * @return 
 */ 
public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
    if (req instanceof XssHttpServletRequestWrapper) {  
        return ((XssHttpServletRequestWrapper) req).getOrgRequest();  
    }  

    return req;  
}  

}

© 著作权归作者所有

共有 人打赏支持
罗荣熙
粉丝 25
博文 118
码字总数 84709
作品 0
广州
程序员
如何尽量规避XSS(跨站点脚本)攻击

跨站攻击,即Cross Site Script Execution(通常简写为XSS,因为CSS与层叠样式表同名,故改为XSS) 是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTM...

Arthur126 ⋅ 2016/11/03 ⋅ 0

关于xss几点见闻

浅谈反射型XSS的利用 转自鬼仔: |=---------------------------------------------------------------------------=| |=-------------------------=[ 浅谈反射型XSS的利用 ]=--------------......

氪金 ⋅ 2012/10/11 ⋅ 0

《网络黑白》一书所抄袭的文章列表

这本书实在是垃圾,一是因为它的互联网上的文章拼凑而成的,二是因为拼凑水平太差,连表述都一模一样,还抄得前言不搭后语,三是因为内容全都是大量的科普,不涉及技术也没有干货。所以大家也...

wizardforcel0 ⋅ 2016/11/13 ⋅ 0

PHP CodeBase: 过滤XSS攻击的PHP函数

关于XSS攻击,如果不是很清楚: 什么是XSS跨站脚本攻击 跨站脚本攻击(Cross-site scripting,通常简称为XSS)是一种网站应用程式的安全漏洞攻击,允许恶意使用者将程式码注入到网页上,其他...

ywppengpeng ⋅ 2016/11/22 ⋅ 0

Web安全的三个攻防姿势

关于前端Web安全的问题,是一个老生常谈的问题,作为离用户最近的一层,我们大前端确实需要把手伸的更远一点。 我们最常见的Web安全攻击有以下几种 XSS 跨站脚本攻击 CSRF 跨站请求伪造 clic...

木羽zwwill ⋅ 2017/10/18 ⋅ 0

记一次简单的XSS攻击实验

之前就对XSS有所耳闻,不过昨天在学习《深入浅出nodejs》过程中,才深入了解到XSS攻击的原理,于是找到那本很早就想看的《web前端黑客技术解密》,找到 跨站攻击脚本XSS 章节,于是有了下面这...

趁你还年轻233 ⋅ 2017/12/02 ⋅ 0

Asp.net安全架构之1:xss(跨站脚本)

原理 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注...

晨曦之光 ⋅ 2012/06/08 ⋅ 0

Electron流行开源框架存漏洞 github受影响

  【IT168 资讯】Electron 是一个由node.js,V8和Chromium构成的开源框架,该框架已被广泛用于流程的桌面应用程序,包括Github桌面,WordPress等;研究员发现通过错误配置,将允许恶意应用程...

安全加 ⋅ 05/17 ⋅ 0

WEB网站常见攻击

header name和value中出现CRLF字符 在header中嵌入CRLF(回车换行)字符是一种常见的攻击手段。攻击者嵌入CRLF以后,使服务器对HTTP请求发生错误判断,从而执行攻击者的恶意代码。事实上,现...

毛朱 ⋅ 2012/06/17 ⋅ 1

Chrome效仿IE8添加新安全功能

据国外媒体报道,谷歌昨天宣布,Chrome浏览器添加了数项新的安全功能,其中包括两项微软IE8去年首次引入的功能。Chrome开发团队软件工程师 亚当-巴尔特(Adam Barth)表示,为了满足Web开发者...

红薯 ⋅ 2010/01/29 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Centos7重置Mysql 8.0.1 root 密码

问题产生背景: 安装完 最新版的 mysql8.0.1后忘记了密码,向重置root密码;找了网上好多资料都不尽相同,根据自己的问题总结如下: 第一步:修改配置文件免密码登录mysql vim /etc/my.cnf 1...

豆花饭烧土豆 ⋅ 今天 ⋅ 0

熊掌号收录比例对于网站原创数据排名的影响[图]

从去年下半年开始,我在写博客了,因为我觉得业余写写博客也还是很不错的,但是从2017年下半年开始,百度已经推出了原创保护功能和熊掌号平台,为此,我也提交了不少以前的老数据,而这些历史...

原创小博客 ⋅ 今天 ⋅ 0

LVM讲解、磁盘故障小案例

LVM LVM就是动态卷管理,可以将多个硬盘和硬盘分区做成一个逻辑卷,并把这个逻辑卷作为一个整体来统一管理,动态对分区进行扩缩空间大小,安全快捷方便管理。 1.新建分区,更改类型为8e 即L...

蛋黄Yolks ⋅ 今天 ⋅ 0

Hadoop Yarn调度器的选择和使用

一、引言 Yarn在Hadoop的生态系统中担任了资源管理和任务调度的角色。在讨论其构造器之前先简单了解一下Yarn的架构。 上图是Yarn的基本架构,其中ResourceManager是整个架构的核心组件,它负...

p柯西 ⋅ 今天 ⋅ 0

uWSGI + Django @ Ubuntu

创建 Django App Project 创建后, 可以看到路径下有一个wsgi.py的问题 uWSGI运行 直接命令行运行 利用如下命令, 可直接访问 uwsgi --http :8080 --wsgi-file dj/wsgi.py 配置文件 & 运行 [u...

袁祾 ⋅ 今天 ⋅ 0

JVM堆的理解

在JVM中,我们经常提到的就是堆了,堆确实很重要,其实,除了堆之外,还有几个重要的模块,看下图: 大 多数情况下,我们并不需要关心JVM的底层,但是如果了解它的话,对于我们系统调优是非常...

不羁之后 ⋅ 昨天 ⋅ 0

推荐:并发情况下:Java HashMap 形成死循环的原因

在淘宝内网里看到同事发了贴说了一个CPU被100%的线上故障,并且这个事发生了很多次,原因是在Java语言在并发情况下使用HashMap造成Race Condition,从而导致死循环。这个事情我4、5年前也经历...

码代码的小司机 ⋅ 昨天 ⋅ 2

聊聊spring cloud gateway的RetryGatewayFilter

序 本文主要研究一下spring cloud gateway的RetryGatewayFilter GatewayAutoConfiguration spring-cloud-gateway-core-2.0.0.RC2-sources.jar!/org/springframework/cloud/gateway/config/G......

go4it ⋅ 昨天 ⋅ 0

创建新用户和授予MySQL中的权限教程

导读 MySQL是一个开源数据库管理软件,可帮助用户存储,组织和以后检索数据。 它有多种选项来授予特定用户在表和数据库中的细微的权限 - 本教程将简要介绍一些选项。 如何创建新用户 在MySQL...

问题终结者 ⋅ 昨天 ⋅ 0

android -------- 颜色的半透明效果配置

最近有朋友问我 Android 背景颜色的半透明效果配置,我网上看资料,总结了一下, 开发中也是常常遇到的,所以来写篇博客 常用的颜色值格式有: RGB ARGB RRGGBB AARRGGBB 这4种 透明度 透明度...

切切歆语 ⋅ 昨天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部