文档章节

XSS跨站点脚本攻击拦截器

罗荣熙
 罗荣熙
发布于 2015/04/28 12:03
字数 443
阅读 50
收藏 1

别的就不说了,直接上代码: 1、web.xml文件的配置 <!-- xss跨站点脚本攻击拦截器 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>com.gzqh.common.interceptor.XSSFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> 2、拦截器代码 1)类1代码: package com.gzqh.common.interceptor;

import java.io.IOException;

import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest;

public class XSSFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException {
}

@Override 
public void doFilter(ServletRequest request, ServletResponse response,  
        FilterChain chain) throws IOException, ServletException {  

    XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(  
            (HttpServletRequest) request);  
    chain.doFilter(xssRequest, response);  
}  

@Override 
public void destroy() {  
} 

}

2)类2代码 package com.gzqh.common.interceptor;

import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest orgRequest = null;

public XssHttpServletRequestWrapper(HttpServletRequest request) {  
    super(request);  
    orgRequest = request;  
}  

/** 
 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/> 
 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> 
 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
 */ 
@Override 
public String getParameter(String name) {  
    String value = super.getParameter(xssEncode(name));  
    if (value != null) {  
        value = xssEncode(value);  
    }  
    return value;  
}  

/** 
 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/> 
 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> 
 * getHeaderNames 也可能需要覆盖 
 */ 
@Override 
public String getHeader(String name) {  

    String value = super.getHeader(xssEncode(name));  
    if (value != null) {  
        value = xssEncode(value);  
    }  
    return value;  
}  

/** 
 * 将容易引起xss漏洞的半角字符直接替换成全角字符 
 *  
 * @param s 
 * @return 
 */ 
private static String xssEncode(String s) {  
    if (s == null || s.isEmpty()) {  
        return s;  
    }
    StringBuilder sb = new StringBuilder(s.length() + 16);  
    for (int i = 0; i < s.length(); i++) {  
        char c = s.charAt(i);  
        switch (c) {  
        case '>':  
            //sb.append("&gt;");// 转义大于号   
            break;  
        case '<':  
            //sb.append("&lt;");// 转义小于号   
            break;  
        case '\'':  
            //sb.append("'");// 转义单引号   
            break;  
        case '\"':  
            //sb.append("&quot;");// 转义双引号   
            break;
        case '(':
            break;
        case ')':
            break;
        case ';':
            break;
        case '&':  
            sb.append("&");// 转义&   
            break;  
        default:  
            sb.append(c);  
            break;  
        }  
    }  
    return sb.toString();  
}  

/** 
 * 获取最原始的request 
 *  
 * @return 
 */ 
public HttpServletRequest getOrgRequest() {  
    return orgRequest;  
}  

/** 
 * 获取最原始的request的静态方法 
 *  
 * @return 
 */ 
public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
    if (req instanceof XssHttpServletRequestWrapper) {  
        return ((XssHttpServletRequestWrapper) req).getOrgRequest();  
    }  

    return req;  
}  

}

© 著作权归作者所有

共有 人打赏支持
罗荣熙
粉丝 25
博文 118
码字总数 84709
作品 0
广州
程序员
如何尽量规避XSS(跨站点脚本)攻击

跨站攻击,即Cross Site Script Execution(通常简写为XSS,因为CSS与层叠样式表同名,故改为XSS) 是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTM...

Arthur126
2016/11/03
57
0
记一次简单的XSS攻击实验

之前就对XSS有所耳闻,不过昨天在学习《深入浅出nodejs》过程中,才深入了解到XSS攻击的原理,于是找到那本很早就想看的《web前端黑客技术解密》,找到 跨站攻击脚本XSS 章节,于是有了下面这...

趁你还年轻233
2017/12/02
0
0
PHP CodeBase: 过滤XSS攻击的PHP函数

关于XSS攻击,如果不是很清楚: 什么是XSS跨站脚本攻击 跨站脚本攻击(Cross-site scripting,通常简称为XSS)是一种网站应用程式的安全漏洞攻击,允许恶意使用者将程式码注入到网页上,其他...

ywppengpeng
2016/11/22
50
0
Web安全的三个攻防姿势

关于前端Web安全的问题,是一个老生常谈的问题,作为离用户最近的一层,我们大前端确实需要把手伸的更远一点。 我们最常见的Web安全攻击有以下几种 XSS 跨站脚本攻击 CSRF 跨站请求伪造 clic...

木羽zwwill
2017/10/18
0
0
Asp.net安全架构之1:xss(跨站脚本)

原理 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注...

晨曦之光
2012/06/08
339
0

没有更多内容

加载失败,请刷新页面

加载更多

如何通过 J2Cache 实现分布式 session 存储

做 Java Web 开发的人多数都会需要使用到 session (会话),我们使用 session 来保存一些需要在两个不同的请求之间共享数据。一般 Java 的 Web 容器像 Tomcat、Resin、Jetty 等等,它们会在...

红薯
今天
3
0
C++ std::thread

C++11提供了std::thread类来表示一个多线程对象。 1,首先介绍一下std::this_thread命名空间: (1)std::this_thread::get_id():返回当前线程id (2)std::this_thread::yield():用户接口...

yepanl
今天
3
0
Nignx缓存文件与动态文件自动均衡的配置

下面这段nginx的配置脚本的作用是,自动判断是否存在缓存文件,如果有优先输出缓存文件,不经过php,如果没有,则回到php去处理,同时生成缓存文件。 PHP框架是ThinkPHP,最后一个rewrite有关...

swingcoder
今天
2
0
20180920 usermod命令与用户密码管理

命令 usermod usermod 命令的选项和 useradd 差不多。 一个用户可以属于多个组,但是gid只有一个;除了gid,其他的组(groups)叫做扩展组。 usermod -u 1010 username # 更改用户idusermod ...

野雪球
今天
3
0
Java网络编程基础

1. 简单了解网络通信协议TCP/IP网络模型相关名词 应用层(HTTP,FTP,DNS等) 传输层(TCP,UDP) 网络层(IP,ICMP等) 链路层(驱动程序,接口等) 链路层:用于定义物理传输通道,通常是对...

江左煤郎
今天
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部