文档章节

XSS跨站点脚本攻击拦截器

罗荣熙
 罗荣熙
发布于 2015/04/28 12:03
字数 443
阅读 56
收藏 1

别的就不说了,直接上代码: 1、web.xml文件的配置 <!-- xss跨站点脚本攻击拦截器 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>com.gzqh.common.interceptor.XSSFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> 2、拦截器代码 1)类1代码: package com.gzqh.common.interceptor;

import java.io.IOException;

import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest;

public class XSSFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException {
}

@Override 
public void doFilter(ServletRequest request, ServletResponse response,  
        FilterChain chain) throws IOException, ServletException {  

    XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(  
            (HttpServletRequest) request);  
    chain.doFilter(xssRequest, response);  
}  

@Override 
public void destroy() {  
} 

}

2)类2代码 package com.gzqh.common.interceptor;

import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest orgRequest = null;

public XssHttpServletRequestWrapper(HttpServletRequest request) {  
    super(request);  
    orgRequest = request;  
}  

/** 
 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/> 
 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> 
 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
 */ 
@Override 
public String getParameter(String name) {  
    String value = super.getParameter(xssEncode(name));  
    if (value != null) {  
        value = xssEncode(value);  
    }  
    return value;  
}  

/** 
 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/> 
 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> 
 * getHeaderNames 也可能需要覆盖 
 */ 
@Override 
public String getHeader(String name) {  

    String value = super.getHeader(xssEncode(name));  
    if (value != null) {  
        value = xssEncode(value);  
    }  
    return value;  
}  

/** 
 * 将容易引起xss漏洞的半角字符直接替换成全角字符 
 *  
 * @param s 
 * @return 
 */ 
private static String xssEncode(String s) {  
    if (s == null || s.isEmpty()) {  
        return s;  
    }
    StringBuilder sb = new StringBuilder(s.length() + 16);  
    for (int i = 0; i < s.length(); i++) {  
        char c = s.charAt(i);  
        switch (c) {  
        case '>':  
            //sb.append("&gt;");// 转义大于号   
            break;  
        case '<':  
            //sb.append("&lt;");// 转义小于号   
            break;  
        case '\'':  
            //sb.append("'");// 转义单引号   
            break;  
        case '\"':  
            //sb.append("&quot;");// 转义双引号   
            break;
        case '(':
            break;
        case ')':
            break;
        case ';':
            break;
        case '&':  
            sb.append("&");// 转义&   
            break;  
        default:  
            sb.append(c);  
            break;  
        }  
    }  
    return sb.toString();  
}  

/** 
 * 获取最原始的request 
 *  
 * @return 
 */ 
public HttpServletRequest getOrgRequest() {  
    return orgRequest;  
}  

/** 
 * 获取最原始的request的静态方法 
 *  
 * @return 
 */ 
public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
    if (req instanceof XssHttpServletRequestWrapper) {  
        return ((XssHttpServletRequestWrapper) req).getOrgRequest();  
    }  

    return req;  
}  

}

© 著作权归作者所有

共有 人打赏支持
上一篇: 关于HTTP的理解
下一篇: 表格与链接标记
罗荣熙
粉丝 26
博文 118
码字总数 84709
作品 0
广州
程序员
私信 提问
如何尽量规避XSS(跨站点脚本)攻击

跨站攻击,即Cross Site Script Execution(通常简写为XSS,因为CSS与层叠样式表同名,故改为XSS) 是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTM...

Arthur126
2016/11/03
57
0
PHP CodeBase: 过滤XSS攻击的PHP函数

关于XSS攻击,如果不是很清楚: 什么是XSS跨站脚本攻击 跨站脚本攻击(Cross-site scripting,通常简称为XSS)是一种网站应用程式的安全漏洞攻击,允许恶意使用者将程式码注入到网页上,其他...

ywppengpeng
2016/11/22
50
0
Web安全的三个攻防姿势

关于前端Web安全的问题,是一个老生常谈的问题,作为离用户最近的一层,我们大前端确实需要把手伸的更远一点。 我们最常见的Web安全攻击有以下几种 XSS 跨站脚本攻击 CSRF 跨站请求伪造 clic...

木羽zwwill
2017/10/18
0
0
记一次简单的XSS攻击实验

之前就对XSS有所耳闻,不过昨天在学习《深入浅出nodejs》过程中,才深入了解到XSS攻击的原理,于是找到那本很早就想看的《web前端黑客技术解密》,找到 跨站攻击脚本XSS 章节,于是有了下面这...

趁你还年轻233
2017/12/02
0
0
Electron流行开源框架存漏洞 github受影响

  【IT168 资讯】Electron 是一个由node.js,V8和Chromium构成的开源框架,该框架已被广泛用于流程的桌面应用程序,包括Github桌面,WordPress等;研究员发现通过错误配置,将允许恶意应用程...

安全加
05/17
0
0

没有更多内容

加载失败,请刷新页面

加载更多

apache顶级项目(二) - B~C

apache顶级项目(二) - B~C https://www.apache.org/ Bahir Apache Bahir provides extensions to multiple distributed analytic platforms, extending their reach with a diversity of s......

晨猫
今天
1
0
day152-2018-11-19-英语流利阅读

“超级食物”竟然是营销噱头? Daniel 2018-11-19 1.今日导读 近几年来,超级食物 superfoods 开始逐渐走红。不难发现,越来越多的轻食餐厅也在不断推出以超级食物为主打食材的健康料理,像是...

飞鱼说编程
今天
5
0
SpringBoot源码:启动过程分析(二)

接着上篇继续分析 SpringBoot 的启动过程。 SpringBoot的版本为:2.1.0 release,最新版本。 一.时序图 一样的,我们先把时序图贴上来,方便理解: 二.源码分析 回顾一下,前面我们分析到了下...

Jacktanger
昨天
3
0
Apache防盗链配置,Directory访问控制,FilesMatch进行访问控制

防盗链配置 通过限制referer来实现防盗链的功能 配置前,使用curl -e 指定referer [root@test-a test-webroot]# curl -e "http://www.test.com/1.html" -x127.0.0.1:80 "www.test.com/1.jpg......

野雪球
昨天
5
0
RxJava threading

因为Rx针对异步系统设计,并且Rx也自然支持多线程,所以新的Rx开发人员有时会假设Rx默认是多线程的。在其他任何事情之前,重要的是澄清Rx默认是单线程的。 除非另有说明,否则每次调用onNex...

woshixin
昨天
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部