Servlet Filter 技术防止XSS攻击的过滤器例子

最新推荐文章于 2023-02-14 15:46:42 发布
最新推荐文章于 2023-02-14 15:46:42 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: tomcat 文章标签: xss攻击 filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nmgrd/article/details/59117422
版权 


import java.io.IOException;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;


public class ParkingXssFilter implements Filter {
    FilterConfig filterConfig = null;
    public  final String MOBILE_REG = "/pms/mobile/\\w{1,}.action";
    public  final String ALIPAY_REG = "/pms/fuwuchuang/\\w{1,}.action";
    public  final String WEIXIN_REG = "/pms/weixin/\\w{1,}.action";
    public  final String REMOTE_REG = "/pms/parkRemoteService/\\w{1,}.action";
    private final Pattern PATTERN_MOBILE = Pattern.compile(MOBILE_REG);
    private final Pattern PATTERN_ALIPAY = Pattern.compile(ALIPAY_REG);
    private final Pattern PATTERN_WEIXIN = Pattern.compile(WEIXIN_REG);
    private final Pattern PATTERN_REMOTE = Pattern.compile(REMOTE_REG);
    /**
     * Default constructor. 
     */
    public ParkingXssFilter() {

    }

    /**
     * @see Filter#destroy()
     */
    public void destroy() {
         this.filterConfig = null;
    }

    /**
     * @see Filter#doFilter(ServletRequest, ServletResponse, FilterChain)
     */
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        String requestUrl = ((HttpServletRequest) request).getRequestURI();
        //某些特殊接口跳转不需要被跨脚本工具处理
        if(PATTERN_MOBILE.matcher(requestUrl).matches()
                || PATTERN_ALIPAY.matcher(requestUrl).matches()
                || PATTERN_WEIXIN.matcher(requestUrl).matches()
                || PATTERN_REMOTE.matcher(requestUrl).matches()){
            chain.doFilter(request, response);
        }else{
            chain.doFilter(new ParkingXssHttpServletRequestWrapper((HttpServletRequest) request), response);
        }
    }

    /**
     * @see Filter#init(FilterConfig)
     */
    public void init(FilterConfig fConfig) throws ServletException {
          this.filterConfig = fConfig;
    }
}


///


import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


public class ParkingXssHttpServletRequestWrapper extends
        HttpServletRequestWrapper{

    public ParkingXssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);

    }

    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null){
            return null;
        }
        return cleanXSS(value);
    }

    private String cleanXSS(String value) {
        // You'll need to remove the spaces from the html entities below
        /*try {
            value = URLDecoder.decode(value, "UTF-8");
        } catch (UnsupportedEncodingException e) {
            PmsLogRecord.logException(e);
        }*/
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        // Avoid null characters
        value = value.replaceAll("", "");
        // Avoid anything between script tags
        Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
        value = scriptPattern.matcher(value).replaceAll("");
        // Avoid anything in a src='...' type of e­xpression
        scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        value = scriptPattern.matcher(value).replaceAll("");
        scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        value = scriptPattern.matcher(value).replaceAll("");
        // Remove any lonesome </script> tag
        scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
        value = scriptPattern.matcher(value).replaceAll("");
        // Remove any lonesome <script ...> tag
        scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        value = scriptPattern.matcher(value).replaceAll("");
        // Avoid eval(...) e­xpressions
        scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        value = scriptPattern.matcher(value).replaceAll("");
        // Avoid e­xpression(...) e­xpressions
        scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        value = scriptPattern.matcher(value).replaceAll("");
        // Avoid javascript:... e­xpressions
        scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
        value = scriptPattern.matcher(value).replaceAll("");
        // Avoid onload= e­xpressions
        scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        value = scriptPattern.matcher(value).replaceAll("");
        return value;//StringEscapeUtils.escapeHtml4(value);
    }
}
lhever_
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
97php.com,360webscan字典 网站检测 目录漏洞扫描
weixin_28716973的博客
03-19 3万+
360webscan字典360webscan字典委内瑞拉数据泄露/$/%20..%5Cweb-inf/%22%3E%3CsCrIpT%3Eprompt(42873)/%252e%252e%5C%252e%252e%5C%252e%252e%5C%252e%252e%5C%252e%252e%5C%252e%252e%5C%252e%252e%5C%252e%252e%5C%252e%252e%5...
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
url
热门推荐
csnewdn的专栏
10-21 1万+
It will be read and overwritten.      DO NOT EDIT! --> Bookmarks 书签菜单     最近使用的标签         Mozilla Firefox             帮助和教程         自定义 Firefox         加入进来         关于我们        
XSS过滤速查表
Fizz`s Blog
11-12 2892
初见于Freebuf,放在这里收藏一下。 就是OWASP的速查表 不过是中文的 1.介绍 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录:http://ha.ckers.org/xss.html。目前这个网页已经重定向到OWASP网站,将由OWASP维护和完善它。OWASP
攻防世界web题目记录(二)
wanan的博客
10-06 1141
攻防世界web题目记录
基于Servlet的web应用如何防止XSS攻击
Cloud-Future的博客
07-31 952
Servlet 使用jsp作为视图模板,jsp本身存在XSS漏洞,如果Web应用是基于Servlet技术并且使用jsp作为视图模板,也没有引入任何安全框架,那么你的应用就存在XSS漏洞。 本文主要介绍了基于Servlet的web应用如何防止XSS攻击。 1. XSS漏洞的类型 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:<持久化> 代码是存储在服务
如何防止XSS漏洞
zyn8823533的博客
02-14 2046
XSS(跨站脚本攻击)是一种攻击方式,攻击者通过注入恶意脚本代码,使得网站上的其他用户在浏览该网站时执行这些脚本代码,从而达到攻击的目的。CSP(内容安全策略):CSP可以限制浏览器中可以执行的代码,通过设置CSP策略,可以限制只允许加载来自特定域名的资源,防止恶意脚本的注入。安全编码:在编写代码时,要使用安全的编码方式,例如对于用户输入的内容,使用htmlentities等转义函数进行处理。需要注意的是,以上方法并不是单独使用的,而是要结合使用,才能有效地防止XSS漏洞。
防止XSS Attack攻击的解决方案
u012874209的博客
03-21 2316
需求: 1.防止用户RequestBody里面数据包含XSS Attack代码 2.防止用户RequestURL地址中包含XSS Attack代码 解决方案及思路: 1.写个拦截器拦截用户请求,之后正则表达式去过滤RequestBody和RequestURL部分包含恶意攻击的代码。 2.具体代码如下 /** * Project Name: * File Name:Securi...
XSS 防御方法总结
weixin_33932129的博客
08-03 2752
1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用...
servlet过滤器xss,sql注入.filter里修改parameter参数
凉粉
12-10 3181
这中间起到最关键作用的就是HttpServletRequestWrapper 首先创建一个类继承HttpServletRequestWrapper。然后重写getAttribute,getParameter,getParameterValues,getParameterMap这几个方法。 public class OpRequestWrap extends HttpServletRequest
基于Java的高级XSS攻击过滤器设计源码
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
下面小编就为大家带来一篇JSP过滤器防止Xss漏洞的实现方法(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
所有需要的文件均在里面,超有所值
多图表实现员工满意度调查数据分析python
04-22
员工满意度是指员工对于工作环境、待遇、职业发展和组织管理等方面的满意程度。它是衡量员工对工作的整体感受和情绪状态的重要指标。
2020届软件工程本科毕业生毕业设计项目.zip
04-22
2020届软件工程本科毕业生毕业设计项目
基于stm32平衡小车
04-22
平衡小车 基于stm32 平衡小车 基于stm32 平衡小车 基于stm32
c语言火车票订票管理源码.rar
最新发布
04-22
c语言火车票订票管理源码.rar
springboot如何实现使用过滤器防止xss攻击和sql注入
06-09
Spring Boot可以通过使用过滤器Filter)来防止XSS攻击和SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值