请求封装器、过滤器解决对用户提交数据中html标签的解析

最新推荐文章于 2021-06-10 03:42:27 发布
最新推荐文章于 2021-06-10 03:42:27 发布
阅读量847 收藏
点赞数
分类专栏: java web 文章标签: 请求封装器 HttpServletRequestWr 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yhcelebrite/article/details/8858019
版权

如果用户在提交数据栏中键入html标签<></>,需要进行过滤处理,其实就是把请求参数中的角括号替换为替代字符。

package cn.yh.servlet;

import java.util.Iterator;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
/**
 * 通过继承HttpServletRequestWrapper实现了一个请求封装器,可以将请求参数中的角括号替换为替代字符。
 * @author YH
 *
 */
public class CharacterRequestWrapper extends HttpServletRequestWrapper {
 //key为原字符,value为替代字符
 private Map<String,String> escapeMap;
 
 public CharacterRequestWrapper(HttpServletRequest request,Map<String,String> escapeMap) {
  super(request);
  this.escapeMap = escapeMap;
 }

 @Override
 public String getParameter(String name){
  return doEscape(this.getRequest().getParameter(name));
 }
 
 private String doEscape(String parameter){
  if(parameter==null){
   return null;
  }
  String result = parameter;
  Iterator<String> iterator = escapeMap.keySet().iterator();
  while(iterator.hasNext()){
   String origin = iterator.next();
   String escape = escapeMap.get(origin);
   result = result.replaceAll(origin, escape);
  }
  return result;
 }
}
实现过滤器,替代字符保存在文件中,文件路径通过Filter初始化参数进行配置,在FilterConfig中获取。

package cn.yh.filter;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.util.HashMap;
import java.util.Map;
import java.util.logging.Level;
import java.util.logging.Logger;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import cn.yh.servlet.CharacterRequestWrapper;

public class CharacterFilter implements Filter {

 private Map<String ,String> escapeMap;
 
 public void destroy() {
  // TODO Auto-generated method stub

 }

 public void doFilter(ServletRequest request, ServletResponse response,
   FilterChain chain) throws IOException, ServletException {
  HttpServletRequest requestWapper =
    new CharacterRequestWrapper((HttpServletRequest) request, escapeMap);
  chain.doFilter(requestWapper, response);
 }

 public void init(FilterConfig filterConfig) throws ServletException {
  BufferedReader reader = null;
  String escapeListFile = filterConfig.getInitParameter("ESCAPE_LIST");
  reader = new BufferedReader(
    new InputStreamReader(
      filterConfig.getServletContext().getResourceAsStream(escapeListFile)));
  String input = null;
  escapeMap = new HashMap<String, String>();
  try {
   while((input = reader.readLine())!=null){
    String[] tokens = input.split("\t");
    escapeMap.put(tokens[0], tokens[1]);
   }
  } catch (IOException e) {
   Logger.getLogger(CharacterFilter.class.getName()).log(Level.SEVERE,null,e);
   e.printStackTrace();
  }finally{
   try{
    reader.close();
   }catch(Exception e){
    Logger.getLogger(CharacterFilter.class.getName()).log(Level.SEVERE,null,e);
   }
  }
 }

}

web.xml中配置过滤器

<filter>
   <filter-name>CharacterFilter</filter-name>
   <filter-class>cn.yh.filter.CharacterFilter</filter-class>
   <init-param>
    <param-name>ESCAPE_LIST</param-name>
    <param-value>/WEB-INF/escapelist.txt</param-value>
   </init-param>
  </filter>
  <filter-mapping>
   <filter-name>CharacterFilter</filter-name>
   <url-pattern>*.do</url-pattern>
   <dispatcher>REQUEST</dispatcher>
   <dispatcher>INCLUDE</dispatcher>
   <dispatcher>FORWARD</dispatcher>
   <dispatcher>ERROR</dispatcher>
  </filter-mapping>

escapelist.txt 每行分隔使用的是\t (tab)

< &lt;
> &gt;

yhcelebrite
关注
专栏目录
java token过滤器_java过滤器全局解析token
weixin_30068877的博客
02-26 1318
java过滤器全局解析token使用过滤器定义一个全局的token解析在进行后端接口的开发过程,一般涉及到人员用户,权限或者安全方面的考虑接口都会使用token来传递用户或者一些安全系数高的鉴权参数等。一般接口定义全局AOP解析使用AOP,对需要获取token信息的接口,进行方法增强,在进入controller之前,动态的为接口方法鉴权,或者为接口方法添加一个token相关的参数。根据需求不同...
Filter过滤器获取token和get、post请求的参数【json和application/x-www-form-urlencoded请求体类型】请求体再次封装写回到request
最新发布
zzfgwj的博客
02-28 2163
Filter过滤器获取token和get、post请求的参数【json和application/x-www-form-urlencoded请求体类型】请求体再次封装写回到request
HTTP请求过滤器FreeBSD accf_http)
似水流年 -- 韩欣的博客
10-19 1801
作者:finalbsdAuthor:FinalBSD注:有些内容是直接引用相关资料(比如Apache手册)从2000年开始,FreeBSD就实现了一个功能”Accept Filters”即接收过滤器。我们看SOCKET编程的模型。  从这个模型可以看到一旦连接建立,Accpet()会立即返回建立的socket。这样做有几个问题:1、  也许后面根本没有H
html标签以正常文本显示(评论模块防止用户提交恶意的html或javascipt代码
z956281507的博客
09-19 2630
大部分的网站都提供有评论模块以供用户发表自己的观点,但是如何防止用户输入有恶意攻击js脚本呢?比如alert('恶意弹窗')。   第一种方法很简单,使用标签,xmp的标签,会把包含在内部的html语句当作普通的字符串输出,浏览不会对其html标签解释。 第二种方法,将用户提交的内容进行处理,如果提交内容含有标签替换为 >即可。
javaWeb学习总结(10)- Filter(过滤器)学习(2)
dengkuituo0680的博客
12-18 120
在filter可以得到代表用户请求和响应的request、response对象,因此在编程可以使用Decorator(装饰)模式对request、response对象进行包装,再把包装对象传给目标资源,从而实现一些特殊需求。 一、Decorator设计模式 1.1、Decorator设计模式介绍   当某个对象的方法不适应业务需求时,通常有2种方式可以对方法进行增强: ...
Servlet过滤器封装
Hopefully Sky的博客
05-25 1190
Servlet调用某个Servlet的service()方法前,Servlet并不会知道有请求的到来,而在Servlet的service()方法运行之后,容真正对浏览进行HTTP响应之前,浏览也不会知道Servlet真正的响应是什么。过滤器正如其名称所示,是介于Servlet之前,可拦截过滤浏览Servlet请求,也可以改变Servlet对浏览的响应。本文将介绍过滤器的运用,了解
通过实例解析java过滤器和拦截的区别
08-19
7. 拦截只能对Action请求起作用,而过滤器则可以对几乎所有的请求起作用。 8. 拦截可以获取IOC容的各个bean,而过滤器就不行,在拦截里注入一个Service,可以调用业务逻辑。 在Spring Boot使用过滤器...
java 读取html过滤标签
08-13
在Java编程,读取HTML并过滤特定标签是一项常见的任务,尤其在处理网页抓取、数据提取或构建网络爬虫时。这篇博文链接虽然没有提供具体的内容,但我们可以通过标题和标签来推测其主要讨论的内容。这里我们将深入...
mod_parp:Apache htttpd 的 HTTP 请求参数解析-开源
06-29
在Web应用用户通常通过HTML表单提交数据到服务,这些数据以POST或GET方式封装HTTP请求。POST方法常用于发送大量数据或敏感信息,因为它可以处理更大的数据量,并且请求信息不会显示在浏览的地址栏。GET...
c# url传参不能包含html标签,c#解析包含HTML特殊字符的字符串XElement
weixin_28738165的博客
06-10 332
在客户端的服务+ GWT上使用.NET c#,我有一个Web窗体,它接受用户输入,然后构建一个XML字符串并将其存储在数据。然后我需要从数据读取它,通过tcp将它发送到手持设备,并将其解析为XElement。一切运作良好,直到您从Word复制和粘贴文本或在这种情况下脱颖而出,当我尝试这样做:c#解析包含HTML特殊字符的字符串XElementXElement.parse(str);它抛...
WEB漏洞-XSS跨站脚本漏洞解决方案
踮脚敲代码
01-11 4630
一、测试过程 通过手工测试,构造用户可控参数访问,发现网站部分页面对用户可控参数未做过滤限制,存在XSS跨站脚本漏洞,测试如下: POST /task/notepad/insertNotepad HTTP/1.1 Host: www.xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: */* Accept-Language: zh-CN,zh;q=0.8,e
input禁止输入html转义字符串,xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义...
weixin_39655689的博客
06-07 1118
xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义XSS攻击的防范XSS攻击造成的危害之所以会发生,是因为用户的输入变成了可执行的代码,因此我们要对用户的输入进行HTML转义处理,将其的尖括号,引号,单引号等特殊字符进行转义编码,例如“〈”转义后为“&lt;”,“>”转义后为“&gt;”,“‘”转义后为“...
xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义...
weixin_34405354的博客
07-29 773
xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义 XSS攻击的防范 XSS攻击造成的危害之所以会发生,是因为用户的输入变成了可执行的代码,因此我们要对用户的输入进行HTML转义处理,将其的尖括号,引号,单引号等特殊字符进行转义编码,例如“〈”转义后为“&lt;”,“>”转义后为“&g...
php 表单提交html代码,用户通过表单提交数据,PHP会自动进行HTML转义,无需代码实现。...
weixin_42660494的博客
03-12 169
用户通过表单提交数据,PHP会自动进行HTML转义,无需代码实现。答:×文化的概念有广义和狭义之分,下面哪个是指“大文化”概念( )。答:包含在精神文明的“文化”粉刺患者,应当______答:少用彩妆 少用含油量大的护肤品 使用液态类及啫喱类化妆品绒癌最常见的死亡原因是答:脑转移微型机的外部总线由汇集而成答:数据总线、地址总线、控制总线拓扑性质的核心思想主要强调答:强调形状知觉的拓扑结构 ...
html转义字符的处理 前端和后端两种处理方式
热门推荐
yuanyuan214365的博客
01-11 1万+
1.apache工具包common-lang有一个很有用的处理字符串的工具类,其之一就是StringEscapeUtils,这个工具类是在2.3版本以上加上的去的,利用它能很方便的进行html,xml,java等的转义与反转义,而且还能对关键字符串进行处理预防SQL注入,不过好像common-lang3.0以后我看着好像没这个处理SQL语句的方法了,    package stringesc
百度编辑提交数据时如何防止html标签转义
静如雪的博客
11-24 7826
第一种方式: 美女答的,好用,转载记录1 Perl code ? 1 2 3 $str = "<p>&nbsp;&nbsp;&nbsp;&nbsp;"; $html = htmlspecialchars_decode($str); var_dump($html);
EL与JSTL在JSP的应用——SQL标签过滤器解析
重点讲解了EL和JSTL如何简化JSP页面数据操作,以及过滤器在Web开发的作用和实现方式。" 在Web开发,SQL标签提供了直接在JSP页面上操作数据库的能力,简化了数据库交互过程。SQL标签主要包括setDataSource、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值