防止SQL注入和XSS攻击Filter

最新推荐文章于 2021-01-19 16:57:52 发布
最新推荐文章于 2021-01-19 16:57:52 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: mvc
今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决防止SQL注入和XSS攻击

一个是Filter负责将请求的request包装一下。

一个是request包装器,负责过滤掉非法的字符。

将这个过滤器配置上以后,世界总算清净多了。。

代码如下:

[java]  view plain  copy
  1. import java.io.IOException;  
  2.   
  3. import javax.servlet.Filter;  
  4. import javax.servlet.FilterChain;  
  5. import javax.servlet.FilterConfig;  
  6. import javax.servlet.ServletException;  
  7. import javax.servlet.ServletRequest;  
  8. import javax.servlet.ServletResponse;  
  9. import javax.servlet.http.HttpServletRequest;  
  10.   
  11. /** 
  12.  * <code>{@link CharLimitFilter}</code> 
  13.  * 
  14.  * 拦截防止sql注入 
  15.  * 
  16.  * @author Administrator 
  17.  */  
  18. public class XssFilter implements Filter {  
  19.   
  20.   
  21.     /* (non-Javadoc) 
  22.      * @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest, javax.servlet.ServletResponse, javax.servlet.FilterChain) 
  23.      */  
  24.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,  
  25.             ServletException {  
  26.           
  27.             XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(  
  28.             (HttpServletRequest) request);  
  29.             filterChain.doFilter(xssRequest, response);  
  30.           
  31.     }  
  32.   
  33. }  

包装器:


[java]  view plain  copy
  1. /** 
  2.  * <code>{@link XssHttpServletRequestWrapper}</code> 
  3.  * 
  4.  * TODO : document me 
  5.  * 
  6.  * @author Administrator 
  7.  */  
  8. public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
  9.     HttpServletRequest orgRequest = null;  
  10.   
  11.     public XssHttpServletRequestWrapper(HttpServletRequest request) {  
  12.         super(request);  
  13.         orgRequest = request;  
  14.     }  
  15.   
  16.     /** 
  17.     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/> 
  18.     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> 
  19.     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
  20.     */  
  21.     @Override  
  22.     public String getParameter(String name) {  
  23.         String value = super.getParameter(xssEncode(name));  
  24.         if (value != null) {  
  25.             value = xssEncode(value);  
  26.         }  
  27.         return value;  
  28.     }  
  29.   
  30.     /** 
  31.     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/> 
  32.     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> 
  33.     * getHeaderNames 也可能需要覆盖 
  34.     */  
  35.     @Override  
  36.     public String getHeader(String name) {  
  37.   
  38.         String value = super.getHeader(xssEncode(name));  
  39.         if (value != null) {  
  40.             value = xssEncode(value);  
  41.         }  
  42.         return value;  
  43.     }  
  44.   
  45.     /** 
  46.     * 将容易引起xss漏洞的半角字符直接替换成全角字符 
  47.     * 
  48.     * @param s 
  49.     * @return 
  50.     */  
  51.     private static String xssEncode(String s) {  
  52.         if (s == null || "".equals(s)) {  
  53.             return s;  
  54.         }  
  55.         StringBuilder sb = new StringBuilder(s.length() + 16);  
  56.         for (int i = 0; i < s.length(); i++) {  
  57.             char c = s.charAt(i);  
  58.             switch (c) {  
  59.             case '>':  
  60.                 sb.append('>');//全角大于号  
  61.                 break;  
  62.             case '<':  
  63.                 sb.append('<');//全角小于号  
  64.                 break;  
  65.             case '\'':  
  66.                 sb.append('‘');//全角单引号  
  67.                 break;  
  68.             case '\"':  
  69.                 sb.append('“');//全角双引号  
  70.                 break;  
  71.             case '&':  
  72.                 sb.append('&');//全角  
  73.                 break;  
  74.             case '\\':  
  75.                 sb.append('\');//全角斜线  
  76.                 break;  
  77.             case '#':  
  78.                 sb.append('#');//全角井号  
  79.                 break;  
  80.             default:  
  81.                 sb.append(c);  
  82.                 break;  
  83.             }  
  84.         }  
  85.         return sb.toString();  
  86.     }  
  87.   
  88.     /** 
  89.     * 获取最原始的request 
  90.     * 
  91.     * @return 
  92.     */  
  93.     public HttpServletRequest getOrgRequest() {  
  94.         return orgRequest;  
  95.     }  
  96.   
  97.     /** 
  98.     * 获取最原始的request的静态方法 
  99.     * 
  100.     * @return 
  101.     */  
  102.     public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
  103.         if (req instanceof XssHttpServletRequestWrapper) {  
  104.             return ((XssHttpServletRequestWrapper) req).getOrgRequest();  
  105.         }  
  106.   
  107.         return req;  
  108.     }  
  109.   
  110. }  

zhaoyue007101
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用拦截器实现sql防止注入
an341221的专栏
01-29 1万+
web.xml的代码: sqlInjectionFilter com.suning.mcms.web.auth.filter.SqlInjectionFilter sqlInjectionFilter *.do 拦截器的代码: package com.suning.mcms.web.
实用:防止SQL、XSS等注入攻击的Filter
johennes的专栏
08-26 4812
本文主要原理是转换过滤或拦截请求中的非法字符 FILTER代码: XssFilter.java /** * {@link CharLimitFilter} * * 拦截防止XSS注入 * * @author Administrator */ public class XssFilter implements Filter { /* (non-Javadoc) * @se
收藏---很實用到類 (防止sql注入,字符串操作等)
步行者的专栏
04-14 1049
收藏---很實用到類 (防止sql注入,字符串操作等)
【Javaweb】后台的字符串转义,入库之前记得先对字符串转义防止sql注入问题
编程记录,亲测有效
03-28 3418
在《【JavaScript】某些字符不转义可以导致网页崩溃与涉及转义字符的显示方法》(点击打开链接)提及到一种表单之前,必须把表单的输入框的内容转义的方法,但是,其实这种字符串的转义更加应该放在后台中进行。这样同时能够有效地防止sql注入的问题。 所谓的sql注入是什么呢?比如,你做了一个登录功能什么的。你必须把根据用户输入的用户名,查询存放在数据库的密码的,然后与密码比对是不是? selec
预防XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML... XssFilter com.xxx.Filter.XssFilter XssFilter /*
ASP.NET防止SQL注入的方法示例
01-20
本文实例讲述了ASP.NET防止SQL注入的方法。分享给大家供大家参考,具体如下: 最近接手别人一个项目,发现存在SQL注入漏洞,因为不想改太多代码,所以那种参数法防注入呢我就用不着了。只能用传统的笨一点的办法了。...
整理php防注入和XSS攻击通用过滤
12-19
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的...
sql注入解决方法
每天进步一点
10-29 595
SQL查询中的特殊字符处理 我们都知道SQL查询过程中,单引号“'”是特殊字符,所以在查询的时候要转换成双单引号“''”。 但这只是特殊字符的一个,在实际项目中,发现对于like操作还有以下特殊字符:下划线“_”,百分号“%”,方括号“[]”以及尖号“^”。 其用途如下: 下划线:用于代替一个任意字符(相当于正则表达式中的 ? ) 百分号:用于代替任意数目的任意字符(相当于正则表达式中的 *
防止sql注入的url过滤器【java filter
01-14
防止sql注入的url过滤器,简单配置即可!
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
10-26
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
java filter防止sql注入攻击
johennes的专栏
07-31 952
原理,过滤所有请求中含有非法的字符,例如:, & 黑客可以利用这些字符进行注入攻击,原理是后台实现使用拼接字符串,案例: 某个网站的登入验证的SQL查询代码为       strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');" 恶意填入       use
Java使用过滤器防止XSS脚本注入
踮脚敲代码
12-17 6069
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
xss+sql 注入拦截form表单和json数据非法字符
王威振的博客
01-19 6424
首先创建过滤器 /** * Created by wwz on 2018-10-19. */ public class XssFilter implements Filter { private final List<String> arrays = Arrays.asList(new String[]{"<",">","insert","delete","select","drop","update","truncate"}); private final ...
在spring cloud 框架中添加过滤器,对json格式的请求数据进行过滤进行防sql注入(只对一层json有效)
weixin_38853916的博客
12-19 1769
请求数据json只能是一层,多层嵌套的json数据不支持,有大牛知道怎么解决的可以提出来,谢谢 import com.netflix.zuul.ZuulFilter; import com.netflix.zuul.context.RequestContext; import com.netflix.zuul.http.ServletInputStreamWrapper; import l...
防止后台SQL注入并解析各种json类型
醉蝶依
03-11 3163
前两天做了一个关于后台的防止SQL注入的操作。因为项目数据层全部编码完成,现在再来大动干戈修改数据层,有点繁琐耗时。所以就添加了一个过滤器来拦截前台传递到后台的参数信息,在数据进入控制层之前先拦截信息进行检查,如果含有SQL注入的关键字,则直接返回前台。所以需要针对前台传递的各种json字符串和json数组进行解析。 因为在过滤器里面先获取了request里面的payload的信息,而在reque...
springboot如何实现使用过滤器防止xss攻击sql注入
最新发布
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值