springmvc使用过滤器filter实现过滤XSS,SQL脚本等功能

最新推荐文章于 2023-03-30 15:40:19 发布
最新推荐文章于 2023-03-30 15:40:19 发布
阅读量1.1k 收藏 4
点赞数
文章标签: java 测试 数据库
原文链接:https://my.oschina.net/u/3155476/blog/3056359
版权

springmvc使用过滤器filter实现过滤XSS,SQL脚本等功能,然后在初始化init方法加载需要过滤的XSS,SQL脚本配置,

package com.csair.csm.web.filter;

import java.io.IOException;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.csair.csm.util.ParamRequestWrapper;

public class XssFilter implements Filter {

  private String interceptStr = null;
  private List<String> interceptArr = new ArrayList<String>();
  private String validateStr = null;
  private List<String> validateArr = new ArrayList<String>();
  private String sqlInterceptArrStr = null;
  private List<String> sqlInterceptArr = new ArrayList<String>();

  @Override
  public void init(FilterConfig filterConfig) throws ServletException {
    interceptStr = filterConfig.getInitParameter("intercept");
    interceptArr = Arrays.asList(interceptStr.split(";"));


    sqlInterceptArrStr = filterConfig.getInitParameter("sqlValidate");
    sqlInterceptArr = Arrays.asList(sqlInterceptArrStr.split("\\|"));

    validateStr = filterConfig.getInitParameter("validate");
    validateArr = Arrays.asList(validateStr.split("\\|"));
    for (String item : validateArr) {
      ParamRequestWrapper.patternArr.add(Pattern.compile(item.toLowerCase()));
    }
    ParamRequestWrapper.validateArr = this.validateArr;
    ParamRequestWrapper.interceptArr = this.interceptArr;
    ParamRequestWrapper.sqlInterceptArr = this.sqlInterceptArr;
  }

  /**
   * 
   * @see javax.servlet.Filter#destroy()
   */
  @Override
  public void destroy() {}

  /**
   * @param arg0
   * @param arg1
   * @param arg2
   * @throws IOException
   * @throws ServletException
   * @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest, javax.servlet.ServletResponse,
   *      javax.servlet.FilterChain)
   */
  @Override
  public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
      throws IOException, ServletException {
    HttpServletRequest servletRequest = (HttpServletRequest) request;
    // 解决post中文乱码问题
    request.setCharacterEncoding("UTF-8");
    response.setCharacterEncoding("UTF-8");

    chain.doFilter(new ParamRequestWrapper(servletRequest), response);
  }
}

ParamRequestWrapper.java类如下 

package com.csair.csm.util;

import java.io.BufferedInputStream;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.UnsupportedEncodingException;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.Iterator;
import java.util.List;
import java.util.Map;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class ParamRequestWrapper extends HttpServletRequestWrapper {

  public static List<Pattern> patternArr = new ArrayList<Pattern>();

  public static List<String> validateArr = new ArrayList<String>();

  public static List<String> sqlInterceptArr = new ArrayList<String>();

  public static List<String> interceptArr = new ArrayList<String>();

  private HttpServletRequest request;
  private final byte[] body; // 报文

  public ParamRequestWrapper(HttpServletRequest request) throws IOException {
    super(request);
    this.request = request;
    body = readBytes(request.getInputStream());
  }

  private byte[] readBytes(InputStream in) throws IOException {
    BufferedInputStream bufin = new BufferedInputStream(in);
    int buffSize = 1024;
    ByteArrayOutputStream out = new ByteArrayOutputStream(buffSize);

    byte[] temp = new byte[buffSize];
    int size = 0;
    while ((size = bufin.read(temp)) != -1) {
      out.write(temp, 0, size);
    }
    bufin.close();
    byte[] content = out.toByteArray();
    return content;
  }

  @Override
  public ServletInputStream getInputStream() throws IOException {
    final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body);
    ServletInputStream servletInputStream = new ServletInputStream() {
      public int read() throws IOException {
        return byteArrayInputStream.read();
      }
    };
    return servletInputStream;
  }

  private String format(String name) {
    String value = replaceParams(name);
    if (!this.request.getMethod().equals("GET")) {// 判断是否是get请求方式
      return value;
    }
    String result = null;
    try {
      result = new String(value.getBytes("utf-8"), this.request.getCharacterEncoding());
    } catch (UnsupportedEncodingException e) {
      e.printStackTrace();
    }
    return result;
  }

  public boolean checkIsIntercept() {
    String url = request.getRequestURL().toString();
    boolean flag = false;
    for (String item : interceptArr) {
      if (url.contains(item)) {
        flag = true;
        break;
      }

    }
    return flag;
  }

  public String replaceParams(String value) {
    String formatStr = XSSUtil.escape(value);
    if (checkIsIntercept()) {
      formatStr = formatStr.replaceAll("\"", "&quot;");
    }
    for (String item : validateArr) {
      Matcher matcher = WebUtil.getRegexNormalMatcher(item, formatStr);
      formatStr = matcher.replaceAll("");
    }
    return formatStr;
  }

  /**
   * 
   * @param name
   * @return
   */
  public Object getAttribute(String name) {
    Object value = super.getAttribute(name);
    if (value instanceof String) {
      value = format(String.valueOf(value));
    }
    return value;
  }

  /**
   * 重写getParameter方法
   * 
   * @param name
   * @return
   */
  public String getParameter(String name) {
    String value = super.getParameter(name);
    if (value == null)
      return null;
    return format(value);
  }

  /**
   * 
   * @param name
   * @return
   */
  public String[] getParameterValues(String name) {
    String[] values = super.getParameterValues(name);
    if (values != null) {
      for (int i = 0; i < values.length; i++) {
        values[i] = format(values[i]);
      }
    }
    return values;
  }

  /**
   * @return
   */
  public Map<String, String[]> getParameterMap() {
    Map<String, String[]> paramMap = (Map<String, String[]>) super.getParameterMap();
    Map<String, String[]> resultMap = new HashMap<String, String[]>();

    for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext();) {
      Map.Entry<String, String[]> entry = (Map.Entry<String, String[]>) iterator.next();
      String[] values = entry.getValue();
      for (int i = 0; i < values.length; i++) {
        if (values[i] instanceof String) {
          values[i] = format(values[i]);
        }
      }
      resultMap.put(replaceParams(entry.getKey()), values);
    }
    return resultMap;
  }

}

如果我们的代码程序是用流来接收参数对象,以上的参数过滤封装并不会生效,解决方案,可以在过滤器获取流的时候,作处理,代码如下

public class WrapperRequestBody extends HttpServletRequestWrapper {

  public static List<Pattern> patternArr = new ArrayList<Pattern>();

  public static List<String> validateArr = new ArrayList<String>();

  private final String body;

  public WrapperRequestBody(HttpServletRequest request) throws IOException {
    super(request);
    StringBuilder stringBuilder = new StringBuilder();
    BufferedReader bufferedReader = null;
    try {
      InputStream inputStream = request.getInputStream();
      if (inputStream != null) {
        bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
        char[] charBuffer = new char[128];
        int bytesRead = -1;
        while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
          stringBuilder.append(charBuffer, 0, bytesRead);
        }
      } else {
        stringBuilder.append("");
      }
    } catch (IOException ex) {
      throw ex;
    } finally {
      if (bufferedReader != null) {
        try {
          bufferedReader.close();
        } catch (IOException ex) {
          ex.printStackTrace();
        }
      }
    }
    body = format(stringBuilder.toString());
  }

  @Override
  public ServletInputStream getInputStream() throws IOException {
    final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes());
    ServletInputStream servletInputStream = new ServletInputStream() {
      public int read() throws IOException {
        return byteArrayInputStream.read();
      }
    };
    return servletInputStream;
  }

  @Override
  public BufferedReader getReader() throws IOException {
    return new BufferedReader(new InputStreamReader(this.getInputStream()));
  }

  public String getBody() {
    return this.body;
  }
  
  private String format(String value) {
    if(StringUtils.isEmpty(value)){
      return value;
    }
    return replaceParams(value);
  }

  public String replaceParams(String value) {
    for (String item : validateArr) {
      Matcher matcher = WebUtil.getRegexNormalMatcher(item, value);
      value = matcher.replaceAll("");
    }
    return value;
  }

 

XssUtils.java工具类如下

package com.csair.csm.util;

import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.net.URLDecoder;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;



public class XssUtils {

  private static final Logger logger = LoggerFactory.getLogger(XssUtils.class);

  /**
   * 将特殊字符转换为对应的实体引用或字符引用。
   * 
   * @throws IOException
   * @throws IOException
   */
  public static String toHtml(String url, String str) {
    return toHtml2(url, str);
  }

  /**
   * 字符转译,对;单引号,(,) 还有斜杠进行转译成原生字符 例如(&#x3B)+;将变成原生的字符;
   * 
   * @param str
   * @param enc
   * @return 转译后的字符串
   */
  public static String urlDecoderDecode(String str, String enc) {
    str = str.replaceAll("(&#x3B)+;", ";");
    str = str.replaceAll("&#39;", "\'");
    str = str.replaceAll("&#40;", "(");
    str = str.replaceAll("&#41;", ")");
    str = str.replaceAll("&quot;", "\"");
    str = str.replaceAll("&#x2F;", "/");
    try {
      str = URLDecoder.decode(str, enc);
    } catch (UnsupportedEncodingException e) {
      throw new RuntimeException("URLDecode转换出错");
    }
    return str;
  }

  /**
   * 将特殊字符转换为对应的实体引用或字符引用。
   */
  private static String toHtml2(String url, String str) {
    if (str == null) {
      return null;
    }
    StringBuffer sb = new StringBuffer();
    boolean hasXssChar = false;
    int len = str.length();
    for (int i = 0; i < len; i++) {
      char c = str.charAt(i);
      switch (c) {
      /*
       * case '\'': sb.append("&#39;"); hasXssChar = true; break; case '\"': sb.append("&quot;");
       * hasXssChar = true; break;
       */
        case '<':
          sb.append("&lt;");
          hasXssChar = true;
          break;
        case '>':
          sb.append("&gt;");
          hasXssChar = true;
          break;
        case '(':
          sb.append("&#40;");
          hasXssChar = true;
          break;
        case ')':
          hasXssChar = true;
          sb.append("&#41;");
          break;
        /*
         * case ';': sb.append("&#x3B;"); hasXssChar = true; break; case '/': sb.append("&#x2F;");
         * hasXssChar = true; break;
         */
        case '\\':
          sb.append("&#92;");
          hasXssChar = true;
          break;
        default:
          sb.append(c);
      }
    }
    if (hasXssChar) {
      logger.debug(url + "进行Xss检查,已进行替换, 原始输入数据为:" + str);
    }
    return sb.toString().replaceAll("script", "").replaceAll("eval\\((.*)\\)", "");
    // return sb.toString();
  }

  @SuppressWarnings("unused")
  private static void logTime(long sTime) {
    if ((System.currentTimeMillis() - sTime) > 100) {
      logger.debug("转义耗时:" + (System.currentTimeMillis() - sTime));
    }
  }

}

WebUtils.java工具类如下

package com.csair.csm.util;

import java.util.regex.Matcher;
import java.util.regex.Pattern;

public class WebUtil {

  
  public static Matcher getRegexNormalMatcher(String regex, String targetStr) {
    Pattern compile = Pattern.compile( regex ,Pattern.CASE_INSENSITIVE);
    Matcher matcher = compile.matcher(targetStr);
    return matcher;
  }
  
  
}

最后一步,即在WEB.XML配置过滤器指向我们定义的filter,并且配置过滤XSS,SQL脚本的关键字

    <filter>
        <filter-name>xssFilter</filter-name>
        <filter-class>com.csair.csm.web.filter.XssFilter</filter-class>
        	<init-param>
			<param-name>intercept</param-name>
			<param-value>product/search;order/verify;manage/catalog/view;order/myorder;ehome/act</param-value>
		    </init-param>   
        	<init-param>
			<param-name>validate</param-name>
			<param-value><![CDATA[font-family|show|class=|.source|eval|expression|onmouse|onmouseover|javascript|confirm|meta|onblur|window.|document|marquee|location|onfocus|onchange|onclick|onkey|onmousedown|prompt|SYS.TAB|script|alert|iframe|frame|href=|<|>|\\x|%5Cx|\*/|/\*|vbscript:|view-source:|.location|.cookie|oncontrolselect|oncopy|oncut|ondataavailable|ondatasetchanged|ondatasetcomplete|ondblclick|ondeactivate|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|onerror=|onerroupdate|onfilterchange|onfinish|onfocus|onfocusin|onfocusout|onhelp|onkeydown|onkeypress|onkeyup|onlayoutcomplete|onlosecapture|onmousedown|onmouseenter|onmouseleave|onmousemove|onmousout|onmouseover|onmouseup|onmousewheel|onmove|onmoveend|onmovestart|onabort|onactivate|onafterprint|onafterupdate|onbefore|onbeforeactivate|onbeforecopy|onbeforecut|onbeforedeactivate|onbeforeeditocus|onbeforepaste|onbeforeprint|onbeforeunload|onbeforeupdate|onblur|onbounce|oncellchange|onchange|onclick|oncontextmenu|onpaste|onpropertychange|onreadystatechange|onreset|onresize|onresizend|onresizestart|onrowenter|onrowexit|onrowsdelete|onrowsinserted|onscroll|onselect|onselectionchange|onselectstart|onstart|onstop|onsubmit|onunload]]></param-value>
			</init-param>
			<init-param>
			<param-name>sqlValidate</param-name>
			<param-value><![CDATA[where|or|and|drop|delete]]></param-value>
			</init-param>
    </filter>
	<filter-mapping>
        <filter-name>xssFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

 

转载于:https://my.oschina.net/u/3155476/blog/3056359

chenghuagui9785
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring mvc xss filter
涛哥盛世
07-09 5507
spring mvc xss filter        XSS (Cross Site Scripting): 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。           一般现
springmvc+shiro自定义过滤器实现代码
08-26
在本文中,我们使用Shiro的自定义过滤器实现用户登录后的跳转回之前页面的功能。 3. HttpSession HttpSession是服务器端的会话技术,可以用来存储用户的会话信息。在本文中,我们使用HttpSession来存储用户的...
SpringMVC防止XSS攻击
ywb201314的专栏
03-20 872
XSS全称为跨站脚本攻击 , 具体见百度百科 最常见的是用Filter来预防 ,就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防). 1 . 在web.xml中添加Filter <filter> <filter-name>XssFilter&l...
Xss漏洞拦截处理
pshaoyi的专栏
02-17 6371
描述 XSS(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 思路 基于filter拦截,将特殊字符替换为html转意字符 (如: "<" 转意为 "&lt;") , 需要拦截的点如下: 请求头.
SpringMVC使用过滤器Filter过滤容易引发XSS的危险字符
m0_45446516的博客
03-16 691
SpringMVC使用过滤器Filter过滤容易引发XSS的危险字符 一 简介 如题所示,如果不在服务端对用户的输入信息进行过滤,然后该参数又直接在前台页面中展示,毫无疑问将会容易引发XSS攻击(跨站脚本攻击),比如说这样: form表单中有这么一个字段: <input type="text" id="author" name="author" placeholder="昵称" /&...
SpringBoot 防止XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3392
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSSSQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
基于SpringMVC的拦截器(Interceptor)和过滤器Filter)的区别与联系
weixin_33958366的博客
12-07 1789
一 简介(1)过滤器:依赖于servlet容器。在实现上基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作,获取我们想要获取的数据,比如:在过滤器中修改字符编码;在过滤器中修改HttpServletRequest的一些参数,包括:过滤低俗文字、危险字符等关于过滤器的一些用法可以参考我写过的这些文章...
利用SpringMVC过滤器解决vue跨域请求的问题
11-29
之前写过通过注释的方法解决跨域请求的方法,需要每次都在controll类使用注解,这次通过springmvc的拦截器解决: 继承SpringMVC的类HandlerInterceptor重写preHandle方法,这个方法会在到达 controll之前调用,如下 ...
解决springmvc项目中使用过滤器来解决请求方式为post时出现乱码的问题
08-24
"解决springmvc项目中使用过滤器来解决请求方式为post时出现乱码的问题" Spring MVC 项目中,使用过滤器来解决请求方式为 POST 时出现乱码的问题是非常重要的。本文将详细介绍如何使用过滤器来解决这个问题,并给...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册FilterFilter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
java过滤器,防止XSSSQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
Spring MVC过滤器-登录过滤的代码实现
08-31
本篇文章主要介绍了Spring MVC过滤器-登录过滤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧。
springMVC通过Filter实现防止xss注入
热门推荐
井底之蛙
03-14 1万+
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request请求中的一些参数去掉一些比较敏感的脚本
XssSql、Emoji过滤器+SpringMVC JSON过滤
q826qq1878的博客
12-06 1728
Xss/sql/emoji过滤
spingMVC xss攻击过滤
浅灰色、邂逅的博客
06-04 372
1 . 在web.xml中添加Filter <filter> <filter-name>XssFilter</filter-name> <filter-class>com.xbz.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssFilter</fil
SpringMvc如何进行XSS攻击过滤
zzzgd_666的博客
05-23 1万+
随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其中加入脚本。 比如我在表单文本框中,输入 &amp;lt;script&amp;gt;alert(233)&amp;lt;/script&amp;gt; 那么当这条消息存到数据库,再次在页面上访问获取数据的时候,就会弹出弹窗. 很多网站为了避免XSS的攻击,对用户的输入都采...
Springboot配置XSS过滤器XssFilter
遛羊的懒懒
03-30 555
XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。扩展:如果存在多个过滤器,比如:shiroFilter使用FilterRegistrationBean。
springmvc过滤器实现机制
最新发布
05-05
Spring MVC 中的过滤器是通过 Servlet Filter 实现的。在 Spring MVC 中,DispatcherServlet 是核心控制器,它根据请求的 URL 映射到对应的 Controller 进行处理。在 DispatcherServlet 前面添加一个过滤器,可以对请求进行预处理,比如对请求进行字符编码处理、安全认证等等。 Spring MVC 中的过滤器实现机制如下: 1. 用户发送请求,请求被 Servlet 容器拦截。 2. Servlet 容器根据 web.xml 文件中的配置找到 DispatcherServlet,将请求转发给它。 3. DispatcherServlet 根据请求的 URL 映射到对应的 Controller 进行处理之前,会先调用所有在 web.xml 中配置的过滤器。 4. 过滤器对请求进行预处理,比如对请求进行字符编码处理、安全认证等等。 5. 过滤器可以决定是否将请求转发给 DispatcherServlet 进行处理,如果不转发,则直接响应给客户端。 6. 如果转发给 DispatcherServlet 进行处理,DispatcherServlet 会根据请求的 URL 映射到对应的 Controller 进行处理。 总的来说,Spring MVC 中的过滤器跟普通的 Servlet 过滤器实现机制是一样的,只是在 Spring MVC 中过滤器的作用范围更加灵活,可以对请求进行更加细粒度的处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值