防止SQL注入和XSS攻击Filter

最新推荐文章于 2020-02-06 16:38:18 发布
最新推荐文章于 2020-02-06 16:38:18 发布
阅读量119 收藏
点赞数
原文链接:https://my.oschina.net/u/3633215/blog/1494667
版权

xss就是在页面执行你想要的js nbsp;今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决防止SQL注入和XSS攻击 一个是Filter负责将请求的request包装一下。 一个是request包装器,负责过滤掉非法的字符。 将这个过滤器配置上以后,世界总算清净多了。。 代码如下:

@WebFilter(filterName = "xssFilter",urlPatterns = "/*")
public class XssFilter implements Filter {

   private FilterConfig filterConfig;

   public void doFilter(ServletRequest request, ServletResponse response,
         FilterChain filterChain) throws IOException, ServletException {

      XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
            (HttpServletRequest) request);
      filterChain.doFilter(xssRequest, response);

   }

   @Override
   public void init(FilterConfig filterConfig) throws ServletException {
      this.filterConfig = filterConfig;
   }

   @Override
   public void destroy() {
      filterConfig = null;

   }

}
包装器:
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
   HttpServletRequest orgRequest = null;

   public XssHttpServletRequestWrapper(HttpServletRequest request) {
      super(request);
      orgRequest = request;
   }

   /**
   * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
   * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
   * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
   */
   @Override
   public String getParameter(String name) {
      String value = super.getParameter(xssEncode(name));
      if (value != null) {
         value = xssEncode(value);
      }
      return value;
   }

   /**
   * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
   * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
   * getHeaderNames 也可能需要覆盖
   */
   @Override
   public String getHeader(String name) {

      String value = super.getHeader(xssEncode(name));
      if (value != null) {
         value = xssEncode(value);
      }
      return value;
   }

   /**
   * 将容易引起xss漏洞的半角字符直接替换成全角字符
   *
   * @param s
   * @return
   */
   private static String xssEncode(String s) {
      if (s == null || "".equals(s)) {
         return s;
      }
      StringBuilder sb = new StringBuilder(s.length() + 16);
      for (int i = 0; i < s.length(); i++) {
         char c = s.charAt(i);
         switch (c) {
         case '>':
            sb.append('>');//全角大于号
            break;
         case '<':
            sb.append('<');//全角小于号
            break;
         case '\'':
            sb.append('‘');//全角单引号
            break;
         case '\"':
            sb.append('“');//全角双引号
            break;
         case '&':
            sb.append('&');//全角
            break;
         case '\\':
            sb.append('\');//全角斜线
            break;
         case '#':
            sb.append('#');//全角井号
            break;
         default:
            sb.append(c);
            break;
         }
      }
      return sb.toString();
   }

   /**
   * 获取最原始的request
   *
   * @return
   */
   public HttpServletRequest getOrgRequest() {
      return orgRequest;
   }

   /**
   * 获取最原始的request的静态方法
   *
   * @return
   */
   public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
      if (req instanceof XssHttpServletRequestWrapper) {
         return ((XssHttpServletRequestWrapper) req).getOrgRequest();
      }

      return req;
   }

}

转载于:https://my.oschina.net/u/3633215/blog/1494667

chicu2721
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
预防XSS攻击SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
防止XSS攻击Filter
johennes的专栏
07-31 1346
今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决防止SQL注入XSS攻击 一个是Filter负责将请求的request包装一下。 一个是request包装器,负责过滤掉非法的字符。 将这个过滤器配置上以后,世界总算清净多了。。 代码如下: import java.io.IOException; import javax.servlet.Filter;
实用:防止SQLXSS注入攻击Filter
johennes的专栏
08-26 4831
本文主要原理是转换过滤或拦截请求中的非法字符 FILTER代码: XssFilter.java /** * {@link CharLimitFilter} * * 拦截防止XSS注入 * * @author Administrator */ public class XssFilter implements Filter { /* (non-Javadoc) * @se
防止常见XSS 过滤 SQL注入 JAVA过滤器filter
qq_34896315的博客
06-05 778
1、首先配置web.xml,添加如下配置信息: <!-- 解决xss & sql漏洞 --> <filter> <filter-name>xssAndSqlFilter</filter-name> <filter-class>com.cup.cms.web.framework.filter.XssAnd...
PHP实现表单提交数据的验证处理功能【防SQL注入XSS攻击等】
10-19
总的来说,防范SQL注入XSS攻击的关键在于对用户输入进行严格的验证和过滤,并使用安全的数据库操作方法。在开发过程中,始终牢记“不要信任任何用户输入”,并确保在处理数据时采取充分的安全措施。
ASP.NET防止SQL注入的方法示例
01-20
定期进行代码审计,使用最新的安全最佳实践,并及时修复已知的安全漏洞,这些都是防止SQL注入和其他安全问题的重要步骤。此外,定期更新和学习关于ASP.NET安全的知识,如了解新的攻击手段和防御策略,可以帮助提高...
XSS过滤JAVA过滤器filter 防止常见SQL注入
HERO笔记
05-26 205
Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入...
js中过滤特殊字符的正则表达式
10-28
js中用正则表达式 过滤特殊字符 ,校验所有输入域是否含有特殊符号
字符过滤器和防止XSS攻击SQL注入的过滤器
laotansuocai的博客
07-30 809
常用过滤器
xss过滤特殊字符
BusyMonkey
06-19 6001
xss过滤特殊字符
XSS 防御方法总结
weixin_33932129的博客
08-03 2775
1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用...
JS特殊字符过滤,防止xsssql注入
dfsafsd32323的博客
04-18 927
function stripscript(s) { var pattern = new RegExp("[%--`~!@#$^&*()=|{}':;',\\[\\].<>/?~!@#¥……&*()——|{}【】‘;:”“'。,、?]") //格式 RegExp("[在中间定义特殊过滤字符]")var rs = ""; for (var i = 0...
XSS漏洞解决方案之一:过滤器
javaACMer的专栏
09-10 4654
XSS漏洞解决方案之一:过滤器
跨域问题,防止表单重复提交,防止XSS攻击
qq_43868329的博客
02-06 364
跨域问题 1.设置请求头 代码: b_prokect <input type="text" name="username" id="username"><input type="button" value="提交" name="button" id="button"> <script type="text/javascript" src="js/jquery-1.8...
springboot如何实现使用过滤器防止xss攻击sql注入
最新发布
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值