JAVA----参数过滤器XssFilter,实现:防XSS,去掉参数左右空格

最新推荐文章于 2022-08-27 17:04:53 发布
最新推荐文章于 2022-08-27 17:04:53 发布
阅读量697 收藏 1
点赞数
分类专栏: JAVA 文章标签: XssFilter 过滤器 filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/damys/article/details/116457807
版权

XssFilter 过滤器

public class XssFilter implements Filter {

    public boolean enabled = false;                    // 过滤开关
    public List<String> excludes = new ArrayList<>();  // 排除url


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        String _enabled = filterConfig.getInitParameter("enabled");
        String _excludes = filterConfig.getInitParameter("excludes");
        if (StringUtils.isNotEmpty(_enabled)) {
            enabled = Boolean.valueOf(_enabled);
        }

        if (StringUtils.isNotEmpty(_excludes)) {
            String[] url = _excludes.split(",");
            for (int i = 0; url != null && i < url.length; i++) {
                excludes.add(url[i]);
            }
        }
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;

        if (handleExcludeURL(req, resp)) {
            chain.doFilter(request, response);
            return;
        }

        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
        chain.doFilter(xssRequest, response);
    }

    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {
        if (!enabled) {
            return true;
        }

        if (excludes == null || excludes.isEmpty()) {
            return false;
        }

        String url = request.getServletPath();
        for (String pattern : excludes) {
            Pattern p = Pattern.compile("^" + pattern);
            Matcher m = p.matcher(url);
            if (m.find()) {
                return true;
            }
        }

        return false;
    }

    @Override
    public void destroy() {
    }
}
damys
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
Springboot 实战一个依赖解决XSS攻击
热门推荐
LoveSummer
05-01 4万+
Cross Site Scripting,为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中 Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在一开始的时候,这种攻击的演示案例是跨域的,所以叫"跨站脚本"。但是发展到今天,由于JavaScript的强大功能基于网站前端应用的复杂化,是否跨域已经不再重要。
Bypass XSS filters using data URIs
0ffs3t
10-24 1806
Data URI, defined by RFC 2397, is a smart way of embedding small files in line in HTML documents. Instead of linking to a file stored locally on the server, the file is provided within the URL itself
常见异常解析
fuyou0105的博客
09-18 8926
ConcurrentHashMap与CopyOnWriteArrayList比较。 博客分类: Java ConcurrentHashMap ConcurrentHashMap引入了Segment,每个Segment又是一个hashtable,相当于是两级Hash表,然后锁是在Segment一级进行的,提高了并发性。缺点是对整个集合进行操作的方法如 size() 或...
xss (跨站脚本攻击) 解决方案之 antisamy
小戈的播客
05-18 2727
问题原因:对网站用户提交的数据(请求数据)未做处理。 XXS原理分析参考:http://netsecurity.51cto.com/art/201408/448305_all.htm:点击打开链接 解决方案:引入开源antisamy框架 解决过程: 1.导入依赖 maven依赖: dependencies>     dependency>     groupId>o
java过滤器对所有参数去除前后空格
06-20
对项目中的所有参数去除前后空格过滤,统一处理参数!可以基于此过滤器实现过滤跨站脚本攻击,参数的增加,修改!敏感词汇过滤。实现原理为重写HttpServletRequestWrapper,获取参数的方法。include和 Forwarded 内部转发不在过滤之内。
xss filter
xiaomin1991222的专栏
11-25 110
package com.dep.aop; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.Map.Entry; import java.util.Set; import javax.servlet.http.HttpServletReques...
使用filter过滤xss攻击
lionzl的专栏
12-02 1357
使用filter过滤xss攻击 博客分类:  技术人生 filter实现脚注入攻击过滤源码    先说一下实现思路: 1. 使用正则表达式的方式实现脚本过滤,这个方法准确率较高,但是可能根据不能的要求会变动; 2. 为了保证配置灵活(包括正则表达式灵活),使用xml配置文件的方式记录配置信息,配置信息包含是否开启校验、是否记录日志、是否中断请求、是否替
XSS过滤JAVA过滤器filter 止常见SQL注入
weixin_34092370的博客
04-08 325
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
java xssfilter_java xss攻击 通过filter的方法 | 学步园
weixin_39775428的博客
02-16 307
http://breezylee.iteye.com/blog/2063615注意:如果form表单里增加了enctype="multipart/form-data" 这个属性,会导致HttpServletRequestWrapper里取不到表单里的内容关于xss的概念和解决方案网上很多,可以参考这个:http://www.cnblogs.com/TankXiao/archive/2012/03/...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册FilterFilter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
XSS HTMLFILTER
10-07
你还在为xss注入攻击而头疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道
asp-xss-filter:ASP-XSS-过滤器
06-30
asp-xss-filterThis is classical ASP, not ASP.NET!!!!这是经典ASP,不是ASP.NET!!!!Transplanted from (由项目移植)Although it is written by JScript, but can also be used in VBScript.(虽然它是由...
JVM参数-Xms-Xmx-Xmn-Xss-调优总结.docx
09-13
JVM参数_-Xms_-Xmx_-Xmn_-Xss_调优总结
第十节 xss filter过滤器-01
09-15
第十节 xss filter过滤器-01
JAVA----maven 引入本地sdk包, 引用 dingtalk本地sdk
Damys
11-06 6180
maven 引入本地sdk包 开发钉钉扫码登录第三方网站,原引用maven 最新包,开发时不支持现有业务,在线包也一直没有更新,故使用本地sdk 包, 引入maven 原引用maven 最新包 <dependency> <groupId>com.aliyun</groupId> <artifactId>alibaba-dingtalk-service-sdk</artifactId> <version>1
JAVA----获取地址工具方法
Damys
10-26 5250
获取地址工具方法 @Slf4j public class AddressUtils { public static final String IP_URL = "http://ip.taobao.com/service/getIpInfo.php"; public static String getRealAddressByIP(String ip) { String address = "127.0.0.1"; // 内网不查询
JAVA----钉钉事件订阅回调配置
Damys
11-13 2799
一般配置 回调地址 @ResponseBody @PostMapping("/dingTalkCallBack") public Map<String, String> dingTalkCallBack ( @RequestParam(value = "msg_signature", required = false) String msg_signature, @RequestParam(value = "timestamp",
JAVA----钉钉机器人-订单提醒功能
Damys
08-27 2508
钉钉机器人-订单提醒功能
java -jar 启动服务参数优化
最新发布
12-28
根据引用[2]中提供的参考链接,以下是一些可以用于优化使用`java -jar`启动服务的参数: 1. 设置堆内存大小:使用`-Xmx`参数设置最大堆内存大小,使用`-Xms`参数设置初始堆内存大小。例如,`java -jar -Xmx2g -Xms...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值