Java Filter过滤xss注入非法参数的方法

最新推荐文章于 2023-09-14 20:30:00 发布
最新推荐文章于 2023-09-14 20:30:00 发布
阅读量88 收藏
点赞数
原文链接:http://www.cnblogs.com/cxxjohnson/p/7289227.html
版权

http://blog.csdn.NET/feng_an_qi/article/details/45666813

Java Filter过滤xss注入非法参数的方法

 

 

web.xml:

[html]  view plain  copy
 
  1. <filter>  
  2.        <filter-name>XSSFiler</filter-name>  
  3.        <filter-class>  
  4.            com.paic.mall.web.filter.XssSecurityFilter  
  5.        </filter-class>  
  6.     </filter>  
  7.     <filter-mapping>  
  8.         <filter-name>XSSFiler</filter-name>  
  9.         <url-pattern>*.jsp</url-pattern>  
  10.     </filter-mapping>  
  11.     <filter-mapping>  
  12.         <filter-name>XSSFiler</filter-name>  
  13.         <url-pattern>*.do</url-pattern>  
  14.     </filter-mapping>  
  15.     <filter-mapping>  
  16.         <filter-name>XSSFiler</filter-name>  
  17.         <url-pattern>*.screen</url-pattern>  
  18.     </filter-mapping>  
  19.     <filter-mapping>  
  20.         <filter-name>XSSFiler</filter-name>  
  21.         <url-pattern>*.shtml</url-pattern>  
  22.     </filter-mapping>  
  23.     <filter-mapping>  
  24.         <filter-name>XSSFiler</filter-name>  
  25.         <servlet-name>dispatcher</servlet-name>  
  26.     </filter-mapping>  

 

XssSecurityFilter.Java

[java]  view plain  copy
 
  1. public class XssSecurityFilter implements Filter {  
  2.   
  3.     protected final Logger log = Logger.getLogger(this.getClass());  
  4.   
  5.     public void init(FilterConfig config) throws ServletException {  
  6.         if(log.isInfoEnabled()){  
  7.             log.info("XSSSecurityFilter Initializing ");  
  8.         }  
  9.     }  
  10.   
  11.     /** 
  12.      * 销毁操作 
  13.      */  
  14.     public void destroy() {  
  15.         if(log.isInfoEnabled()){  
  16.             log.info("XSSSecurityFilter destroy() end");  
  17.         }  
  18.     }  
  19.   
  20.     public void doFilter(ServletRequest request, ServletResponse response,  
  21.             FilterChain chain) throws IOException, ServletException {  
  22.         HttpServletRequest httpRequest = (HttpServletRequest)request;  
  23.           
  24.         XssHttpRequestWrapper xssRequest = new XssHttpRequestWrapper(httpRequest);  
  25.         httpRequest = XssSecurityManager.wrapRequest(xssRequest);  
  26.         chain.doFilter(xssRequest, response);  
  27.     }  
  28.   
  29. }  

 

XssHttpRequestWrapper.Java

[java]  view plain  copy
 
  1. /** 
  2.  * @author  
  3.  * @date 
  4.  * @describe 主要是对参数进行xss过滤,替换原始的request的getParameter相关功能 
  5.  *      线程不安全 
  6.  *  
  7.  */  
  8. public class XssHttpRequestWrapper extends HttpServletRequestWrapper {  
  9.   
  10.     protected Map parameters;  
  11.   
  12.   
  13.       
  14.       
  15.     /** 
  16.      * 封装http请求 
  17.      *  
  18.      * @param request 
  19.      */  
  20.     public XssHttpRequestWrapper(HttpServletRequest request) {  
  21.         super(request);  
  22.     }  
  23.       
  24.       
  25.     @Override  
  26.     public void setCharacterEncoding(String enc)  
  27.             throws UnsupportedEncodingException {  
  28.         super.setCharacterEncoding(enc);  
  29.         //当编码重新设置时,重新加载重新过滤缓存。  
  30.         refiltParams();  
  31.     }  
  32.       
  33.     void refiltParams(){  
  34.         parameters=null;  
  35.     }  
  36.   
  37.     @Override  
  38.     public String getParameter(String string) {  
  39.         String strList[] = getParameterValues(string);  
  40.         if (strList != null && strList.length > 0)  
  41.             return strList[0];  
  42.         else  
  43.             return null;  
  44.     }  
  45.   
  46.     @Override  
  47.     public String[] getParameterValues(String string) {  
  48.         if (parameters == null) {  
  49.             paramXssFilter();  
  50.         }  
  51.         return (String[]) parameters.get(string);  
  52.     }  
  53.   
  54.     @Override  
  55.     public Map getParameterMap() {  
  56.         if (parameters == null) {  
  57.             paramXssFilter();  
  58.         }  
  59.         return parameters;  
  60.     }  
  61.   
  62.     /** 
  63.      *  
  64.      * 校验参数,若含xss漏洞的字符,进行替换 
  65.      */  
  66.     private void paramXssFilter() {  
  67.         parameters = getRequest().getParameterMap();  
  68.         XssSecurityManager.filtRequestParams(parameters, this.getServletPath());  
  69.     }  
  70.   
  71. }  

 

XssSecurityManager.java

[java]  view plain  copy
 
    1. /** 
    2.  * @author  
    3.  * @date 
    4.  * @describe 安全过滤配置管理类,统一替换可能造成XSS漏洞的字符为中文字符 
    5.  */  
    6. public class XssSecurityManager {  
    7.   
    8.     private static Logger log = Logger.getLogger(XssSecurityManager.class);  
    9.   
    10.     // 危险的javascript:关键字j av a script  
    11.     private final static Pattern[] DANGEROUS_TOKENS = new Pattern[] { Pattern  
    12.             .compile("^j\\s*a\\s*v\\s*a\\s*s\\s*c\\s*r\\s*i\\s*p\\s*t\\s*:",  
    13.                     Pattern.CASE_INSENSITIVE) };  
    14.   
    15.     // javascript:替换字符串(全角中文字符)  
    16.     private final static String[] DANGEROUS_TOKEN_REPLACEMENTS = new String[] { "JAVASCRIPT:" };  
    17.   
    18.     // 非法的字符集  
    19.     private static final char[] INVALID_CHARS = new char[] { '<', '>', '\'',  
    20.             '\"', '\\' };  
    21.   
    22.     // 统一替换可能造成XSS漏洞的字符为全角中文字符  
    23.     private static final char[] VALID_CHARS = new char[] { '<', '>', '’', '“',  
    24.             '\' };  
    25.   
    26.     // 开启xss过滤功能开关  
    27.     public static boolean enable=false;  
    28.   
    29.     // url-patternMap(符合条件的url-param进行xss过滤)<String ArrayList>  
    30.     public static Map urlPatternMap = new HashMap();  
    31.       
    32.     private static HashSet excludeUris=new HashSet();  
    33.   
    34.     private XssSecurityManager() {  
    35.         // 不可被实例化  
    36.     }  
    37.     static {  
    38.         init();  
    39.     }  
    40.   
    41.     private static void init() {  
    42.         try {  
    43.             String xssConfig = "/xss_security_config.xml";  
    44.             if(log.isDebugEnabled()){  
    45.                 log.debug("XSS config file["+xssConfig+"] init...");  
    46.             }  
    47.             InputStream is = XssSecurityManager.class  
    48.                     .getResourceAsStream(xssConfig);  
    49.             if (is == null) {  
    50.                 log.warn("XSS config file["+xssConfig+"] not found.");  
    51.             }else{  
    52.                 // 初始化过滤配置文件  
    53.                 initConfig(is);  
    54.                 log.info("XSS config file["+xssConfig+"] init completed.");  
    55.             }  
    56.         }  
    57.         catch (Exception e) {  
    58.               
    59.             log.error("XSS config file init fail:"+e.getMessage(), e);  
    60.         }  
    61.           
    62.     }  
    63.   
    64.     private static void initConfig(InputStream is) throws Exception{  
    65.         DocumentBuilderFactory factory=DocumentBuilderFactory.newInstance();  
    66.   
    67.         DocumentBuilder builder=factory.newDocumentBuilder();  
    68.   
    69.         Element root = builder.parse(is).getDocumentElement();  
    70.         //-------------------  
    71.         NodeList nl=root.getElementsByTagName("enable");  
    72.         Node n=null;  
    73.         if(nl!=null && nl.getLength()>0){  
    74.             n=((org.w3c.dom.Element)nl.item(0)).getFirstChild();  
    75.         }  
    76.         if(n!=null){  
    77.             enable = new Boolean(n.getNodeValue().trim()).booleanValue();  
    78.         }  
    79.         log.info("XSS switch="+enable);  
    80.         //-------------------------  
    81.         nl=root.getElementsByTagName("filter-mapping");  
    82.         NodeList urlPatternNodes=null;  
    83.         if(nl!=null && nl.getLength()>0){  
    84.             Element  el=(Element)nl.item(0);  
    85.             urlPatternNodes=el.getElementsByTagName("url-pattern");  
    86.             //-----------------------------------------------------  
    87.             NodeList nl2=el.getElementsByTagName("exclude-url");  
    88.             if(nl2!=null && nl2.getLength()>0){  
    89.                 for(int i=0;i<nl2.getLength();i++){  
    90.                     Element e=(Element)urlPatternNodes.item(i);  
    91.                     Node paramNode=e.getFirstChild();  
    92.                     if(paramNode!=null){  
    93.                         String paramName=paramNode.getNodeValue().trim();  
    94.                         if(paramName.length()>0){  
    95.                             excludeUris.add(paramName.toLowerCase());  
    96.                         }  
    97.                     }  
    98.                 }  
    99.             }  
    100.         }  
    101.         //----------------------  
    102.         if(urlPatternNodes!=null && urlPatternNodes.getLength()>0){  
    103.             for(int i=0;i<urlPatternNodes.getLength();i++){  
    104.                 Element e=(Element)urlPatternNodes.item(i);  
    105.                 String urlPattern=e.getAttribute("value");  
    106.                 if(urlPattern!=null && (urlPattern=urlPattern.trim()).length()>0){  
    107.                     List filtParamList = new ArrayList(2);  
    108.                     if(log.isDebugEnabled()){  
    109.                         log.debug("Xss filter mapping:"+urlPattern);  
    110.                     }  
    111.                     //-------------------------------  
    112.                     NodeList temp=e.getElementsByTagName("include-param");  
    113.                     if(temp!=null && temp.getLength()>0){  
    114.                         for(int m=0;m<temp.getLength();m++){  
    115.                             Node paramNode=(temp.item(m)).getFirstChild();  
    116.                             if(paramNode!=null){  
    117.                                 String paramName=paramNode.getNodeValue().trim();  
    118.                                 if(paramName.length()>0){  
    119.                                     filtParamList.add(paramName);  
    120.                                 }  
    121.                             }  
    122.                               
    123.                         }  
    124.                           
    125.                     }  
    126.                     //一定得将url转换为小写  
    127.                     urlPatternMap.put(urlPattern.toLowerCase(), filtParamList);  
    128.                 }  
    129.             }  
    130.         }  
    131.           
    132.         //----------------------  
    133.     }  
    134.       
    135.     public static HttpServletRequest wrapRequest(HttpServletRequest httpRequest){  
    136.         if(httpRequest instanceof XssHttpRequestWrapper){  
    137. //          log.info("httpRequest instanceof XssHttpRequestWrapper");  
    138.             //include/forword指令会重新进入此Filter  
    139.             XssHttpRequestWrapper temp=(XssHttpRequestWrapper)httpRequest;  
    140.             //include指令会增加参数,这里需要清理掉缓存  
    141.             temp.refiltParams();  
    142.             return temp;  
    143.         }else{  
    144. //          log.info("httpRequest is not instanceof XssHttpRequestWrapper");  
    145.             return httpRequest;  
    146.         }  
    147.     }  
    148.       
    149.     public static List getFiltParamNames(String url){  
    150.         //获取需要xss过滤的参数  
    151.         url = url.toLowerCase();  
    152.         List paramNameList = (ArrayList) urlPatternMap.get(url);  
    153.         if(paramNameList==null || paramNameList.size()==0){  
    154.             return null;  
    155.         }  
    156.         return paramNameList;  
    157.     }  
    158.       
    159.     public static void filtRequestParams(Map params,String servletPath){  
    160.         long t1=System.currentTimeMillis();  
    161.         //得到需要过滤的参数名列表,如果列表是空的,则表示过滤所有参数  
    162.         List filtParamNames=XssSecurityManager.getFiltParamNames(servletPath);  
    163.         filtRequestParams(params, filtParamNames);  
    164.     }  
    165.       
    166.     public static void filtRequestParams(Map params,List filtParamNames){  
    167.         // 获取当前参数集  
    168.         Set parameterNames = params.keySet();  
    169.         Iterator it = parameterNames.iterator();  
    170.         //得到需要过滤的参数名列表,如果列表是空的,则表示过滤所有参数  
    171.           
    172.         while (it.hasNext()) {  
    173.             String paramName = (String) it.next();  
    174.             if(filtParamNames==null || filtParamNames.contains(paramName) ){  
    175.                 String[] values = (String[])params.get(paramName);  
    176.                 proceedXss(values);  
    177.             }  
    178.         }  
    179.     }  
    180.   
    181.       
    182.   
    183.     /** 
    184.      * 对参数进行防止xss漏洞处理 
    185.      *  
    186.      * @param value 
    187.      * @return 
    188.      */  
    189.     private static void proceedXss(String[] values) {  
    190.         for (int i = 0; i < values.length; ++i) {  
    191.             String value = values[i];  
    192.             if (!isNullStr(value)) {  
    193.                 values[i] = replaceSpecialChars(values[i]);  
    194.             }  
    195.         }  
    196.     }  
    197.   
    198.     /** 
    199.      * 替换非法字符以及危险关键字 
    200.      *  
    201.      * @param str 
    202.      * @return 
    203.      */  
    204.     private static String replaceSpecialChars(String str) {  
    205.         for (int j = 0; j < INVALID_CHARS.length; ++j) {  
    206.             if (str.indexOf(INVALID_CHARS[j]) >= 0) {  
    207.                 str = str.replace(INVALID_CHARS[j], VALID_CHARS[j]);  
    208.             }  
    209.         }  
    210.         str=str.trim();  
    211.         for (int i = 0; i < DANGEROUS_TOKENS.length; ++i) {  
    212.             str = DANGEROUS_TOKENS[i].matcher(str).replaceAll(  
    213.                     DANGEROUS_TOKEN_REPLACEMENTS[i]);  
    214.         }  
    215.   
    216.         return str;  
    217.     }  
    218.   
    219.     /** 
    220.      * 判断是否为空串,建议放到某个工具类中 
    221.      *  
    222.      * @param value 
    223.      * @return 
    224.      */  
    225.     private static boolean isNullStr(String value) {  
    226.         return value == null || value.trim().length()==0;  
    227.     }  
    228.       
    229.     public static void main(String args[]) throws Exception{  
    230.         Map datas=new HashMap();  
    231.         String paramName="test";  
    232.         datas.put(paramName,new String[]{ "Javascript:<script>alert('yes');</script>"});  
    233.         filtRequestParams(datas,"/test/sample.do");  
    234.         System.out.println(((String[])datas.get(paramName))[0]);  
    235.     }  
    236.       
    237.       
    238. }  

转载于:https://www.cnblogs.com/cxxjohnson/p/7289227.html

dht91597
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java过滤xss_Java对类进行XSS过滤
weixin_36253537的博客
02-12 839
Jackson对返回数据进行XSS过滤定义一个类继承ObjectMapperpackage demo;import com.fasterxml.jackson.core.JsonGenerator;import com.fasterxml.jackson.core.JsonProcessingException;import com.fasterxml.jackson.core.Version;i...
java过滤xss_java处理XSS过滤方法
weixin_32533659的博客
02-12 1888
如果系统,没有富文本编辑器的功能,那么对于XSS过滤可以采用如下方式过滤如果采用了struts2,那么需要重写StrutsRequestWrapper如果没有采用struts2,那么直接重写HttpServletRequestWraper在自定义的HttpServletRequestWraper需要重写getParameterMap()方法才行,如下:@Overridepublic Map g...
Java使用过滤器防止XSS脚本注入
踮脚敲代码
12-17 6603
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
Java Filter过滤XSS注入非法参数
小猴子的博客
05-27 1544
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。   web.xml配置 <web
java过滤有可能的xss攻击的参数
zhongyangjian的专栏
10-20 1625
public boolean checkXssChar(String s){         if(s != null){             String [] str = {"","\"","'","(",")"};             for (String string : str) {                 if(s.indexOf(string) != -1)
预防XSS攻击和SQL注入XssFilter
07-23
<filter-name>XssFilter</filter-name> <filter-class>com.xxx.Filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssFilter</filter-name> <url-pattern>/* </filter-mapping>
SpringBoot整合XssFilter,Jsoup等实现请求参数过滤,处理Xss攻击及sql注入
阿啄debugIT
02-09 2138
前言 SpringBoot整合XssFilter,Jsoup等实现请求参数过滤,处理Xss攻击及sql注入,以下是涉及的主要类: 原理过程 Springboot会使用FilterRegistrationBean来注册FilterFilter是Servlet规范里面的,属于容器范围,Springboot没有web.xml,那Springboot,不用管Filter是如何交给Ser...
java 请求参数过滤拦截
03-10
这里的“java请求参数过滤拦截”主要是指在接口接收到用户输入的数据时,通过过滤器(Filter)对参数进行检查,防止恶意攻击者利用特殊字符执行SQL注入、跨站脚本攻击(XSS)等危害。下面我们将详细探讨这一主题。 ...
java 过滤非法字符_Java正则表达式过滤并消除非法字符
weixin_33102135的博客
02-16 2259
package sd;import java.util.regex.Matcher;import java.util.regex.Pattern;/**** @author 大汉**/public class P {public static void main(String[] args) {// 除了字母数字下划线之外的字符为非法字符Pattern pattern = Pattern.comp...
java的xxsProtect过滤xss
05-19
java过滤xss工具,xxsProtect. 根目录XSS/bin文件夹下有所有的jar包. 根目录XSS/com/start.java文件是例子. 过滤字符串至少要有html显示标签.
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
Java简单的XSS过滤方法
热门推荐
IT界迷者Blog--
10-17 1万+
Java简单的XSS过滤方法 因为某甲方程序XSS过滤类一直没起作用,所以百度了下,简单的写了个参数XSS过滤方法。。。。。上代码~~ import java.io.UnsupportedEncodingException; import java.net.URLDecoder; public class Xss { public static void main(String[] ar...
java过滤xss_java XSS漏洞过滤
weixin_36053084的博客
02-12 1369
利用 Javaxssprotect(Open Source Library)对出现 xss 漏洞的参数进行过滤。项目web.xml配置过滤器:xssAndSqlFiltercom.tp.XSS.XssHttpServletFilterisFiltertruexssAndSqlFilter/*java代码:package com.tp.XSS;import java.io.IOExceptio...
JAVA代码审计XSSFilter动态代理过滤
最新发布
Karka_的博客
09-14 821
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss所以拿出来给大家进行简单分析,后续通过动态代理进行过滤
java防止xss攻击(过滤器)
meat_eating的博客
11-08 3047
java防止xss攻击
java过滤过滤xss_Java 审计 之过滤器防御xss
weixin_39615956的博客
02-24 601
Java 审计 之过滤器防御xss0x00 前言本文从攻击与防守两个角度来思考一些审计的小细节。在前面两篇的xss审计,写少了一个比较重要的点,就是Filter过滤器。都说Java的审计第一步就是先看web.xml,能看到该cms使用的是哪些框架来进行开发。其次就是看其有没有配置的一些过滤器。审计文章:0x01 Filter防御xss关于过滤器的内容,在Java学习系列文章,其实已经讲到了。...
Java过滤XSS脚本攻击记录一下
qq_41665452的博客
05-11 2513
背景 之前公司信息安全部门对公司项目进行网络安全升级时,发现项目里可能会出现XSS脚本攻击漏洞,所以就需要对其参数进行过滤拦截。 XSS 百度百科:XSS攻击全称:cross site scripting(这里是为了和CSS区分,所以叫XSS),跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器执行其预定义的恶意脚本
java filter实现xss过滤
03-29
XSS(跨站脚本)攻击是一种常见的web漏洞,攻击者通过在web页面注入恶意脚本来获取用户的敏感信息或控制用户的浏览器。为了防止XSS攻击,我们需要对用户输入的内容进行过滤和转义。 在Java,可以使用Filter来实现XSS过滤。具体实现如下: 1. 创建一个Filter类,实现javax.servlet.Filter接口。 2. 在doFilter方法,获取HttpServletRequest对象,并使用XSS过滤工具对用户输入的参数进行过滤。 3. 在过滤完成后,将HttpServletRequest对象传递给FilterChain对象,继续处理请求。 下面是一个简单的XSS过滤Filter的实现: ``` public class XSSFilter implements Filter { public void init(FilterConfig filterConfig) throws ServletException { // 初始化操作 } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse resp = (HttpServletResponse) response; // 对参数进行XSS过滤 Map<String, String[]> parameterMap = req.getParameterMap(); for (String key : parameterMap.keySet()) { String[] values = parameterMap.get(key); for (int i = 0; i < values.length; i++) { values[i] = XSSUtils.stripXSS(values[i]); } parameterMap.put(key, values); } // 继续处理请求 chain.doFilter(req, resp); } public void destroy() { // 销毁操作 } } ``` 在上述代码XSSUtils.stripXSS方法XSS过滤工具类的实现,可以使用第三方库或自己实现。在这里,我们使用了OWASP ESAPI库XSS过滤方法: ``` public class XSSUtils { public static String stripXSS(String value) { if (value != null) { // 使用ESAPI库进行XSS过滤 value = ESAPI.encoder().canonicalize(value); value = ESAPI.encoder().encodeForHTML(value); } return value; } } ``` 通过以上实现,我们就可以在web应用程序使用XSS过滤Filter来防止XSS攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值