java模拟Filter,FilterChain的实现

有这样一个应用场景,对于传入后台的Request和返回页面的Response信息,如果页面的Request带有敏感信息或危险字符串,就会对系统造成影响,所以我们会写过滤器(Filter)处理Request,不同的信息处理会有不同的处理方式,如果我们只用一个Filter来处理所有的信息,扩展性就不够强,所以会针对不同的信息处理写不同的Filter,然后把Filter放在一个FilterChain中,以实现信息处理的“热拔插”,这样一个FilterChain就像一条职责链,链上的每个节点处理不同的功能,同时对于Response我们希望能以Resuest处理的倒序进行返回处理,以达到完全过滤敏感信息的效果,功能图如下所示。

  AFilter到DFilter构成了一个FilterChain。

  现在来模拟这个Servlet中的FilterChain。

  首先定义接口Filter,因为所有的Filter必须遵循这个规范,才能装载在FilterChain中。

  

1 public interface Filter {
2     void doFilter(Request request,Response response,FilterChain chain);
3 }

 

  接下来,编写FilterChain以及各个Filter。

  

复制代码
 1 public class FilterChain implements Filter{
 2     List<Filter> fs = new ArrayList<Filter>();
 3     int index = 0;
 4     
 5     
 6     public FilterChain addFilter(Filter f) {
 7         fs.add(f);
 8         return this;
 9     }
10     
11 
12     @Override
13     public void doFilter(Request request, Response response,FilterChain chain) {
14         if(index == fs.size()) return;
15         Filter f = fs.get(index);
16         index ++;
17         f.doFilter(request, response, chain);
18     }
19     
20     
21 }
复制代码
复制代码
 1 public class HTMLFilter implements Filter {
 2 
 3 
 4     @Override
 5     public void doFilter(Request request, Response response,FilterChain chain) {
 6         request.requestStr = request.requestStr.replace("<", "[").replace(">", "]") + "--HTML--";
 7         chain.doFilter(request, response, chain);
 8         response.responseStr += "--HTML--";
 9     }
10 }
复制代码
复制代码
 1 public class SensitiveFilter implements Filter {
 2 
 3 
 4     @Override
 5     public void doFilter(Request request, Response response,FilterChain chain) {
 6         request.requestStr = request.requestStr.replace("被就业", "就业").replace("敏感", "**") + "--Sensitive--";
 7         chain.doFilter(request, response, chain);
 8         response.responseStr += "--Sensitive--";
 9     }
10 
11     
12 }
复制代码

  最后测试类。

  

复制代码
 1 public class Test {
 2 
 3     /**
 4      * @param args
 5      */
 6     public static void main(String[] args) {
 7         String msg = "测试,<script>,被就业,敏感信息";
 8         FilterChain fc = new FilterChain();
 9         fc.addFilter(new HTMLFilter()).addFilter(new SensitiveFilter());
10         Request request = new Request();
11         request.setRequestStr(msg);
12         Response response = new Response();
13         response.setResponseStr("response");
14         fc.doFilter(request, response,fc);
15         System.out.println(request.getRequestStr());
16         System.out.println(response.getResponseStr());
17     }
18 
19 }
复制代码

 

  测试结果如下(箭头为Filter走向):

  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS(跨站脚本)攻击是一种常见的web漏洞,攻击者通过在web页面中注入恶意脚本来获取用户的敏感信息或控制用户的浏览器。为了防止XSS攻击,我们需要对用户输入的内容进行过滤和转义。 在Java中,可以使用Filter实现XSS过滤。具体实现如下: 1. 创建一个Filter类,实现javax.servlet.Filter接口。 2. 在doFilter方法中,获取HttpServletRequest对象,并使用XSS过滤工具对用户输入的参数进行过滤。 3. 在过滤完成后,将HttpServletRequest对象传递给FilterChain对象,继续处理请求。 下面是一个简单的XSS过滤Filter实现: ``` public class XSSFilter implements Filter { public void init(FilterConfig filterConfig) throws ServletException { // 初始化操作 } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse resp = (HttpServletResponse) response; // 对参数进行XSS过滤 Map<String, String[]> parameterMap = req.getParameterMap(); for (String key : parameterMap.keySet()) { String[] values = parameterMap.get(key); for (int i = 0; i < values.length; i++) { values[i] = XSSUtils.stripXSS(values[i]); } parameterMap.put(key, values); } // 继续处理请求 chain.doFilter(req, resp); } public void destroy() { // 销毁操作 } } ``` 在上述代码中,XSSUtils.stripXSS方法是XSS过滤工具类的实现,可以使用第三方库或自己实现。在这里,我们使用了OWASP ESAPI库中的XSS过滤方法: ``` public class XSSUtils { public static String stripXSS(String value) { if (value != null) { // 使用ESAPI库进行XSS过滤 value = ESAPI.encoder().canonicalize(value); value = ESAPI.encoder().encodeForHTML(value); } return value; } } ``` 通过以上实现,我们就可以在web应用程序中使用XSS过滤Filter来防止XSS攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值