javaweb-使用过滤器实现文本净化和字符转义

本文介绍了如何在JavaWeb应用中使用过滤器(Filter)进行文本内容净化,防止XSS攻击,同时讲解了字符转义的实现方法,确保用户输入的安全性。
摘要由CSDN通过智能技术生成
问题:
在处理用户提交的内容时,可能会有一些特殊字符,显示这些内容时可能导致界面混乱;
在用户评论中会有一些污言秽语,需要进行净化处理;
我不想修改原有的程序实现字符替换,这该如何实现?

解决方案:
可以用过滤器解决问题,程序需要用到包装类,包装类是一种装饰器模式:不改变原有的类,为其添加新的功能;
servlet提供了4个包装类
ServletRequestWrapper
HttpServletRequestWrapper
HttpServletResponseWrapper
HttpServletResponseWrapper

我们可以通过重写request的方法getParameter() 获取请求内容,并实现字符转义
为了净化用户评论等信息,需要获取这些响应内容,由于响应内容是通过字符(PrintWriter) 或字节(ServletOutputStream)流对象传输到客户端的,而字符或者字节流对象
是通过reponse的getWriter 或者getOutputStream 方法获取的.
于是,我们可以重写这两个方法,并且使响应内容写入ByteArrayOutputStream中,再通过它的方法getByteArray 得到响应内容.具体方法见java代码;
//
程序使用文件WebRoot/WEB-INF/word.txt 保存替换文本内容:
--------------------------------------------------
我靠=我*
fuck=****
他妈的=他**
--------------------------------------------------

1.编写类 ByteArrayServletOutputStream

package Filter;

// 用这个类替换ServletOutputStream
import java.io.ByteArrayOutputStream;
import java.io.IOException;

import javax.servlet.ServletOutputStream;
public class ByteArrayServletOutputStream extends ServletOutputStream {
	ByteArrayOutputStream baos;
	public void write(int b) throws IOException {
		
		baos.write(b);
	}
	public ByteArrayServletOutputStream(ByteArrayOutputStream baos) {
		this.baos = baos;
	}
}

2.编写 MyRequestWrapper

package Filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class MyRequestWrapper extends HttpServletRequestWrapper {
	public MyRequestWrapper(HttpServletRequest request) {
		super(request);
	}
	
	@Override
	public String getParameter(String name) {
		String value = super.getParameter(name);
		if(value!=null){
			return toHtml(value.trim());
		}else{
			return null;
		}
	}
	
	//转化特殊字符
	public String toHtml(String str){
		if(str==null){
			return null;
		}
		StringBuffer sb = new StringBuffer();
		int len = str.length();
		for(int i=0;i<l
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值