Xss、Sql、Emoji过滤器+SpringMVC JSON过滤

最新推荐文章于 2022-02-17 10:13:21 发布
最新推荐文章于 2022-02-17 10:13:21 发布
阅读量1.7k 收藏
点赞数 2
分类专栏: Java 文章标签: spring mvc json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q826qq1878/article/details/78730979
版权

Xss/sql/emoji过滤

在客户端(网页、APP)请求时。 有一些会点技术的坏蛋总想试试脚本、sql注入。

当然了还有无聊的人会录入emoji表情~

大家知道emoji表情mysql数据库默认的配置。存进去会报错。

原因的话。。自行去百度。。

这里emoji过滤使用的是git上开源的一个项目

https://github.com/vdurmont/emoji-java

XSS/SQL过滤是网上随便翻的一个例子~

好了。废话不多说上代码就完了 老铁!

Filter源码

WEB.XML自己配置一下啊。 不贴代码了

package com.yunxin.iambuyer.filter;

import com.vdurmont.emoji.EmojiParser;

import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * @Author 93年颈椎病人
 * @Date 20171206
 * XSS SQL EMOJI过滤
 */
public class XssAndSqlAndEmojiHttpServletRequestWrapper extends HttpServletRequestWrapper {

    HttpServletRequest orgRequest = null;

    public XssAndSqlAndEmojiHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        orgRequest = request;
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss & sql过滤。<br/>
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name) {
        //过滤XSS SQL
        String value = super.getParameter(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }

        //过滤emoji表情
        value = EmojiParser.removeAllEmojis(value);
        return value;
    }

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss & sql过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {

        String value = super.getHeader(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }

    /**
     * 将容易引起xss & sql漏洞的半角字符直接替换成全角字符
     *
     * @param s
     * @return
     */
    private static String xssEncode(String s) {
        if (s == null || s.isEmpty()) {
            return s;
        }else{
            s = stripXSSAndSql(s);
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
                case '>':
                    sb.append(">");// 转义大于号
                    break;
                case '<':
                    sb.append("<");// 转义小于号
                    break;
                case '\'':
                    sb.append("'");// 转义单引号
                    break;
                case '\"':
                    sb.append(""");// 转义双引号
                    break;
                case '&':
                    sb.append("&");// 转义&
                    break;
                case '#':
                    sb.append("#");// 转义#
                    break;
                default:
                    sb.append(c);
                    break;
            }
        }
        return sb.toString();
    }
/*
    *//**
     * 获取最原始的request
     *
     * @return
     *//*
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    *//**
     * 获取最原始的request的静态方法
     *
     * @return
     *//*
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
        if (req instanceof XssAndSqlAndEmojiHttpServletRequestWrapper) {
            return ((XssAndSqlAndEmojiHttpServletRequestWrapper) req).getOrgRequest();
        }

        return req;
    }*/

    /**
     *
     * 防止xss跨脚本攻击(替换,根据实际情况调整)
     */

    public static String stripXSSAndSql(String value) {
        if (value != null) {
            // NOTE: It's highly recommended to use the ESAPI library and
            // uncomment the following line to
            // avoid encoded attacks.
            // value = ESAPI.encoder().canonicalize(value);
            // Avoid null characters
/**         value = value.replaceAll("", "");***/
            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<[\r\n| | ]*script[\r\n| | ]*>(.*?)</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e-xpression
            scriptPattern = Pattern.compile("src[\r\n| | ]*=[\r\n| | ]*[\\\"|\\\'](.*?)[\\\"|\\\']", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<[\r\n| | ]*script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid eval(...) expressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid e-xpression(...) expressions
            scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid javascript:... expressions
            scriptPattern = Pattern.compile("javascript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid vbscript:... expressions
            scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid onload= expressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }

}

接下来贴SpringMVC-JSON解析的源码

大家知道一般在SpringMVC配置JSON解析器都是

MappingJacksonHttpMessageConverter

MappingJackson2HttpMessageConverter

AbstractHttpMessageConverter

AbstractHttp2MessageConverter

这里就不多废话了。 也不贴springMVC的配置文件了。 直接贴处理代码

package com.yunxin.iambuyer.common.converter;

import com.vdurmont.emoji.EmojiParser;
import org.codehaus.jackson.JsonEncoding;
import org.codehaus.jackson.JsonGenerationException;
import org.codehaus.jackson.JsonGenerator;
import org.codehaus.jackson.JsonParseException;
import org.codehaus.jackson.map.ObjectMapper;
import org.codehaus.jackson.type.JavaType;
import org.springframework.http.HttpInputMessage;
import org.springframework.http.HttpOutputMessage;
import org.springframework.http.MediaType;
import org.springframework.http.converter.HttpMessageNotReadableException;
import org.springframework.http.converter.HttpMessageNotWritableException;
import org.springframework.http.converter.json.MappingJacksonHttpMessageConverter;

import java.io.IOException;
import java.nio.charset.Charset;

/**
 * Replaces Spring's {@link org.springframework.http.converter.json.MappingJacksonHttpMessageConverter}, which is
 * difficult to configure for pretty-printing.  This implementation enables pretty-printing easily via a setter/getter.
 * <p/>
 * See <a href="http://stackoverflow.com/questions/6541757/when-using-spring-mvc-for-rest-how-do-you-enable-jackson-to-pretty-print-render">
 *     When using Spring MVC for REST, how do you enable Jackson to pretty-print rendered JSON?</a> and the latest
 *     <a href="https://gist.github.com/2423129">Spring Framework incarnation supporting pretty printing</a>
 *     (not yet released at the time of writing).
 *
 * @author Les Hazlewood
 */
public class DefaultJacksonHttpMessageConverter extends MappingJacksonHttpMessageConverter {

    public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8");

    private ObjectMapper objectMapper = new ObjectMapper();
    private boolean prefixJson = false;
    private boolean prettyPrint = false;

    /**
     * Construct a new {@code DefaultJacksonHttpMessageConverter}.
     */
/*    public DefaultJacksonHttpMessageConverter() {
        super(new MediaType("application", "json", DEFAULT_CHARSET));
    }*/

    @Override
    public boolean canRead(Class<?> clazz, MediaType mediaType) {
        JavaType javaType = getJavaType(clazz);
        return objectMapper.canDeserialize(javaType) && canRead(mediaType);
    }

    @Override
    public boolean canWrite(Class<?> clazz, MediaType mediaType) {
        return objectMapper.canSerialize(clazz) && canWrite(mediaType);
    }

    /**
     * Returns the Jackson {@link JavaType} for the specific class.
     * <p/>
     * <p>Default implementation returns {@link org.codehaus.jackson.map.type.TypeFactory#type(java.lang.reflect.Type)}, but this can be overridden
     * in subclasses, to allow for custom generic collection handling. For instance:
     * <pre class="code">
     * protected JavaType getJavaType(Class&lt;?&gt; clazz) {
     * if (List.class.isAssignableFrom(clazz)) {
     * return TypeFactory.collectionType(ArrayList.class, MyBean.class);
     * } else {
     * return super.getJavaType(clazz);
     * }
     * }
     * </pre>
     *
     * @param clazz the class to return the java type for
     * @return the java type
     */
  /*  protected JavaType getJavaType(Class<?> clazz) {
        return TypeFactory.type(clazz);
    }
*/
    @Override
    protected Object readInternal(Class<?> clazz, HttpInputMessage inputMessage)
            throws IOException, HttpMessageNotReadableException {
        JavaType javaType = getJavaType(clazz);
        try {
            Object obj =  objectMapper.readValue(inputMessage.getBody(), javaType);
            //转成Str进行过滤emoji
            String emojiStr = super.getObjectMapper().writeValueAsString(obj);
            emojiStr = EmojiParser.removeAllEmojis(emojiStr);
            //在转成Obj
            obj = super.getObjectMapper().readValue(emojiStr, javaType);
            return obj;
        } catch (JsonParseException ex) {
            throw new HttpMessageNotReadableException("Could not read JSON: " + ex.getMessage(), ex);
        }
    }

    @Override
    protected boolean supports(Class<?> clazz) {
        // should not be called, since we override canRead/Write instead
        throw new UnsupportedOperationException();
    }

    @Override
    protected void writeInternal(Object o, HttpOutputMessage outputMessage)
            throws IOException, HttpMessageNotWritableException {
        JsonEncoding encoding = getEncoding(outputMessage.getHeaders().getContentType());
        JsonGenerator jsonGenerator =
                getObjectMapper().getJsonFactory().createJsonGenerator(outputMessage.getBody(), encoding);
        try {
            if (prefixJson) {
                jsonGenerator.writeRaw("{} && ");
            }
            if (isPrettyPrint()) {
                jsonGenerator.useDefaultPrettyPrinter();
            }
            getObjectMapper().writeValue(jsonGenerator, o);
        } catch (JsonGenerationException ex) {
            throw new HttpMessageNotWritableException("Could not write JSON: " + ex.getMessage(), ex);
        }
    }

    private JsonEncoding getEncoding(MediaType contentType) {
        if (contentType != null && contentType.getCharSet() != null) {
            Charset charset = contentType.getCharSet();
            for (JsonEncoding encoding : JsonEncoding.values()) {
                if (charset.name().equals(encoding.getJavaName())) {
                    return encoding;
                }
            }
        }
        return JsonEncoding.UTF8;
    }

/*    public ObjectMapper getObjectMapper() {
        return objectMapper;
    }*/

    /**
     * Sets the {@code ObjectMapper} for this view. If not set, a default
     * {@link ObjectMapper#ObjectMapper() ObjectMapper} is used.
     * <p>Setting a custom-configured {@code ObjectMapper} is one way to take further control of the JSON serialization
     * process. For example, an extended {@link org.codehaus.jackson.map.SerializerFactory} can be configured that provides
     * custom serializers for specific types. The other option for refining the serialization process is to use Jackson's
     * provided annotations on the types to be serialized, in which case a custom-configured ObjectMapper is unnecessary.
     *
     * @param objectMapper -
     */
 /*   public void setObjectMapper(ObjectMapper objectMapper) {
        Assert.notNull(objectMapper, "'objectMapper' must not be null");
        this.objectMapper = objectMapper;
    }*/

    public boolean isPrettyPrint() {
        return prettyPrint;
    }

    public void setPrettyPrint(boolean prettyPrint) {
        this.prettyPrint = prettyPrint;
    }

    /**
     * Indicates whether the JSON output by this view should be prefixed with "{} &&". Default is false.
     * <p> Prefixing the JSON string in this manner is used to help prevent JSON Hijacking. The prefix renders the string
     * syntactically invalid as a script so that it cannot be hijacked. This prefix does not affect the evaluation of JSON,
     * but if JSON validation is performed on the string, the prefix would need to be ignored.
     *
     * @param prefixJson -
     */
 /*   public void setPrefixJson(boolean prefixJson) {
        this.prefixJson = prefixJson;
    }*/
}

实际重点就是

重写 readInternal 方法
通过MappingJacksonHttpMessageConverter类中的方法
super.getObjectMapper().writeValueAsString(obj);
将返回的对象转换成Str

在使用Emoji工具类进行替换。在转换成Obj进行返回。 

 @Override
    protected Object readInternal(Class<?> clazz, HttpInputMessage inputMessage)
            throws IOException, HttpMessageNotReadableException {
        JavaType javaType = getJavaType(clazz);
        try {
            Object obj =  objectMapper.readValue(inputMessage.getBody(), javaType);
            //转成Str进行过滤emoji
            String emojiStr = super.getObjectMapper().writeValueAsString(obj);
            emojiStr = EmojiParser.removeAllEmojis(emojiStr);
            //在转成Obj
            obj = super.getObjectMapper().readValue(emojiStr, javaType);
            return obj;
        } catch (JsonParseException ex) {
            throw new HttpMessageNotReadableException("Could not read JSON: " + ex.getMessage(), ex);
        }
    }

over~

祝大家过滤愉快~

93年颈椎病人
关注
专栏目录
SpringMVC Emoji表情增删改
12-07
由于需要实现emoji表情评论的功能,所以数据库需要支持emoji表情的存储,根据查询的资料最终实现了该功能,现将实现的代码分享出来,供大家参考和交流。 代码已上传至码云:https://gitee.com/shaisxx/EmojiDemo.git
java web Xsssql注入过滤器.zip
04-22
本项目"java web Xsssql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
springmvc使用过滤器filter实现过滤XSSSQL脚本等功能
chenghuagui9785的博客
05-31 1116
springmvc使用过滤器filter实现过滤XSSSQL脚本等功能,然后在初始化init方法加载需要过滤XSS,SQL脚本配置, package com.csair.csm.web.filter; import java.io.IOException; import java...
SpringMVC中使用过滤器(Filter)过滤容易引发XSS的危险字符
m0_45446516的博客
03-16 701
SpringMVC中使用过滤器(Filter)过滤容易引发XSS的危险字符 一 简介 如题所示,如果不在服务端对用户的输入信息进行过滤,然后该参数又直接在前台页面中展示,毫无疑问将会容易引发XSS攻击(跨站脚本攻击),比如说这样: form表单中有这么一个字段: <input type="text" id="author" name="author" placeholder="昵称" /&...
spring mvc xss html,spring mvc 过滤跨站(XSS)的一个方法
weixin_42283048的博客
07-01 530
spring mvc 过滤跨站的一个方法XSS 是我们在工作中经常遇到的东西。让每个开发者都注意到这块的东西很不容易。很多开发者都不知道 什么是 XSS;对于这块的防护。我们一般都是用一个全局过滤器来处理 request 信息,挨个遍历替换处理危险内容。然后再保存到数据库。这样的实现网上有很多例子。下面我这针对spring mvc 过滤xss分享的一个小方法。。方法出处 stackoverflow...
Xss漏洞拦截处理
pshaoyi的专栏
02-17 6413
描述 XSS(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 思路 基于filter拦截,将特殊字符替换为html转意字符 (如: "<" 转意为 "&lt;") , 需要拦截的点如下: 请求头.
java过滤器,防止XSSSQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
基于Java的高级XSS攻击过滤器设计源码
最新发布
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
spring+springmvc+mybatis OA考勤管理系统带mysql数据库
04-09
此外,还需要考虑系统的安全性,如使用HTTPS协议、防止SQL注入、XSS攻击等。 总之,基于SSM框架的OA考勤管理系统结合MySQL数据库,为企业提供了一套高效、可靠的考勤管理解决方案。开发者可以根据实际需求对系统...
Spring-MVC处理XSSSQL注入攻击的方法总结
11-14
Spring-MVC处理XSSSQL注入攻击的方法总结
Spring4.2.9+mybatis3.4.4集成(整合Jackson、防御XSS版)支持JDK1.6、Tomcat6
05-12
如果您基于Java6(JDK1.6)开发项目,这应该是目前最新的版本了。
SpringMVC 防止XSS 工具(常规方式)
zhouzhiwengang的专栏
04-13 736
要求: xss过滤请求的参数:Content-Type为 json(application/json) SpringMVC 对于application/json 转换处理说明: spring mvc默认使用MappingJackson2HttpMessageConverter转换器, 而它是使用jackson来序列化对象的,如果我们能 将jackson的序列化和反序列化过程修改,加入过滤xs...
SpringMvc如何进行XSS攻击过滤
热门推荐
zzzgd_666的博客
05-23 1万+
随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其中加入脚本。 比如我在表单文本框中,输入 &amp;lt;script&amp;gt;alert(233)&amp;lt;/script&amp;gt; 那么当这条消息存到数据库,再次在页面上访问获取数据的时候,就会弹出弹窗. 很多网站为了避免XSS的攻击,对用户的输入都采...
springMVC通过Filter实现防止xss注入
严老板的技术梦想博客
10-24 2168
XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输...
spingMVC xss攻击过滤
浅灰色、邂逅的博客
06-04 376
1 . 在web.xml中添加Filter <filter> <filter-name>XssFilter</filter-name> <filter-class>com.xbz.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssFilter</fil
深入浅出Spring MVC
方丈的寺院
05-31 1199
Spring MVC 的常见扩展点 工作原理 基于java的MVC框架众多,早些年比较火的有struts,spring mvc 常见扩展点 HandlerMapping接口 – 处理请求的映射 保存请求url到具体的方法的映射关系,,我们可以编写任意的HandlerMapping实现类,依据任何策略来决定一个web请求到HandlerExecutionChain对象的生成。 SpirngMVC的第二个扩展点 HandlerInterceptor 接口--拦截器 HandlerIntercep.
EmojiSpring 通过注解 处理 转换 Emoji
我是Superman丶的博客
05-27 487
依赖 <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>4.5.6</version> </dependency> <dependency> <groupId>com.vdurmont</groupId&gt...
彻底解决Spring MVC XSS注入问题
zhuangnet的博客
12-07 1万+
彻底解决Spring MVC关于XSS注入问题,以改动和影响最小的方式实现。
Java过滤器防御XSSSQL注入实战
"本文介绍了如何使用Java过滤器来防范XSS跨站脚本攻击和SQL注入攻击,通过在web.xml配置文件中定义过滤器,并编写相应的Filter实现类来拦截和处理恶意输入,保护Web应用程序的安全性。" 在Web开发中,安全性是至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值