特殊字符过滤

最新推荐文章于 2023-11-07 08:00:00 发布
最新推荐文章于 2023-11-07 08:00:00 发布
阅读量2.7k 收藏 4
点赞数
分类专栏: 过滤器 文章标签: 过滤器 跨站点请求伪造 字符过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16126621/article/details/89715965
版权

由于跨站脚本会导致会话被劫持、敏感信息泄漏、账户被盗,严重时甚至造成数据修改、删除,从而导致业务中断,因此需检测跨站脚本是否存在

1.web.xml配置

	<!-- Character Encoding filter -->
	<filter>
		<filter-name>encodingFilter</filter-name>
		<filter-class>com.harmony.system.security.filter.uCharacterEncodingFilter</filter-class>
		<init-param>
			<param-name>encoding</param-name>
			<param-value>UTF-8</param-value>
		</init-param>
		<init-param>     
	      <!-- 反SQL注入标记 : 用于移动端接口操作数据库时使用,值可自由调整,需与移动端传入参数值一致-->
	      <param-name>apphttp</param-name>
	      <param-value>20190430hm</param-value>
	    </init-param>
	 </filter>
	<filter-mapping>
		<filter-name>encodingFilter</filter-name>
		<url-pattern>/*</url-pattern>
		<dispatcher>REQUEST</dispatcher>
		<dispatcher>FORWARD</dispatcher>
	</filter-mapping>
	<!-- -->
	<filter>
		<filter-name>SessionValidateFilter</filter-name>
		<filter-class>com.harmony.system.security.filter.SessionValidateFilter</filter-class>
	</filter>

2.uCharacterEncodingFilter.java

public class uCharacterEncodingFilter implements Filter {
	protected String encoding = null;
	protected FilterConfig filterConfig = null;
	protected boolean ignore = true;
	public void destroy() {
		this.encoding = null;
		this.filterConfig = null;		
	}

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain)	throws IOException, ServletException {
//		 Conditionally select and set the character encoding to be used
		if (ignore || (request.getCharacterEncoding() == null)) 
		{
			String encoding = selectEncoding(request);
			if (encoding != null)
				request.setCharacterEncoding(encoding);
		}
//		 Pass control on to the next filter
		//00  //对请求进行拦截,防xss处理 ,apphttp 为移动端传入SQL的特定标志
		String apphttp = filterConfig.getInitParameter("apphttp");		
		request.setAttribute("apphttp", apphttp);
		chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
		//chain.doFilter( request, response);
	}

	public void init(FilterConfig filterConfig) throws ServletException 
	{
		this.filterConfig = filterConfig;
		this.encoding = filterConfig.getInitParameter("encoding");
		String value = filterConfig.getInitParameter("ignore");
		if (value == null)
			this.ignore = true;
		else if (value.equalsIgnoreCase("true"))
			this.ignore = true;
		else if (value.equalsIgnoreCase("yes"))
			this.ignore = true;
		else
			this.ignore = false;
	}

	protected String selectEncoding(ServletRequest request) {
		return (this.encoding);
	}
}

3.XssHttpServletRequestWrapper.java

/**
 * 跨站脚本攻击(Cross Site Scripting),缩写为XSS
 * xss请求适配器
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
		
    private String apphttp = "";// 移动端SQL 传入标志
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        this.apphttp =  request.getAttribute("apphttp").toString();        
    }

    /**
     * 对数组参数进行特殊字符过滤
     */
    @Override
    public String[] getParameterValues(String name) {
    	//00 sql 反注入排除法, 排除特定的SQL 传递者    	
    	if(!uFunc.IsNullString(super.getParameter("apphttp"))){
    		String aa = uFunc.getString(super.getParameter("apphttp")) ;
    		if(aa.equalsIgnoreCase(apphttp)){    			
    		 return super.getParameterValues(name);
    		}
    	}
    	//00
        String[] values = super.getParameterValues(name);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    /**
     * 对参数中特殊字符进行过滤
     */
    @Override
    public String getParameter(String name) {
    	//00 sql 反注入排除法, 排除特定的SQL 传递者
    	if(!uFunc.IsNullString(super.getParameter("apphttp"))){
    		String aa = uFunc.getString(super.getParameter("apphttp")) ;
    		if(aa.equalsIgnoreCase(apphttp)){
    		 return super.getParameter(name);
    		}
    	}
        String value = super.getParameter(name);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    /**
     * 获取attribute,特殊字符过滤
     */
    @Override
    public Object getAttribute(String name) {
    	//00 sql 反注入排除法, 排除特定的SQL 传递者    	
    	if(!uFunc.IsNullString(super.getParameter("apphttp"))){
    		String aa = uFunc.getString(super.getParameter("apphttp")) ;
    		if(aa.equalsIgnoreCase(apphttp)){
    		 return super.getAttribute(name);
    		}
    	}
        Object value = super.getAttribute(name);
        if (value != null && value instanceof String) {
            cleanXSS((String) value);
        }
        return value;
    }

    /**
     * 对请求头部进行特殊字符过滤
     */
    @Override
    public String getHeader(String name) {
    	
        String value = super.getHeader(name);
        if (value == null) {
            return null;
        }
        return value;
        //return cleanXSS(value);
    }

    /**
     * 转义字符,使用该方法存在一定的弊端
     * 
     * @param value
     * @return
     */
    private String cleanXSS2(String value) {
        // 移除特殊标签
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

    private String cleanXSS(String value) {
        if (value != null) {
            //推荐使用ESAPI库来避免脚本攻击,value = ESAPI.encoder().canonicalize(value);
            // 避免空字符串
            value = value.replaceAll(" ", "");
            // 避免script 标签
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免src形式的表达式
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // 删除单个的 </script> 标签
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // 删除单个的<script ...> 标签
            scriptPattern = Pattern.compile("<script(.*?)>",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 eval(...) 形式表达式
            scriptPattern = Pattern.compile("eval\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 e­xpression(...) 表达式
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 javascript: 表达式
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 vbscript:表达式
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 onload= 表达式
            scriptPattern = Pattern.compile("onload(.*?)=",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            
            // 第二种是采用正则表达式将包含有 单引号('),分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入
            //00 Java防止SQL注入 
            value =value.replaceAll(".*([';]+|(--)+).*", " ");
            
           /* public static String TransactSQLInjection(String str)
            {
                  return str.replaceAll(".*([';]+|(--)+).*", " ");
               // 我认为 应该是return str.replaceAll("([';])+|(--)+","");
            }*/
        }
        return value;
    }  
    
}

提示:如果要往后台中传递参数包含空格、特殊字符等,可在传递参数中加apphttp=20190430hm防止被过滤器过滤掉

指尖的余香
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
过滤特殊字符表情
07-13
lua的过滤特殊字符表情
防止xss和sql注入:JS特殊字符过滤正则
10-27
本文将详细介绍如何通过JavaScript特殊字符过滤正则表达式来防范这两种攻击。 首先,理解XSS攻击。XSS攻击是通过在用户输入的数据嵌入恶意脚本,当这些数据被网站处理并显示给其他用户时,恶意脚本得以执行,从而...
特殊字符过滤(并不是很全,可以参考)
Coisini的博客
05-24 4150
public Function RSQL(strChar) If strChar = “” or IsNull(strChar) Then RSQL = “”:Exit Function Dim strBadChar, arrBadChar, tempChar, I strBadChar = “$,#,’,%,^,&,?,(,),<,>,[,],{,},/,,;,:,” &am...
js特殊字符过滤的示例代码
12-02
代码如下://匹配文 数字 字母 下划线 var checkInput = function (str) { var pattern =var pattern = /^[\w\u4... }1.js用正则表达式 过滤特殊字符, 校验所有输入域是否含有特殊符号 代码如下:function strip
JS 过滤特殊字符
08-12
本文将深入探讨如何在JavaScript进行特殊字符过滤,并提供相关工具和源码的使用方法。 一、为什么要过滤特殊字符? 1. 防止SQL注入:特殊字符如单引号(')、双引号(")、分号(;)等在SQL语句具有特定含义,如果不...
Lua实现特殊字符过滤.lua
05-08
Lua语言实现特殊字符过滤,对于使用Lua开发移动端游戏的童鞋非常常用。代码亲测有效,附使用实例
C#实现过滤sql特殊字符的方法集合
09-03
在C#,防止SQL注入攻击的一个重要方法是过滤SQL特殊字符。SQL注入是一种常见的网络安全威胁,通过在用户输入的数据插入恶意SQL语句,攻击者可以操纵数据库,获取、修改或删除敏感信息。以下是一些C#过滤SQL...
js过滤特殊字符的正则表达式
10-28
js用正则表达式 过滤特殊字符 ,校验所有输入域是否含有特殊符号
xss特殊字符拦截与过滤
最新发布
04-01
滤除content的危险 HTML 代码, 主要是脚本代码, 滚动字幕代码以及脚本事件处理代码
易语言字符过滤
08-22
《易语言字符过滤详解》 在信息技术领域,字符过滤是一项重要的功能,特别是在文本处理、数据清洗和信息安全等方面。本文将深入探讨易语言实现字符过滤的系统结构及其源码解析。 "易语言"是一种以文为编程语言的...
jquery过滤特殊字符',防sql注入的实现方法
10-21
在本文,我们将探讨如何使用jQuery来过滤特殊字符,从而防止SQL注入攻击。SQL注入是一种常见的安全漏洞,攻击者可以通过输入恶意的SQL语句来操纵数据库。为了保护应用程序免受此类攻击,我们需要确保用户输入的...
PHP 过滤生僻字和特殊字符
04-26
首先,为什么需要过滤生僻字和特殊字符呢? 1. **安全考虑**:一些特殊字符可能被用于SQL注入攻击或XSS(站脚本)攻击,过滤这些字符可以减少安全隐患。 2. **数据格式**:某些系统或数据库可能无法正确处理某些...
过滤特殊字符
AI开源工具分享
12-11 932
最近写的一个过滤特殊字符的方法 [java] view plaincopyprint? // 过滤特殊字符       public String StringFilter(String str)throws PatternSyntaxException{                      // 只允许字母和数字                        // 
php对字符的特殊符号进行过滤的方法
php-yyds
11-07 1121
函数:此函数可以删除字符的HTML和PHP标签。函数:可以使用正则表达式来替换字符特殊字符。函数:此函数将特殊字符转换为对应的HTML实体。
spring boot实现特殊字符过滤
04-01
在Spring Boot实现特殊字符过滤可以通过自定义过滤器来实现。 首先,创建一个过滤器类,实现javax.servlet.Filter接口,重写doFilter方法,在该方法请求参数进行特殊字符过滤。 ``` @Component public class...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值