统一处理用户提交的参数,防XSS攻击与SQL注入

最新推荐文章于 2023-04-07 16:36:27 发布
最新推荐文章于 2023-04-07 16:36:27 发布
阅读量599 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20094173/article/details/72723427
版权 

package com.sf.membs.context;  
  
import java.util.HashMap;
import java.util.Map;
import java.util.Map.Entry;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.log4j.Logger;

import com.sf.membs.config.LogAppender;
import com.sf.membs.util.XSSUtil;
  
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
    HttpServletRequest orgRequest = null;  
  

	Logger log = Logger.getLogger(LogAppender.CONTENT);
    public XssHttpServletRequestWrapper(HttpServletRequest request) {  
        super(request);  
        orgRequest = request;  
    }  
  
    /** 
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/> 
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> 
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
     */  
    @Override  
    public String getParameter(String name) {
    	//log.info(orgRequest.getRequestURI()+"------getParameter");
        String value = super.getParameter(XSSUtil.xssEncode(name));
    	//log.info("before;【name:"+name+";value:"+value+"】");  
        if (value != null) {  
            value = XSSUtil.xssEncode(value);  
        }  
    	//log.info("after:"+value);
    	//log.info("end------getParameter");
        return value;  
    } 


    /*@SuppressWarnings("unchecked")
	@Override 
	public Map<String, Object> getParameterMap() {
    	Map<String, String[]> paramsMap = super.getParameterMap();
		Map<String, Object> value = new HashMap<String, Object>();
		for (Entry<String, String[]> entry : paramsMap.entrySet()) {
			value.put(entry.getKey(), XSSUtil.xssEncode(entry.getValue()[0]));
		}
		return value;
	}*/
    
    @SuppressWarnings("unchecked")
	@Override 
	public Map<String, String[]> getParameterMap() {
    	//log.info(orgRequest.getRequestURI()+"------getParameterMap");
    	Map<String, String[]> paramsMap = super.getParameterMap();
		Map<String, String[]> value = new HashMap<String, String[]>();
    	//log.info("before;【value:"+ToStringBuilder.reflectionToString(value)+"】");  
		for (Entry<String, String[]> entry : paramsMap.entrySet()) {
			int size = entry.getValue().length;
			String[] temp = new String[size];
			
			for(int i=0;i<size;i++){
				String s = entry.getValue()[i];
				temp[i]=XSSUtil.xssEncode(s);
			}
			value.put(entry.getKey(), temp);
		}
    	//log.info("after:"+ ToStringBuilder.reflectionToString(value));
    	//log.info("end------getParameterMap");
		return value;
	}


    @Override 
	public String[] getParameterValues(String name) {
    	//log.info(orgRequest.getRequestURI()+"------getParameterValues");
        String[] value = super.getParameterValues(XSSUtil.xssEncode(name));  
    	//log.info("before;【name:"+name+";value:"+ToStringBuilder.reflectionToString(value)+"】");  
        if(value!=null && value.length>0){
        	for(int i=0;i<value.length;i++){
        		value[i]=XSSUtil.xssEncode(value[i]);
        	}
        }
    	//log.info("after:"+ ToStringBuilder.reflectionToString(value));
    	//log.info("end------getParameterValues");
		return value;
	}
    
    /** 
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/> 
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> 
     * getHeaderNames 也可能需要覆盖 
     */  
    @Override  
    public String getHeader(String name) {  
  
    	//log.info(orgRequest.getRequestURI()+"------getHeader");
        String value = super.getHeader(XSSUtil.xssEncode(name));  
        //log.info("before;【name:"+name+";value:"+value+"】"); 
        if (value != null) {  
            value = XSSUtil.xssEncode(value);  
            value = value.replaceAll("%3", "%EF%BC%9");
        }  
       // log.info("after:"+ value);
    	//log.info("end------getHeader");
        return value;  
    }  
  
    
  
    /** 
     * 获取最原始的request 
     *  
     * @return 
     */  
    public HttpServletRequest getOrgRequest() {  
        return orgRequest;  
    }  
  
    /** 
     * 获取最原始的request的静态方法 
     *  
     * @return 
     */  
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
        if (req instanceof XssHttpServletRequestWrapper) {  
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();  
        }  
  
        return req;  
    }  
}


-------------拦截器写法---------------


package com.sf.membs.context;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XSSFilter implements Filter {
	@Override  
    public void init(FilterConfig filterConfig) throws ServletException {  
    }  
  
    @Override  
    public void doFilter(ServletRequest request, ServletResponse response,  
            FilterChain chain) throws IOException, ServletException {  
  
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(  
                (HttpServletRequest) request);
        chain.doFilter(xssRequest, response);  
    }  
  
    @Override  
    public void destroy() {  
    }
}



魔法小屋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于 MVC4 Route 注入实现
一样的代码,不一样的人生。
11-05 754
依赖注入(Dependency Injection)和控制反转(Inversion of Control)是同一个概念。具体含义是:当某个角色需要另一个角色(另一个实例,被调用者)的协助时,在 传统的程序设计过程中,通常由调用者来创建被调用者的实例。但在MVC里,创建被调用者的工作不再由调用者来完成,因此称为控制反转;创建被调用者 实例的工作通常由ContainerBuilder容器来完成,然
ASPXSQL凌讯ASP.NET通用SQL注入脚本系统 v3.0
12-09
【ASPXSQL凌讯ASP.NET通用SQL注入脚本系统 v3.0】是一个专为ASP.NET开发的软件,旨在帮助开发者SQL注入攻击。SQL注入是网络安全领域中常见的攻击手段,通过输入恶意的SQL代码,攻击者可以篡改、泄露或者破坏...
Spring-MVC处理XSSSQL注入攻击的方法总结
11-14
Spring-MVC处理XSSSQL注入攻击的方法总结
sql注入过滤处理
富在术数不在劳身,利在势局不在力耕。
07-22 720
/*sql注入操作处理*/         function actionDowithsql($str)         {           $str = str_replace("and","",$str);           $str = str_replace("execute","",$str);           $str = str_replace("update",
XSS拦截
宁灬夏的专栏
10-23 622
web.xml配置: <filter> <filter-name>XssSqlFilter</filter-name> <filter-class>具体处理类</filter-class> </filter> <filter-mapping> <filter-name>XssSqlFilter</filter-name> <url-pattern>/*</u
360提供的phpsql注入代码修改类
05-02
本文将深入探讨360提供的PHPSQL注入代码修改类,以及如何通过此类来范这两种攻击。 一、SQL注入 SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、...
在ASP.NET中止注入攻击
03-27
2. **跨站脚本(XSS)**:XSS攻击利用网页验证漏洞注入客户端脚本,这些脚本随后被浏览器解释执行,因为它们来自受信任的源。 3. **未授权文件访问**:如果代码从调用者处接收输入,则恶意用户可能会利用此漏洞访问...
ASP的文章管理系统设计与实现共7页.pdf.zip
11-21
在ASP的文章管理系统中,VBScript或JScript通常被用来处理用户交互,如表单提交、数据库查询等。服务器端脚本的优势在于,它们可以在服务器上执行,将处理结果以静态HTML的形式发送给客户端,提高了页面加载速度。 ...
博客管理系统(asp.net sql server 2000)
03-03
在设计系统时,要考虑到SQL注入、跨站脚本(XSS)等安全问题。ASP.NET 提供的安全特性,如参数化查询、验证控件等,可以帮助止这些攻击。同时,还需要对用户输入进行适当的验证和清理。 7. 性能优化: 对于大型的...
为了应对 Xss 跨站脚本攻击,新增 XssFilter 统一处理实践
starzxf的专栏
11-08 377
问题背景: 1、早期的软件产品,使用 spring mvc 2、jsp form 表单中要传附件,同时有 input 字段要提交,因此表单 encType 必须是multipart/form-data, action="POST" 问题: 1、按照流转很广的方式 ,新建 XssFilterServletRequestWrapper extendsHttpServletRequestW...
SpringBoot之SQL注入XSS攻击
ChuaWi98的博客
06-02 3739
SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。 SQL注入漏洞可能会影响使用SQL数据库(如MySQL,Oracle,SQL Server或其他)的任何网站或Web应用程序。犯罪分子可能会利用它来未经授权访问用户的敏感数据:
Zynga将Cocos2D-X移植到Emscripten
CSDN与《程序员》总编观察
05-17 562
Emscripten是Mozilla的一个新项目,通过LLVM将C++转换为JavaScript,从而可以直接在浏览器里跑C++代码。另外,也将OpenGL转换为WebGL。详情参见Zynga的工程博客:http://code.zynga.com/2013/05/zynga-ports-cocos2d-x-to-emscripten/HN上的讨论:https://news.ycombinator....
源码漏洞扫描
菜小菜吃菜的博客
07-05 2848
源码漏洞扫描笔记
项目中如何对XSS统一处理
最新发布
Maisuluo的博客
04-07 148
则当用户打开页面时,就会弹出一个警告框,而这个警告框可以被恶意脚本所替代,例如读取cookies或者其他敏感信息等操作。XSS攻击是指攻击者利用网站中的漏洞,向页面中注入恶意脚本,从而获取用户的信息或者控制用户的计算机。某一些字段可能是需要支持富文本的,比如公告栏里的内容之类的。通过在参数中的字段上加上类似@Xss的注解,来表示这个字段是不允许输入XSS脚本的。举一个通俗的例子,早期使用JSP页面渲染页面的项目,如果将用户名改成。这是笔者关于Xss的全局统一处理的实现,如有不足欢迎大家评论指正。
XssEncode
weixin_33674976的博客
01-24 228
0x00 闲扯 好吧继上一篇文章之后,就没发文章了!(其实是一直在写但是写的很少还凑不起一篇文章而已) 但是这几天对插件进行了一定的改良了 因为在自己在实际的XSS过程中也发现了自己的插件 还不够强大! 不能够百分之百的满足自己的需求!所以就根据自己平常的需求给加了上去! 我想做到玩XSS一个工具即可解决需求!所以感觉即使是现在的插件也还有很大的不足! 所以很希望得到你们的意见 ...
springboot XSS过滤
huiyingzzx1018的博客
10-16 329
springboot XSS过滤XSS攻击是什么后端代码实现XssAndSqlHttpServletRequestWrapper.javaXssFilter.javaXssStringJsonSerializer.javaXssUtil.java XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩...
StringUtil
zuoyonggang
01-20 3383
import java.io.BufferedReader; import java.io.IOException; import java.io.InputStream; import java.io.InputStreamReader; import java.math.BigDecimal; import java.sql.Timestamp; import java.text.
POI使用HSSF,XSSF,SXSSF三种方式比较
sxqinjh的博客
11-11 3109
POI提供了HSSF、XSSF以及SXSSF三种方式操作Excel。 HSSF:Excel97-2003版本,扩展名为.xls。一个sheet最大行数65536,最大列数256。 XSSF:Excel2007版本开始,扩展名为.xlsx。一个sheet最大行数1048576,最大列数16384。 SXSSF:是在XSSF基础上,POI3.8版本开始提供的支持低内存占用的操作方式,扩展名为.xlsx。 Excel版本兼容性是向下兼容。 三种类的接口及方法: HSSF:HSSFWorkbook、HSSFShee
XSSSQL注入攻击详解:从概念到实战
“网络安全技术+XSS攻击SQL注入攻击,主要介绍了XSS攻击的三种类型以及SQL注入攻击的示例,特别提到了XSSAlert、XSSCookieAlert和XSSCookieStealing等XSS攻击手段,以及SQLMap工具在SQL注入攻击中的应用。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值