用过滤器让全站html标签转义输出

最新推荐文章于 2022-07-12 17:05:02 发布
最新推荐文章于 2022-07-12 17:05:02 发布
阅读量1k 收藏
点赞数
分类专栏: 过滤器 文章标签: filter html转义 过滤器 javaweb java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22498277/article/details/47405617
版权 

package cn.lfd.web.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import javax.servlet.http.HttpServletResponse;
/*
 * 用过滤器让全站html标签转义输出
 */
public class HtmlFilter implements Filter {

	@Override
	public void destroy() {
		
	}

	@Override
	public void doFilter(ServletRequest req, ServletResponse resp,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;//对ServletResponse进行强转
		HttpServletResponse response = (HttpServletResponse) resp;
		
		MyHtmlRequest MyRequest = new MyHtmlRequest(request);//new 出一个增强后的request
		chain.doFilter(MyRequest, response);
	}

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		// TODO Auto-generated method stub
	}
}
//增强HttpServletRequest方法的getParameter方法
class MyHtmlRequest extends HttpServletRequestWrapper {

	public MyHtmlRequest(HttpServletRequest request) {
		super(request);
	}

	@Override
	public String getParameter(String name) {//对getParameter方法进行增强
		String value = super.getParameter(name);
		if(value==null) {
			return null;
		}
		return filter(value);//调用filter方法对数据进行html转义
	}
	
	 public String filter(String message) {

	        if (message == null)
	            return (null);

	        char content[] = new char[message.length()];
	        message.getChars(0, message.length(), content, 0);
	        StringBuffer result = new StringBuffer(content.length + 50);
	        for (int i = 0; i < content.length; i++) {
	            switch (content[i]) {
	            case '<':
	                result.append("<");
	                break;
	            case '>':
	                result.append(">");
	                break;
	            case '&':
	                result.append("&");
	                break;
	            case '"':
	                result.append(""");
	                break;
	            default:
	                result.append(content[i]);
	            }
	        }
	        return (result.toString());

	    }
}

注意:

1.filter方法可以在tomcat安装目录下的\webapps\examples\WEB-INF\classes\util的HTMLFilter.java中复制过来

雪飘雪融
关注
专栏目录
Django3.0使用-模板标签
mystonelxj的博客
06-25 376
1,引言 在Django框架的模板机制中,广泛使用了模板标签。模板标签提供了一些渲染过程中Django进行页面处理的逻辑。 模板的通用形式为{% 模板标签名称%}, 模板标签比模板变量更为复杂,模板标签的本质也是函数,标签名一般即为函数名。这些标签的主要作用包括载入代码渲染模板或对传递过来的参数进行一定的逻辑判断或计算后返回。 Django的模板标签(tag)根据其作用可分2类: simple_tag 简单标签 : 处理数据,返回一个字符串或者给context设置或添加变量。 inclusion_t
跨站脚本攻击XSS
qq_45557130的博客
10-16 1438
xss
html标签配置过滤器,用过滤器全站html标签转义输出
weixin_39847034的博客
06-07 244
package cn.lfd.web.filter;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.s...
html转义web安全,最佳实践系列(三)-- PHP 安全三板斧:过滤、验证和转义之过滤篇_html/css_WEB-ITnose...
weixin_28823431的博客
06-27 193
我们在开发应用时,一般有个约定:不要信任任何来自不受自己控制的数据源中的数据。例如以下这些外部源: $_GET$_POST$_REQUEST$_COOKIE$argvphp://stdinphp://inputfile_get_contents()远程数据库远程API来自客户端的数据所有这些外部源都可能是攻击媒介,可能会(有意或无意)把恶意数据注入PHP脚本。编写接收用户输入然后渲染输出的P...
html阻止登陆,用过滤器防止用户恶意登录,并且不过滤初始页面及登录页面
weixin_39849127的博客
07-10 501
@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {//向上转型成父类,获取req对象HttpServletRequest req=(Ht...
Django 过滤Html指定标签
aoxvfrn40632995的博客
02-25 195
Django内置的filter,有一个是removetags,可以过滤多个指定的Html标签,比如博客的内容摘要可能是html格式的,显示的时候,去掉a p span div标签,可以这样写{{blog.content|removetags:"a p span div"}},removetags函数会去掉指定的标签,如以下blog正文的html代码:“<p>这是我的&lt...
前端js实现字符转义和反转义
qq_42961150的博客
07-12 7840
XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中......
filter过滤关键字
11-08
在IT行业中,`filter`(过滤器)是一个广泛使用的概念,尤其在文本处理、数据清洗、网络编程等领域。本文将详细解析"filter过滤关键字"这一主题,帮助你理解和掌握其核心知识点。 首先,`filter`通常指的是一个可以...
xss过滤方案
08-10
**基于代码修改的防御**:添加过滤器,通过过滤每个请求中的参数来实现防范。 - 替换半角字符为全角字符:这种方法较为高效且覆盖面广,但对于系统中的白名单字段需要进一步确认。 - 关键词转义或替换为空字符串...
Django全栈开发学习笔记(八)——Django模板引擎
烧麦Star
03-03 397
Django模板引擎 Django模板引擎包含模板上下文(模板变量)、标签过滤器: 模板上下文是以变量的形式写入模板文件里面,变量值由视图函数或视图类传递所得 标签是对模板上下文进行控制输出,比如模板上下文的判断和循环控制等 模板继承隶属于标签 过滤器是对模板上下文进行操作处理,比如内容截取、替换或者格式转换 模板上下文 上下文的数据由视图函数或者视图类传递,以{{variable}}表示,variable是上下文的名称,支持pyhon所有的数据类型。 自定义标签 标签是对模板上下文进行控制输出,以{
浅谈html转义及防止javascript注入攻击
热门推荐
taoerchun的专栏
03-02 3万+
有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:alert('test');,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?通过html转义能解决这个问题。 一:什么是html转义html转义是将特殊字符或html
HTML 标签转义字符及相应的 Java 过滤方法
若明天不见
06-16 2422
一些字符在 HTML 中拥有特殊的含义,比如小于号 (`
springMvc 传递参数,特殊字符会被转义或过滤掉,造成后台拿到的数据不正确
xcc_2269861428的博客
09-21 1万+
项目开发中 遇到springMvc 传递参数,特殊字符会被转义或过滤掉,造成后台拿到的数据不正确。 比如cookie 前台cookie JSESSIONID=JSESSIONID=3FED1F63756106B3578F28BE154380D8; b_account_username=9kXge%2BjwS7TvYnajLmkjHg%3D%3D; b_account_token=60095d...
xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义...
weixin_34405354的博客
07-29 773
xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义 XSS攻击的防范 XSS攻击造成的危害之所以会发生,是因为用户的输入变成了可执行的代码,因此我们要对用户的输入进行HTML转义处理,将其中的尖括号,引号,单引号等特殊字符进行转义编码,例如“〈”转义后为“&lt;”,“>”转义后为“&g...
thinkphp 页面提交参数的过滤(转义
07-19 2万+
thinkphp I函数 正则表达式 参数过滤转义
过滤器复用代码【中文乱码、HTML转义
weixin_30379911的博客
04-12 386
中文乱码 public class CharacterEncodingFilter implements Filter { public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException, Servl...
解析python数据后用html输出
banlunpiao0704的博客
09-10 803
哥们做android自动化测试,可是无奈报告输出字段不是自己想要的,于是想自己解析测试报告,所以想了个方法,还不完善记录分享一下 #-*-coding:utf-8-*- import json,csv,sys,re #import xlrd,xlwt #from xlutils.copy import copy reload(sys) sys.setd...
Angular过滤器之将普通文本转为HTML
ronybo的博客
06-08 2755
代码如下: app.filter('trustHtml', ['$sce', function ($sce) { return function (text) {// 传入参数是需要被过滤的内容 return $sce.trustAsHtml(text);// 返回的是过滤后的内容(信任HTML的转换) } }] ); 需要使用Angular的另外一个指令ng-b...
html转义输出
最新发布
05-24
如果你想在 HTML 页面中输出一些特殊字符(比如 <, >, & 等),而不希望它们被转义HTML 实体,可以使用 HTML转义符号  。  代表的是一个空格字符,但是它不会被解析成空格,而是原样输出。 例如,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值