SSM传统框架使用Filter方式解决Xss攻击,支持指定请求、指定参数进行处理

最新推荐文章于 2023-08-10 10:39:38 发布
最新推荐文章于 2023-08-10 10:39:38 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: javaweb 文章标签: xssFilter xss XssWarper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33333654/article/details/103234454
版权

创建拦截器

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;


public class XssFilter implements Filter {

    List<String> prefixIignores = new ArrayList<>();

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("xss过滤器的初始化操作");
//对应web.xml中init-param标签体内容,放行的请求
        String ignoresParam = filterConfig.getInitParameter("ignores");
        String[] ignoreArray = ignoresParam.split(",");
        for (String s : ignoreArray) {
            prefixIignores.add(s.trim());
        }
    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;

        if (canIgnore(req)){
            chain.doFilter(request,response);
        }else {
            XssWarper xssWarper = new XssWarper(req);
            //放行
            chain.doFilter(xssWarper, response);
         
        }

}
    @Override
    public void destroy() {
        System.out.println("xss过滤器的销毁");
    }



    private boolean canIgnore(HttpServletRequest request) {
        String url = request.getRequestURI();
        for (String ignore : prefixIignores) {
            if (url.endsWith(ignore)) {
                return true;
            }
        }
        return false;
    }
}

创建XssWarper

 

import cn.jiguang.common.utils.StringUtils;
import org.springframework.web.util.HtmlUtils;

import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;


public class XssWarper  extends HttpServletRequestWrapper {
    private Map<String , String[]> params = new HashMap<String, String[]>(); // 用于存储请求参数
    private ServletInputStream servletInputStream = null;

    /**
     * @Method content 富文本内容
     * @Author MC
     不进行处理的params
     * @Return
     * @Date 2019/11/25 0025 9:55
     */
    private String noCheckParamsStr = "content";

    private HttpServletRequest request;

    public XssWarper(HttpServletRequest request) {
        super(request);
        this.request = request;
        this.params.putAll(request.getParameterMap());
    }

    /**
     * 重载一个构造方法
     * @param request
     * @param extendParams
     */
    public XssWarper(HttpServletRequest request , Map<String , String[]> extendParams) throws IOException {
        this(request);
        for (String key: extendParams.keySet()) {
            String val = this.getParameter(key);
            if (StringUtils.isNotEmpty(val)){
                extendParams.put(key,new String[]{val});
            }
        }
        addAllParameters(extendParams);
    }

    @Override
    public String getParameter(String name) {
        if(noCheckParamsStr.indexOf(name) != -1){
            return super.getParameter(name);
        }
        String val = request.getParameter(name);
        if(StringUtils.isNotEmpty(val)){
            val = HtmlUtils.htmlEscape(val); // 将所有传递进来的String进行HTML编码,防止XSS攻击
        }
        return val;
    }

    @Override
    public String[] getParameterValues(String name) {
        return params.get(name);
    }


    public void addAllParameters(Map<String , String[]> otherParams) {
        for(Map.Entry<String , String[]>entry : otherParams.entrySet()) {
            addParameter(entry.getKey() , entry.getValue());
        }
    }

    public void addParameter(String name , Object value) {
        if(value != null) {
            if(value instanceof String[]) {
                params.put(name , (String[])value);
            }else if(value instanceof String) {
                params.put(name , new String[] {(String)value});
            }else {
                params.put(name , new String[] {String.valueOf(value)});
            }
        }
    }
}

web.xml中注册过滤器,请注意与其他过滤器的先后顺序

 

<filter>
  <filter-name>xssFilter</filter-name>
  <filter-class>com.jeeplus.common.filter.XssFilter</filter-class>
    <init-param>
        <param-name>ignores</param-name>
        <param-value>
          /core/sysAppVersion/uploader,
          /app/fileUpload/upload
        </param-value>
    </init-param>
</filter>
<filter-mapping>
  <filter-name>xssFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>
不能吃辣的JAVA程序猿
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
详解如何解决SSM框架前台传参数到后台乱码的问题
08-28
主要介绍了详解如何解决SSM框架前台传参数到后台乱码的问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
ssm框架总结(Controller接收请求参数方式).pdf
06-29
自主学习文件,只是上传保存,侵删 Controller 接收请求参数的6种常见方式
java ssm框架xss 过滤
weixin_43844607的博客
11-20 475
后台部分: web.xml <!-- xss过滤 --> <filter> <display-name>IllegalCharacterFilter</display-name> <filter-name>IllegalCharacterFilter</filter-name> <filter-cla...
基于SSM框架的商品数据处理系统源码
最新发布
03-25
项目概述:基于SSM框架的商品数据处理系统 本项目采用Java为主要开发语言,整合了JavaScript、HTML和CSS等多种技术,构建了一套商品数据处理系统。该系统包括以下文件组成: - 配置文件:11个XML文件,负责系统框架配置及数据库映射关系定义。 - 后端逻辑:6个Java文件,实现了基于SSM(Spring、SpringMVC、MyBatis)框架的商品数据处理核心功能。 - 前端交互:3个JavaScript文件,配合HTML页面和CSS样式,提供友好的用户交互体验。 - 版本控制:2个Gitignore文件,用于排除不必要的文件,保持仓库清洁。 - 环境配置:2个Properties文件,存储系统运行所需的环境参数。 - 视图展示:2个HTML文件,构成系统的前端页面。 - 说明书:1个Markdown文件,包含项目说明和操作指南。 - 页面样式:1个CSS文件,定义了页面的视觉效果。 - 项目结构定义:1个Iml文件,定义了IntelliJ IDEA项目结构。 项目简单描述:本项目利用SSM框架,针对商品数据提供了全面的处理功能,旨在提高商品信息管理的效率和准确性。
使用IntelliJ IDEA搭建SSM框架的图文教程
08-27
本文通过图文并茂的形式给大家介绍了使用IntelliJ IDEA搭建SSM框架的教程,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
Java SSM框架+jsp处理存储型XSS和反射型XSS漏洞
weixin_45767372的博客
07-07 3734
存储型XSS和反射型XSS修复
Java方向(SSM+SpringBoot)项目实训Day5-SSM(用户管理系统) Filter过滤器+批量删除+角色权限管理
m0_43395110的博客
07-24 764
Day5-SSM Filter过滤器+批量删除+角色权限管理Filter过滤器批量删除角色权限管理 Java方向(SSM+SpringBoot)项目实训 Day5(2020.7.24) Filter过滤器 用来拦截未登录成功或权限不足的非法操作。 1.修改UserController中的ModelAndView login(){}方法,加入session; UserController中修改: @RequestMapping("/login.do") public ModelAndView
Spring+SpringMVC+Mybatis(SSM框架搭建教程(五)-扩展:过滤器Filter应用
海阔天空
03-06 1426
背景 上一篇《Spring+SpringMVC+Mybatis(SSM框架搭建教程(四)-应用功能开发实例》着重介绍了框架在项目开发过程中的使用方法,以实例的方式讲解了两种请求方式的代码编写形式。本篇着重介绍此框架在应用开发过程中的扩展——过滤器的配置。 目标 本篇我们要实现两种过滤器: 字符编码过滤器 参数空格过滤器 字符编码过滤器 在中文软件系统中,中文汉字在不同的...
SpringBoot 防止XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3136
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
使用Filter防止XSS攻击
逆行者的博客
01-14 8868
什么是XSS攻击XSS攻击使用Javascript脚本注入进行攻击 例如在表单中注入: &lt;script&gt;location.href='http://www.itmayiedu.com'&lt;/script&gt; 注意:谷歌浏览器 已经防止了XSS攻击,为了演示效果,最好使用火狐浏览器 解决方案? 使用Fileter过滤器过滤注入标签(将表单中的代码转义成HTML代码)...
SSM框架原理,作用及使用方法
01-27
SSM框架是springMVC,spring和mybatis框架的整合,是标准的MVC模式,将整个系统划分为表现层,controller层,service层,DAO层四层 使用springMVC负责请求的转发和视图管理spring实现业务对象管理,mybatis作为数据对象的持久化引擎 SpringMVC: 1.客户端发送请求到DispacherServl
JAVA代码审计XSSFilter动态代理过滤
dzqxwzoe的博客
08-10 983
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss所以拿出来给大家进行简单分析,后续通过动态代理进行过滤。
c# mvc如何搭建简单的导航框架_Java框架SSM代码审计思路
weixin_39622901的博客
11-23 261
1.SSM框架简介SSM框架,即SpringMVC+Spring+Mybatis三个开源框架整合在一起的缩写。在SSM框架之前生产环境中SSH框架占据多数,即Struts2+Spring+Hibernate三个开源框架整合而成。后因Struts2爆出众多高危漏洞,导致目前SSM逐渐代替SSH成为主流开发框架的选择。审计SSM框架首先就要对MVC设计模式和,web三层架构有一定程度的了解,...
SSM项目中的拦截器(Interceptor)和过滤器(Filter)介绍及简单实现验证登录
热门推荐
"✧treasure mountain✧"
03-02 1万+
一个简单的练习项目 地址栏直接输入页面的url 就可以访问 这样的项目不太安全 因为用户可以直接访问任意页面 只要他知道页面的url 用过滤器(Filter)和拦截器(Interceptor)可以解决此问题 那么 让我们先来了解一下: 一、拦截器和过滤器的区别 1、拦截器(Interceptor)只对action请求起作用 即对外访问路径 而过滤器(Filter)则可以对几乎所有的请求都能起作用 ...
解决sql注入和xss漏洞
05-17 564
WebMvcConfig.java registry.addInterceptor(new SqlInjectInterceptor()).addPathPatterns("/**"); SqlInjectInterceptor.java @Component public class SqlInjectInterceptor implements HandlerInterceptor{ @Override public void afterCompletion(HttpSer.
Spring MVC防御CSRF、XSS和SQL注入攻击
CHIKA2333的博客
07-30 562
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
SSM拦截器和过滤器结合使用-实现登录拦截操作
丁世杰的博客
01-02 1779
我的主要思路是:使用过滤器filter实现对前台页面的拦截(包括.jsp、css、images、js),使用拦截器interceptor实现对后台所有请求的拦截(登陆请求除外)。 文件位置如下,下图是过滤器和拦截器类的位置: web.xml文件是对filter过滤器的配置: springmvc-config.xml是对interceptor拦截器的配置: 下面是filter过滤器在web.xml中的配置如下: <!-- 使用filter 实现登陆控制 --> <filter&
ssmfilter使用
Rich_的博客
05-10 825
过滤器 首先定义一个xx类,实现Filter,重写方法 写一个集合,内容为需要放行的接口,jsp页面,静态资源 String [] IG_lo={"/index.jsp","/loginFrom.jsp","/login","/",".js",".css",".jpg"}; 将servletRequest强制转换为HttpServletRequest 将servletResponse强制转换成HttpServletResponse HttpServletRequest request
SSM框架搭建网站防止跨站脚本攻击(一)
小菜鸟的HelloWorld
07-19 1783
第一篇 1. 个人网站使用SSM框架搭建的,上线前使用IBM Security AppScan Standard扫描漏洞出现跨站脚本攻击。   修复方案  普遍的解决方案是添加拦截器。 1.在项目中新建一个拦截器 XssFilter .java import java.io.IOException; import java.util.LinkedHashMap; impor...
使用ssm框架能对学生信息进行crud操作
07-30
SSM(Spring + SpringMVC + MyBatis)是一种常用的Java框架,它提供了灵活、高效的方式进行学生信息的增删改查(CRUD)操作。 首先,通过Spring框架可以方便地管理和注入依赖关系,将各个模块之间的耦合度降到最低。对于学生信息的CRUD操作,我们可以通过Spring管理的Service组件来实现业务逻辑的处理,例如增加学生信息、删除学生信息、修改学生信息等等。同时,Spring框架支持声明式事务管理,可以保证对学生信息的CRUD操作的一致性和事务的原子性。 其次,SpringMVC框架可以实现学生信息的各个请求入口的调度和处理。我们可以通过SpringMVC配置URL映射,将对学生信息CRUD操作的请求转发到相应的Controller中进行处理。Controller可以接收请求参数,调用Service层的业务方法,最终将结果返回给前端页面或接口。 最后,MyBatis作为ORM(对象关系映射)框架,可以方便地将学生信息映射到数据库中。我们可以使用MyBatis的Mapper接口和XML配置文件来定义学生信息的CRUD操作,调用对应的SQL语句进行数据库操作。MyBatis还提供了一系列的数据访问方法,如插入学生信息到数据库、删除学生信息、更新学生信息、查询学生信息等等。 通过整合SSM框架,我们可以非常方便地实现学生信息的CRUD操作。其中,Spring负责依赖管理和事务管理,SpringMVC负责请求的调度和处理,MyBatis负责将学生信息与数据库进行映射和操作。这样的架构使得学生信息的管理和操作更加高效、灵活,并且易于扩展和维护。总之,SSM框架对于学生信息的CRUD操作提供了一种简单、快速、可靠的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不能吃辣的JAVA程序猿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值