java 拦截html请求参数值_url参数拦截,防止注入html和js代码

最新推荐文章于 2024-01-31 11:07:28 发布
最新推荐文章于 2024-01-31 11:07:28 发布
阅读量618 收藏
点赞数
文章标签: java 拦截html请求参数值
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29463881/article/details/114878912
版权

url参数拦截,防止注入html和js代码

用于url参与拦截

1.[代码][Java]代码

package cn.filter;

import java.io.IOException;

import java.util.Map;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

public class UrlFilter implements Filter {

public void destroy() {

}

public void doFilter(ServletRequest req, ServletResponse resp,

FilterChain chain) throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest) req;

HttpServletResponse response = (HttpServletResponse) resp;

Map parameterMap = request.getParameterMap();

for (Map.Entry entry : parameterMap.entrySet()) {

String[] value = entry.getValue();

if (value != null) {

int strLength = value.length;

for (int i = 0; i < strLength; i++) {

boolean result = stripXSS(value[i]);

if (result)

response.sendRedirect("error.jsp");

}

}

}

chain.doFilter(req, resp);

}

public void init(FilterConfig filterConfig) throws ServletException {

}

/**

* 如果找到非法字符则返回true,如果没找到则返回false

*

* @param value

* @return

*/

public static boolean stripXSS(String value) {

boolean result = false;

if (value != null) {

// Avoid null characters

value = value.replaceAll("", "");

// Avoid anything between script tags

Pattern scriptPattern = Pattern.compile("",

Pattern.CASE_INSENSITIVE);

result = scriptPattern.matcher(value).find();// .replaceAll("");

// //如果找到则为true

if (result)

return result;

// Avoid anything in a src='...' type of expression

scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE

| Pattern.DOTALL);

result = scriptPattern.matcher(value).find();// .replaceAll("");

if (result)

return result;

scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE

| Pattern.DOTALL);

result = scriptPattern.matcher(value).find();// .replaceAll("");

if (result)

return result;

// Remove any lonesome tag

scriptPattern = Pattern.compile("",

Pattern.CASE_INSENSITIVE);

result = scriptPattern.matcher(value).find();// .replaceAll("");

if (result)

return result;

// Remove any lonesome

scriptPattern = Pattern.compile("

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE

| Pattern.DOTALL);

result = scriptPattern.matcher(value).find();// .replaceAll("");

if (result)

return result;

// Avoid eval(...) expressions

scriptPattern = Pattern.compile("eval\\((.*?)\\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE

| Pattern.DOTALL);

result = scriptPattern.matcher(value).find();// .replaceAll("");

if (result)

return result;

// Avoid expression(...) expressions

scriptPattern = Pattern.compile("expression\\((.*?)\\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE

| Pattern.DOTALL);

result = scriptPattern.matcher(value).find();// .replaceAll("");

if (result)

return result;

scriptPattern = Pattern.compile("vbscript:",

Pattern.CASE_INSENSITIVE);

result = scriptPattern.matcher(value).find();// .replaceAll("");

if (result)

return result;

// Avoid οnlοad= expressions

scriptPattern = Pattern.compile("onload(.*?)=",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE

| Pattern.DOTALL);

result = scriptPattern.matcher(value).find();// .replaceAll("");

if (result)

return result;

// Avoid alert:... expressions

scriptPattern = Pattern.compile("alert", Pattern.CASE_INSENSITIVE);

result = scriptPattern.matcher(value).find();// .replaceAll("");

if (result)

return result;

}

return result;

}

}

某一个吃货
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
webdiff:ICSM 2010 论文中的旧代码
07-04
网络差异 ICSM 2010 论文中的旧代码 笔记: ... 捕获脚本在浏览器中加载网站,并使用遍历 DOM 的 JS URL 注入 javascript 并将其提交到运行在的服务器端 这些请求被 webdiff 代理拦截,将这些请求发送
Filter拦截所有资源,登入页面img和js均失效
iLzn_的博客
03-25 287
今天写了个拦截,开始我没清空缓存的时候登入页面引入的 js 与 img 均正常使用,当我清空缓存 ,js 与 img显示都不正常 ,浏览器控制台显示图片状态码 200,经过一番搜索发现原来是被filter拦截了. 原代码 web.xml <filter-mapping> <filter-name>CharacterEncodingFilter</filter-name> <url-pattern>/*</url-pattern>
java 拦截器 判断url_Spring 的拦截器如何实现url转发
weixin_36340890的博客
02-26 955
如何实现Spring 的过滤器代码中改写请求的URL,并转发出去,注意,是转发,不是重定向package com.blog.inteceptor;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import org.springframework.web.servl...
java 拦截url请求配置_【JAVA拦截请求参数并设置请求
weixin_34377186的博客
02-19 2212
业务中遇到了一些场景,需要对请求做统一拦截,用请求参数计算新的变量设置到请求头中。以下分别用Filter和Interceptor两种方式实现,(建议使用Filter的方法,因为Interceptor的方法仅仅对Post和GET方法有效,并不支持PUT等其他方法,主要原因是因为HttpServletRequest接口的实现类不同,以下仅支持了POST和GET方法)场景:我们有两类用户,一类用户的请求...
springboot使用拦截器Interceptor拦截指定url,进行对应操作
逆水行舟
06-14 1万+
拦截拦截url import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpSe
java 获取拦截url,java – 从数据库或属性中获取Spring Security拦截URL
weixin_42576804的博客
03-10 168
希望这是超级简单的,存在的,我正在忽略我鼻子底下的东西.我知道我可以通过注释限制访问:@Secured({"ROLE_ADMIN"})或通过配置:我更愿意从数据库中获取身份验证规则,例如:最糟糕的情况是,必须有一种通过属性文件填充的方法吗?…/管理/ ** = ROLE_ADMIN/ ** = ROLE_USER等等请告诉我这存在或我的大脑会爆炸! Grails spring-security插件...
java开发常见漏洞及处理说明.pdf
11-25
有三种主要类型的XSS攻击:DOM型XSS(基于JavaScript的DOM解析),存储型XSS(数据存储在服务器端并传递给其他用户)和反射型XSS(通过URL参数传递)。为了防止XSS攻击,系统使用XssFilter过滤器,去除HTML和...
JAVA技术综合面试题目.pdf
07-14
- AJAX(Asynchronous JavaScript and XML)允许创建异步Web应用,通过JavaScript向服务器发送请求并更新部分页面,无需刷新整个页面,提高了用户体验。 4. **Hibernate框架**: - Hibernate是一个对象关系映射...
Android WebView 常见问题及处理方案
09-03
为了添加自定义请求头或进行其他操作,可以注入JavaScript接口,然后在JavaScript中调用这些接口,通过`addJavascriptInterface()`将Java方法暴露给JavaScript。 7. **内存管理和性能优化**: - 使用`WebView....
人事管理系统开发规约1
08-08
- **IntelliJ IDEA**: 作为Java开发的主流IDE,它提供了丰富的代码提示和调试功能,对于版本8.5以上,确保了运行环境的稳定性。 - **Tomcat**: 作为应用服务器,用于部署和运行Web应用,版本8.5以上确保与Spring ...
过滤器实现URL拦截,跳转URL
ceshiyuan001的博客
05-05 5282
过滤器实现URL拦截,跳转URL 一,背景 业务存在pc和pad两个客户端,pc已经上线。并且pc和pad大部分的接口都可以复用,为了避免重复的代码写2份(即相同的controller),所以目标是pc和pad共用controller,至于pad新的接口,则pad专属。 二,实现 为了实现pc和pad接口公用,pad会在url上传入特定的前缀,比如/pad。 使用过滤器,在DispatcherServlet#doDispatch方法执行前,将url进行替换。 AbstractHandlerMethodMap
java拦截某一个类的方法用切面,拦截url用拦截
qq_28929589的博客
08-14 1万+
拦截器是个好东西,之前用到过,现在记录一下,供以后参考使用! https://www.cnblogs.com/liangblog/p/7234757.html 其一,使用org.aspectj.lang.annotation.Aspect 先上代码: package com.test.interceptors.aop; import org.aspectj.lang.Proceed...
java 使用全局过滤器Filter之后 防止css文件与js文件被过滤
热门推荐
Philllll的专栏
01-30 2万+
今天纠结了一天一个非常诡异的问题。 昨天还好好的一个页面,今天所有的样式都没有了。 后来查资料,自己摸索,各种法子试了一圈,也没解决。 终于皇天不负苦心人,最后被我发现是我昨天定义的一个全局的过滤器Filter,用来过滤掉未经过登录就直接访问内部页面的非法请求,结果让我没想到的是,我在Login.jsp页面中引用的外部css文件也一并被过滤掉了。 知道了原因,问题就好解决, 我在Filt
Java防止注入常用方法
最新发布
weixin_45945976的博客
01-31 417
ORM(对象关系映射)框架如Hibernate、MyBatis等提供了更高级的功能,可以自动生成安全的SQL语句并进行参数化查询。这些框架会根据配置文件或注解信息自动转换输入的参数类型,从而避免手动构建SQL语句时的注入风险。这种方法将输入的作为参数传递到SQL语句中,而不直接将其与SQL字符串连接起来。这样可以有效地避免了由于未正确处理特殊字符引发的安全性问题。在Java中,可以通过使用参数化查询或者预编译语句来防止SQL注入
Java命令注入之防护
沧海一粟
07-16 1万+
1 Java中的命令注入Java中的Runtime.getRuntime本质就是使用ProcessBuilder,以ProcessBuilder里用ProcessImpl,start 的一个子进程执行命令, Java的native调用 a. Windows是CreateProcessW 创建子进程执行命令 b. Unix中以enecve 来创建子进程执行命令
Java命令注入_Java防止路径操控和命令注入 代码
weixin_26795617的博客
02-12 789
public class Test{public static void main(String[] args){System.out.println(getSafeCommand("abcd&efg"));System.out.println(getSafePath("abcd/efg"));}/*** Get the safe path* @param filePath Enter t...
Java防止路径操控和命令注入 代码
weixin_34375251的博客
06-12 1603
public class Test{ public static void main(String[] args) { System.out.println(getSafeCommand("abcd&efg")); System.out.println(getSafePath("abcd/efg"));...
java代码审计 命令注入 及 修复建议
dilamo1968的博客
08-30 956
命令注入: 是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。 在Web应用中,有时候会用到一些命令执行的函数,如php中system、exec、shell_exec等,当对用户输入的命令没有进行限制或者过滤不严导致用户可以执行任意命令时,就会造成命令执行漏洞。 命令注入漏洞主要表现为以下两种形式: 1、攻击者能够算改程序执行的命令:攻击者直接控...
java防止脚本注入,通过拦截器实现
混魔MJM的博客
08-20 3875
1:利用action过滤 package com.tsou.comm.servlet; import java.util.Enumeration; import java.util.Map; import java.util.Vector; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.Ht
springmvc拦截器对请求参数解密_Spring MVC拦截器入门
05-31
Spring MVC拦截器可以在请求到达Controller之前或之后进行拦截和处理,因此可以在拦截器中对请求参数进行解密。 具体实现步骤如下: 1. 实现HandlerInterceptor接口,重写preHandle方法,在该方法中对请求参数进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值