java防止脚本注入,通过拦截器实现

最新推荐文章于 2023-03-02 16:50:50 发布
最新推荐文章于 2023-03-02 16:50:50 发布
阅读量251 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/plf112233/p/4015163.html
版权

1:利用action过滤

package com.tsou.comm.servlet;
 
import java.util.Enumeration;
import java.util.Map;
import java.util.Vector;
 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
/**
 *
 * <p class="detail">
 * 功能:封装的请求处理特殊字符
 * </p>
 * @ClassName: TsRequest
 * @version V1.0
 * @date 2014年9月25日
 * @author wangsheng
 */
public class TsRequest extends HttpServletRequestWrapper {
           private Map params;
 
           public TsRequest(HttpServletRequest request, Map newParams) {
                    super(request);
                    this.params = newParams;
          }
 
           public Map getParameterMap() {
                    return params ;
          }
 
           public Enumeration getParameterNames() {
                    Vector l = new Vector( params.keySet());
                    return l.elements();
          }
 
           public String[] getParameterValues(String name) {
                   Object v = params.get(name);
                    if (v == null ) {
                              return null ;
                   } else if (v instanceof String[]) {
                             String[] value = (String[]) v;
                              for (int i = 0; i < value.length; i++) {
                                      value[i] = value[i].replaceAll( "<", "&lt;" );
                                      value[i] = value[i].replaceAll( ">", "&gt;" );
                             }
                              return (String[]) value;
                   } else if (v instanceof String) {
                             String value = (String) v;
                             value = value.replaceAll( "<", "&lt;" );
                             value = value.replaceAll( ">", "&gt;" );
                              return new String[] { (String) value };
                   } else {
                              return new String[] { v.toString() };
                   }
          }
 
           public String getParameter(String name) {
                   Object v = params.get(name);
                    if (v == null ) {
                              return null ;
                   } else if (v instanceof String[]) {
                             String[] strArr = (String[]) v;
                              if (strArr.length > 0) {
                                      String value = strArr[0];
                                      value = value.replaceAll( "<", "&lt;" );
                                      value = value.replaceAll( "<", "&gt;" );
                                       return value;
                             } else {
                                       return null ;
                             }
                   } else if (v instanceof String) {
                             String value = (String) v;
                             value = value.replaceAll( "<", "&lt;" );
                             value = value.replaceAll( ">", "&gt;" );
                              return (String) value;
                   } else {
                              return v.toString();
                   }
          }
}

 

2:利用拦截器过滤

package com.kadang.wp.mobile.wap.core.common;

import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang3.StringUtils;

/**
 * XSS 检查过滤器
 * 
 * @author jianghao
 * @date 2014-08-22
 * 
 */

public class XSSCheckFilter implements Filter {
    // 需要拦截的JS字符关键字

    private String errorPath;
    // 非法xss 字符
    private static String[] SAFE_LESS = { "set-cookie", "<", "%3c", "%3e", ">", "\\" };

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.setErrorPath(filterConfig.getInitParameter("errorPath"));
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException,
            ServletException {
        boolean isSafe = true;

        Enumeration<?> params = req.getParameterNames();
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) resp;
        String requestUrl = request.getRequestURI();

        if (isSafeStr(requestUrl)) {
            while (params.hasMoreElements()) {
                String paramKey = (String) params.nextElement();
                String paramValue = request.getParameter(paramKey);
                if (StringUtils.isNotBlank(paramValue)) {
                    if (!isSafeStr(paramValue)) {
                        isSafe = false;
                        break;
                    }
                }

            }
        } else {
            isSafe = false;
        }

        if (isSafe) {
            chain.doFilter(req, resp);
        } else {
            request.setAttribute("error", "url or params is full of illegal XSS character");
            request.getRequestDispatcher(this.getErrorPath()).forward(request, response);
            return;
        }
    }

    /**
     * 判断URL是否存在非法字符
     * */
    private boolean isSafeStr(String str) {
        if (StringUtils.isNotBlank(str)) {
            for (String s : SAFE_LESS) {
                if (str.toLowerCase().contains(s)) {
                    return false;
                }
            }
        }
        return true;
    }

    @Override
    public void destroy() {

    }

    public String getErrorPath() {
        return errorPath;
    }

    public void setErrorPath(String errorPath) {
        this.errorPath = errorPath;
    }
}

3:利用拦截器拦截URL

<filter>
                    <filter-name> characterFilter</filter-name >
                     <filter-class> com.tsou.comm.filter.CharacterFilter</filter-class >
           </filter>
           <filter-mapping>
                    <filter-name> characterFilter</filter-name >
                    <url-pattern> /*</ url-pattern>
           </filter-mapping>

 

转载于:https://www.cnblogs.com/plf112233/p/4015163.html

weixin_30808575
关注
java的SQL注入XSS攻击
weixin_44976692的博客
01-15 2万+
通过了解和防范SQL注入XSS攻击,我们能够提高Java应用的安全性,保护用户的信息免受威胁。大家好,欢迎来到本文!在Java开发中,安全问题一直备受关注,其中SQL注入XSS攻击是两个常见的安全隐患。是一种攻击手段,通过在应用的用户输入中注入恶意的SQL代码,从而篡改、查询或者删除数据库中的数据。攻击者通过构造精巧的输入,使应用误认为这些输入是合法的SQL语句。**XSS攻击(跨站脚本攻击)**则是通过在Web页面中注入恶意脚本,使用户在浏览器上执行这些脚本,从而盗取用户信息或者执行一些恶意操作。
【项目实战】开发自定义拦截器实现判断请求中的参数是否有SQL注入的风险
最新发布
本本本添哥
03-20 366
客户提出了,如何保整SQL注入的鲁棒性(robust from SQL injection),所谓的鲁棒性,是指程序在面对异常或不合理输入时,能够保持稳定的运行状态,而不会崩溃或产生不可预知的结果。
Java如何防止JS脚本注入代码实例
10-14
主要介绍了Java如何防止JS脚本注入代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
java脚本注入攻击_java防止xss脚本注入攻击,采用spring工具类方式
weixin_42403124的博客
02-17 268
package com.hs.servlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletRequestWrapper;import org.apache.commons.lang.StringEscapeUtils;/**** @date 上午9:44:40* @author ...
JAVA防止JS html 注入
海浪博客|技术|游戏|生活|随心
03-21 6718
public class HtmlEncode { public static String htmlEncode(String string) { if(null == string || "".equals(string)) return null; else{ String result = string; result = result.replaceAl
java 防止js注入_Java如何防止JS脚本注入 Java防止JS脚本注入代码实例
weixin_39673471的博客
02-16 1170
Java如何防止JS脚本注入?本篇文章小编给大家分享一下Java防止JS脚本注入代码实例,文章代码介绍的很详细,小编觉得挺不错的,现在分享给大家供大家参考,有需要的小伙伴们可以来看看。1、java防止JS脚本注入的工具类-通用public class XssUtil {private static MapxssMap = new LinkedHashMap();private static Ma...
java sql inj_Java防止SQL注入的几个途径
weixin_29821699的博客
02-13 246
java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQ...
java 过滤器filter防sql注入实现代码
09-01
Java Web开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过恶意构造的SQL语句来操控数据库。为了防止这种攻击,开发者通常会使用过滤器(Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害...
Java防止xss攻击附相关文件下载
08-25
通过设置CSP,可以防止恶意脚本注入,限制只执行从可信源加载的JavaScript。 6. **避免动态生成JavaScript**: 尽量避免在JavaScript中动态生成HTML,因为这很容易引入XSS漏洞。如果必须这样做,使用模板引擎并...
java web Xss及sql注入过滤器.zip
04-22
1. **过滤器实现**:一个名为`XssSqlFilter`的类,该类实现了`Filter`接口,用于拦截HTTP请求,检查并清理请求参数,防止XSS攻击。过滤器的配置通常在`WebSecurityConfig`类中完成,通过`@EnableWebSecurity`注解...
API拦截教程
05-27
API拦截教程..利用Detour技术,具体的就不多说了
防止非法攻击拦截器
11-08
web应用安全验证,防止非法攻击。防客户端攻击类型:内容欺骗,认证不充分,命令执SQL注入;跨站脚本攻击、链接注入
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
修改请求参数 防止 SQL 注入防止脚本注入
10-30
可以在自定义方法中处理特殊字符实现防止sql注入 脚本注入等功能
java拦截器实现防止SQL注入xss攻击拦截
热门推荐
WWXA
08-22 1万+
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面,要求输...
Java项目防止SQL注入的方式总结
睡竹的博客
03-02 9634
Java项目防止SQL注入的方式总结 springboot配置请求过滤器防止SQL注入 nginx防止SQL注入 mybatis防止SQL注入
java中使用全局过滤器防止过滤css和js
Java_Mike的博客
02-17 8102
我们使用过滤器验证用户是否登录时一般是不会过滤登录和注册界面的,所以要在过滤器中加一些判断条件来防止过滤这两个界面。但是使用全局过滤器的话会将这两个界面的css和js样式一起过滤掉,所以要在判断条件里加多几个条件。总之只要你不需要过滤掉的界面或控制器都可以在判断条件里加,示例如下 web.xml中的全局过滤器配置: SecurityFilter hua.sms.
java 防止脚本注入
叼个奶嘴闯天下i
05-11 943
&lt;!-- 拦截请求 URL--&gt;  &lt;filter&gt;         &lt;filter-name&gt; characterFilter&lt;/filter-name &gt;         &lt;filter-class&gt; com.iplat.platform.CharacterFilter&lt;/filter-class &gt;    &lt;/f...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值