一次诡异的关于filter的问题

最新推荐文章于 2021-04-29 22:35:58 发布
最新推荐文章于 2021-04-29 22:35:58 发布
阅读量169 收藏
点赞数
文章标签: java javascript web.xml ViewUI
原文链接:https://segmentfault.com/a/1190000017163330
版权
  1. 接收前台post请求封装的"versionDescription":"eeeeee",时,莫名传到后台就变成"versionDeion":"eeeeee",了。
  2. 找了半天,一直以后是前台的问题,一直在翻阅各种js代码。 后来,请教大佬,大佬一听到刚好少了script后,灵光乍现,感觉是拦截器的原因,后来查阅,果不其然。
  1. XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等
  2. 参考https://www.cnblogs.com/xuxiu...
  3. 参考 http://www.cnblogs.com/jiangs...
  4. 参考 https://blog.csdn.net/qq_3292...
  5. 参考 https://blog.csdn.net/u012114...
  • 这是一个预防XSS注入的拦截器,web.xml配置如下:
    <filter>
        <filter-name>xssFilter</filter-name>
        <filter-class>com.cashew.utils.XssFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>xssFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
  • 拦截器:
package com.sgcc.utils;

import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.net.URLDecoder;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Locale;
import java.util.Map;
import java.util.Set;
import java.util.Map.Entry;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import javax.servlet.http.HttpServletResponse;

import net.sf.json.JSONObject;

import org.apache.log4j.Logger;

public class XssFilter implements Filter {

    Logger log = Logger.getLogger(this.getClass());
    private static Pattern SCRIPT_PATTERN = Pattern
            .compile("<script.*>.*<\\/script\\s*>");
    private static Pattern HTML_PATTERN = Pattern.compile("<[^>]+>");

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest servletRequest,
            ServletResponse servletResponse, FilterChain chain)
            throws IOException, ServletException {
        // 获得在下面代码中要用的request,response,session对象
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        // 设置cookie heetOnly
        Cookie[] cookies = request.getCookies();
        if (cookies != null && cookies.length > 0) {
            Cookie cookie = cookies[0];
            if (cookie != null) {
                // Servlet 2.5不支持在Cookie上直接设置HttpOnly属性
                String value = cookie.getValue();
                StringBuilder builder = new StringBuilder();
                builder.append("JSESSIONID=" + value + "; ");
                builder.append("Secure; ");
                builder.append("HttpOnly; ");
                Calendar cal = Calendar.getInstance();
                cal.add(Calendar.MINUTE, 30);
                Date date = cal.getTime();
                Locale locale = Locale.CHINA;
                SimpleDateFormat sdf = new SimpleDateFormat(
                        "dd-MM-yyyy HH:mm:ss", locale);
                builder.append("Expires=" + sdf.format(date));
                response.setHeader("Set-Cookie", builder.toString());
            }
        }
                
        String method = request.getMethod();  
        if("POST".equalsIgnoreCase(method)){ 
            if (getParameterMap(request)) {
                log.info("-----检测到危险字符,终止请求");
                response.setCharacterEncoding("UTF-8");
                response.getWriter().write(JSONObject.fromObject(getFailedMap("检测到疑似注入操作,终止请求")).toString());
                return;
            }
        }else{
            boolean isScri = this.filterHtmlStr(request);
            boolean isSql = this.filterSql(request);
            if (!isScri || !isSql) {
                log.info("检测到危险字符,终止请求");
                response.setCharacterEncoding("UTF-8");
                response.getWriter().write(JSONObject.fromObject(getFailedMap("检测到疑似注入操作,终止请求")).toString());
                return;
            }
        }
        
        //chain.doFilter(servletRequest, servletResponse);  
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) servletRequest), servletResponse);
    }

    @Override
    public void destroy() {
        // TODO Auto-generated method stub

    }
    /**  
     * 方法说明 :通过获取map的方法
     */   
    @SuppressWarnings("rawtypes")  
    private boolean getParameterMap(HttpServletRequest request) {  
        Map map = request.getParameterMap();  
        boolean illegalStr = false;  
        if (map != null) {  
            Set set = map.entrySet();  
            Iterator iterator = set.iterator();  
            while (iterator.hasNext()) {  
                Map.Entry entry = (Entry) iterator.next();  
                if (entry.getValue() instanceof String[]) {  
                    //System.out.println("==A==entry的key�? " + entry.getKey());  
                    String[] values = (String[]) entry.getValue();  
                   for (int i = 0; i < values.length; i++) {  
                       if(!entry.getKey().toString().equals("buildJsonSettings")){
                           if(!filterSqlFromSream(values[i]) || !filterHtmlStr(values[i])){
                               System.out.println("1====非法字符 key=" +entry.getKey().toString() + ";value=" + values[i]);  
                               illegalStr = true;
                               break;
                           } 
                       }
                    }
                } else if (entry.getValue() instanceof String) {  
                    if(!filterSqlFromSream(entry.getValue().toString()) || !filterHtmlStr(entry.getValue().toString())){
                         System.out.println("2====非法字符 key=" +entry.getKey().toString() + ";value=" + entry.getValue().toString());  
                         illegalStr = true;
                         break;
                     } 
                }  
            }  
        }  
        return illegalStr;  
} 
    public boolean filterHtmlStr(String inputStr) {

        Matcher mHtml = HTML_PATTERN.matcher(inputStr);
        if (mHtml.find()) {
            log.info("1------------------------Html str:" + inputStr);
            return false;
        }
        Matcher m = SCRIPT_PATTERN.matcher(inputStr);
        if (m.find()) {
            log.info("1------------------------js str:" + inputStr);
            return false;
        }
        return true;

    }

    public boolean filterHtmlStr(HttpServletRequest request) {

        Map<String, String[]> paramMap = request.getParameterMap();
        String lowStr = null;
        Set<Entry<String, String[]>> keSet = paramMap.entrySet();
        for (Iterator<Entry<String, String[]>> itr = keSet.iterator(); itr
                .hasNext();) {
            @SuppressWarnings("rawtypes")
            Map.Entry me = (Map.Entry) itr.next();
            Object ov = me.getValue();
            String[] value = new String[1];
            if (ov instanceof String[]) {
                value = (String[]) ov;
            } else {
                value[0] = ov.toString();
            }
            for (int k = 0; k < value.length; k++) {
                lowStr = value[k];
                Matcher mHtml = HTML_PATTERN.matcher(lowStr);
                if (mHtml.find()) {
                    log.info("2------------------------Html str:" + lowStr);
                    return false;
                }
                Matcher m = SCRIPT_PATTERN.matcher(lowStr);
                if (m.find()) {
                    log.info("2------------------------js str:" + lowStr);
                    return false;
                }
            }
        }
        return true;

    }

    public boolean filterSql(HttpServletRequest request) {
        Enumeration<String> params = request.getParameterNames();
        String sql = "";
        String name = "";
        while (params.hasMoreElements()) {
            name = params.nextElement().toString();
            log.info(String.format("name is [%s]", name));
            String[] value = request.getParameterValues(name);
            for (int i = 0; i < value.length; i++) {
                sql += value[i] + " ";
            }
        }
        sql = sql.toLowerCase();

        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|chr|mid|truncate|"
                + "char|declare|sitename|net user|xp_cmdshell|or|like'|and|exec|execute|insert|create|drop|"
                + "table|from|grant|use|group_concat|column_name|"
                + "information_schema.columns|table_schema|union|where|order|by|count|*|"
                + "chr|mid|truncate|char|declare|or|like";
        String[] badStrs = badStr.split("\\|");
        String[] param = sql.split(" ");
        for (int j = 0; j < param.length; j++)
            for (int i = 0; i < badStrs.length; i++) {
                if (param[j].equalsIgnoreCase(badStrs[i])) {
                    log.info(String.format("1------------查询到SQL注入,输入参数:[%s]", sql));
                    return false;
                }
            }
        return true;
    }

    public boolean filterSqlFromSream(String inputJson) {
        String sql = "";
        try {
            sql = URLDecoder.decode(inputJson,"UTF-8");
        } catch (UnsupportedEncodingException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|chr|mid|truncate|"
                + "char|declare|sitename|net user|xp_cmdshell|or|like'|and|exec|execute|insert|create|drop|"
                + "table|from|grant|use|group_concat|column_name|"
                + "information_schema.columns|table_schema|union|where|order|by|count|*|"
                + "chr|mid|truncate|char|declare|or|like";
        String[] badStrs = badStr.split("\\|");
        String[] param = sql.split(" ");
        for (int j = 0; j < param.length; j++)
            for (int i = 0; i < badStrs.length; i++) {
                if (param[j].equalsIgnoreCase(badStrs[i])) {
                    log.info(String.format("2------------查询到SQL注入,输入参数:[%s]", sql));
                    return false;
                }
            }
        return true;
    }

    
    public String checkSpecialWord(String str) {
        return Pattern
                .compile(
                        "[`~!@#$%^&*()+=|{}':;',\\[\\].<>/?~!@#�?%…�??&*()—�??+|{}【�?��?�;:�?��?��?��?�,、?]")
                .matcher(str).replaceAll("").trim();
    }

    private Map<String, String> getFailedMap(String message) {
        Map<String, String> ret = new HashMap<String,String>();
        ret.put("status", "failed");
        ret.put("message", message);
        return ret;
    }

    class XSSRequestWrapper extends HttpServletRequestWrapper {

        public XSSRequestWrapper(HttpServletRequest request) {
            super(request);
        }

        public String getParameter(String name) {
            String value = super.getParameter(name);
            if (value != null) {
                value = cleanXSS(value);
            }

            return value;
        }

        public String[] getParameterValues(String name) {
            String[] values = super.getParameterValues(name);
            if (values != null) {
                for (int i = 0; i < values.length; i++) {
                    values[i] = cleanXSS(values[i]);
                }
            }

            return values;
        }

        private String cleanXSS(String value) {
            value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
            if(value.toLowerCase().contains("<script") || value.toLowerCase().contains("</script>") ){
                value = value.substring(0,value.toLowerCase().indexOf("script"))+value.substring(value.toLowerCase().indexOf("script")+6);
            }
            return value;
        }
    }

    
}
weixin_33901843
关注
记录一次Flink ElasticsearchSink SocketTimeoutException异常问题排查
HugeBitter的博客
08-20 2500
ElasticsearchSink SocketTimeoutException异常问题排查解决
分析一次kotlin-android-extensions引起的空指针问题
重学Android,保持学习
11-09 2936
背景 最近开发遇到一个问题,下面图片的recycleview在滚动的时候需要动态的去滚动上面的分类recycleview,如下图,结果是代码里虽然写了在底部rv滚动的时候已计算出对应的分类rv_tab的position,并调用了rv_tab?.smoothScrollToPosition(parentPosition),为何没有生效? 代码逻辑也很清晰: //初始化滤镜浮层下面的分类 filterList.apply { layoutManager
奇怪bug解决经历
CodersCoder的博客
07-22 460
使用背景 由于项目需要,提供rest接口给第三方系统调用,第三方发送json格式请求数据,所以采用fastjson对接口信息进行解析。 大致数据格式如下: fastjson版本: 程序解析 逐层解析,然后将需要的信息存放到一个对象中。 问题出现 在解析description的时候,发现一直无法解析到对应的值,可是json串中确实存在,由于项目依赖启动较多,部署环境启动后,发现输出日志奇怪的变成了 很奇怪,莫名其妙的问题,由于description变成了deion。所以在解析去取descriptio
Spring Json字符串中description变成deion
一个不安分的程序员
02-04 639
前端提交过来一个Json字符串: 包含属性description,后端转换为JSON对象后却获取不到description属性值,经排查是后端接收到的字符串中将description替换为了deion,具体原因不详.
filter过滤器解决全局编码问题
hou973561160的博客
09-01 1696
java 源码文件 package cn.itheima.web.filter; import java.io.IOException; import java.io.UnsupportedEncodingException; import java.util.Map; import javax.servlet.Filter; import javax.servlet.FilterChain
项目实施中的团队协作--关于发现问题、解决问题有效模式的探讨
天涯兰的博客
10-14 4180
本文面向分布式环境下企业级应用的实施过程中,Onsite实施团队和Offshore研发团队之间的有效协作。项目实施过程是一个发现问题、解决问题的过程,由于是在分布式远程环境下,沟通不畅给问题的发现和解决带来了正常研发过程中所无法想象的挑战。本文对上述场景下如何应对协作过程中的困难提几点思路并对工作展开的有效模式进行探讨。
一次通过Arthas定位解决spring-boot中内嵌tomcat的bug问题
qq826654664jx的专栏
09-15 2998
背景 公司有个渠道系统,专门对接三方渠道使用,没有什么业务逻辑,主要是转换报文和参数校验之类的工作,起着一个承上启下的作用。 最近在优化接口的响应时间,优化了代码之后,但是时间还是达不到要求;有一个诡异的100ms左右的耗时问题,在接口中打印了请求处理时间后,和调用方的响应时间还有差了100ms左右。比如程序里记录150ms,但是调用方等待时间却为250ms左右。 下面记录下当时详细的定位&amp...
漫谈HBase Filter
小米云技术
07-09 1203
初衷 对数据库来说,满足业务多样化的查询方式非常重要。如果说有人设计了一个KV数据库,只提供了Get/Put/Scan这三种接口,估计要被用户吐槽到死,毕竟现实的业务场景并不简单。就以订单系统来说,查询给定用户最近三个月的历史订单,这里面的过滤条件就至少有2个:1. 查指定用...
FAQ:elasticsearch的常见问题记录
lixinkuan的博客
04-29 719
FAQ1:curl http://localhost:9200/_cluster/health?pretty 报错:Failed connect to localhost:9200; Connection refused 原因:保留的network.host: 10.1.193.40地址和访问地址需要不一致导致 解决:curl http://10.1.193.40:9200/_cluster/health?pretty FAQ2:[***][es-2] failed to send join ...
ubuntu解压时遇到Parsing filters is unsupported问题解决
跃动的风的博客
02-12 3432
解压一个rar文件时碰到了这个错误:Parsing filters is unsupported 找了几个都不好使,最后参考https://blog.csdn.net/Mmagic1/article/details/81740825终于成功。 先安装 sudo apt install rar 之后运行rar x test.rar解压就ok。 这里将text.rar替换为你的压缩文件名。 ...
TomCat之Filter小析
weixin_33949359的博客
05-07 219
对于做过web开发的人来说,Servlet中的过滤器肯定都不会陌生。这里我尝试着分析一下TomCat服务器中对于Filter是怎么组装的。在这之前,先把主要的几个类列一下: Filter 过滤器接口 FilterChain 过滤器链 FilterConfig 过滤器的配置 FilterDef 过滤器的配置和描述 ApplicationFil...
一次诡异的SpringMVC中拦截路径的问题
06-09 117
<!--springmvc中的核心控制器--><servlet> <servlet-name>dispatcherServlet</servlet-name> <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-clas...
服务网关ZuulFilter过滤器--如何解决跨域请求中的OPTIONS请求
weixin_30439067的博客
05-30 709
进行跨域请求的时候,并且请求头中有额外参数,比如token,客户端会先发送一个OPTIONS请求 来探测后续需要发起的跨域POST请求是否安全可接受 所以这个请求就不需要拦截,下面是处理方式 @Override public boolean shouldFilter() { RequestContext requestContext = RequestCont...
真正解决W10: Warning: Changing a readonly file,E45: 'readonly' option is set (add ! to override)
热门推荐
AKmumu的专栏
09-19 4万+
大家在linux上编辑文件的时候,明明是使用的root登录的,可是这种至高无上的权限在按下i的时候被那串红色错误亵渎了W10: Warning: Changing a readonly file 抱着试试看的态度更改了文件,保存的那一刻又被一串红色错误E45: 'readonly' option is set (add ! to override)深深的伤害了 这些错误往往是我们使用ssh时出
【python+selenium】运行结果去掉waring
测试且点点21的博客
09-02 469
import warnings warnings.simplefilter('ignore',ResourceWarning)
filter 跨域问题
最新发布
08-02
回答: 跨域问题可以通过使用filter来解决。在web.xml文件中添加filter配置,可以拦截请求并进行处理。[1]首先,你需要在web.xml文件中添加filter的配置,包括filter-name和filter-class。filter-name是filter的名称...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值