过滤器防止xss攻击

 1、新建过滤器XssFilter

public class XssFilter implements Filter {


    public void init(FilterConfig filterConfig) throws ServletException {
    }


    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
            chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request,request.getParameterMap()), response);
    	
    }


    public void destroy() {
    }
}

 2、重写HttpServletRequestWrapper

将参数中有关xss攻击的非法字符全部处理掉

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
	private Map<String, String[]> params;
	
    public XssHttpServletRequestWrapper(HttpServletRequest request,Map<String, String[]> newParams) {
    	super(request);
    	params=new HashMap<String, String[]>();

		for(String key:newParams.keySet()){
			String[] value=newParams.get(key);
			int count = value.length;
	        String[] encodedValues = new String[count];
	        for (int i = 0; i < count; i++) {
	            encodedValues[i] =cleanXss(value[i]);
	        }
	        params.put(key, encodedValues);
		}

    }  
  
    @Override
    public String[] getParameterValues(String parameter) {

        String[] values = super.getParameterValues(parameter);
        if (values != null){
            String value = Arrays.toString(values);
            if(value.contains("%0d")||value.contains("%0a")){
                return new String[]{"errorparam"};
            }

            int length = values.length;
            String[] escapseValues = new String[length];
            for (int i = 0; i < length; i++)
            {
                // 防xss攻击和过滤前后空格
                escapseValues[i] = cleanXss(values[i]);
            }
            return escapseValues;
        }
        return null;
    }
    @Override
    public String getParameter(String parameter) {

        String value = super.getParameter(parameter);
        return cleanXss(value);
    }
    
    
    @Override
    public Map<String, String[]> getParameterMap() {
		return params;		
	}
    
    @Override
    public String getHeader(String name) {
    	
        String value = super.getHeader(name);
        return cleanXss(value);
    }
    private String stripXSS(String value) {
        if (value != null) {
            // Avoid eval(...) e­xpressions
            Pattern scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid e­xpression(...) e­xpressions
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid javascript:... e­xpressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid vbscript:... e­xpressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid onload= e­xpressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }

    private String cleanXss(String value){
        if(!EmptyUtil.isEmpty(value)) {
            value = stripXSS(value);
            value = cleanXSS(value);

        }
        return value;
    }
    
    private String cleanXSS(String value) {
        //You'll need to remove the spaces from the html entities below
     	if(!EmptyUtil.isEmpty(value)){

            value = value.replaceAll("selectschool", "");
            value = value.replaceAll("keyword", "");
            value = value.replaceAll("startTime", "");
            value = value.replaceAll("endTime", "");
            value = value.replaceAll("selectschool", "");
            value = value.replaceAll("keytree", "");
            value = value.replaceAll("checkVal", "");
            value = value.replaceAll("relateType", "");
            value = value.replaceAll("classId", "");

            value = value.replaceAll("<xsstag", "");
            value = value.replaceAll("domxssExecutionSink", "");
            value = value.replaceAll("=javascript", "");
            value = value.replaceAll("script", "");
            value = value.replaceAll("iframe", "");
            

            value = value.replaceAll("<", "<").replaceAll(">", ">");
            value = value.replaceAll("\\(", "(").replaceAll("\\)", ")");
            value = value.replaceAll("'", "'");
            value = value.replaceAll("\"", "”");
            value = value.replaceAll(";", ";");

        
            value = value.replaceAll("&amp;","&");
            value = value.replaceAll("%26amp;","%26");
			value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
			value = value.replaceAll("(?i)script", "");
			value = value.replaceAll("iframe", "");
			value = value.replaceAll("window.open", "");

    	}
		return value;
	}


}

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无言.默

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值