防止xss攻击 --- getParameter getParameterValues getParameterMap的使用

最新推荐文章于 2024-07-13 09:15:00 发布
最新推荐文章于 2024-07-13 09:15:00 发布
阅读量3k 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zh521zh/article/details/79353127
版权

import java.io.IOException;
import java.util.HashMap;
import java.util.Map;
import java.util.Set;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;           (wrapper:包装器,封装器)


import org.apache.commons.text.StringEscapeUtils;


public class XssFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}


@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
}


@Override
public void destroy() {
}

//自定义内部类
public class XssHttpServletRequestWrapper  extends  HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest request) {
     super(request);
}


@Override
public String getHeader(String name) {
return StringEscapeUtils.escapeHtml4(super.getHeader(name));
}


@Override
public String getQueryString() {
return StringEscapeUtils.escapeHtml4(super.getQueryString());
}


@Override
public String getParameter(String name) {
return StringEscapeUtils.escapeHtml4(super.getParameter(name));

}

 

@Override
public Map getParameterMap() {

Map<String, String[]> map1 = super.getParameterMap();
Map<String, String[]> escapseMap = new HashMap<String, String[]>();
Set<String> keys = map1.keySet();
for (String key : keys) {
String[] valArr = map1.get(key);
if (valArr != null && valArr.length > 0) {
String[] escapseValArr = new String[valArr.length];
for (int i = 0; i < valArr.length; i++) {
String escapseVal = StringEscapeUtils.escapeHtml4(valArr[i]);
escapseValArr[i] = escapseVal;
}
escapseMap.put(key, escapseValArr);
}
}

return escapseMap;
}


@Override
public  String[]  getParameterValues(String name) {

String[] values  =  super.getParameterValues(name);

if (values != null) {
int length = values.length;
String[] escapseValues = new String[length];
for (int i = 0; i < length; i++) {
escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);
}
return escapseValues;
}
return super.getParameterValues(name);
}
}


}

zh521zh
关注
专栏目录
springboot-防止sql注入,xss攻击,cros恶意访问
2010yhh
11-25 4万+
springboot-防止sql注入,xss攻击,cros恶意访问 文章目录springboot-防止sql注入,xss攻击,cros恶意访问1.sql注入2.xss攻击3.csrf/cros 完整代码下载链接: https://github.com/2010yhh/springBoot-demos.git 环境 idea2018,jdk1.8, springboot版本:springboot1...
Springboot 阻止XSS攻击
web13985085406的博客
08-02 837
写此文章的目的是为了记录一下在工作中解决的XSS漏洞问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做??,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。就是注意要分情况处理。拦截器处理一部分,并注意拦截器的注册方式Jackson的方式处理另一部分,也是注意配置方式让我们共同进步。...
XSS过滤器继承HttpServletRequestWrapper,重写getParameterMap方法
codesweetpotato的博客
04-16 980
**XSS过滤器继承HttpServletRequestWrapper,重写getParameterMap方法** XSS过滤器写法
Spring、SpringBoot重写HttpServletRequestWrapper进行parameter处理
IM507的博客
11-20 1万+
前言:   日常开发中,我们常常需要对接口接入的数据参数进行处理,比如解密,关于@RequestBody这类流参数处理,上一章已经有处理方法,链接:RequestBodyAdvice 和 ResponseBodyAdvice增强器使用 这篇主要讲对request的参数进行处理。 实现步骤   众所周知,获取request的参数无非三种方式:   (1)getParameter(String nam...
设计模式:从HttpServletRequestWrapper了解装饰者模式
最新发布
糖拌西红柿
07-13 1182
设计模式、装饰者模式、拦截器参数处理、参数失效、安全拦截
Spring: HttpServletRequestWrapper的作用
玉汝于成
02-29 1169
定制请求参数:通过继承 HttpServletRequestWrapper 类,你可以重写 getParameter()、getParameterValues() 等方法,实现对请求参数的自定义处理逻辑,例如添加、修改、删除某些参数。过滤请求内容:可以在 HttpServletRequestWrapper 中重写 getInputStream() 和 getReader() 方法,实现对请求体内容的过滤或修改,比如日志记录、数据加密等操作。
转:getParameter、getParameterValues、getParameterMap用法详解
qq_39225571的博客
09-18 327
首先request中的参数parameter是一个map表,如下例 map={username=[xxx],password=[xxx],hobby=[eat,drink]} (1)当调用getParameter(“hobby”)时只能获取hobby[0] ,即eat。 (2)调用getParameterValues(“hobby”)时能获取hobby=[eat,drink]这个数组。 ...
HttpServletRequestWrapper的使用与原理
li12412414的博客
05-08 3519
HttpServletRequestWrapper 实现了 HttpServletRequest 接口,可以让开发人员很方便的改造发送给 Servlet 的请求.HttpServletRequest 对参数值的获取实际调的是org.apache.catalina.connector.Request没有提供对应的set方法修改属性所以不能对前端传来的参数进行修改,实际场所像过滤xss攻击,取认证token统一去除token前缀等需要进行请求参数的处理。
SpringBoot 防止XSS攻击和SQL攻击拦截器
weixin_47107856的博客
01-05 748
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对...
Java--Filter过滤器防止XSS SQL注入
JustinQin
11-17 2882
一、攻击说明 XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到...
SpringBoot2 学习笔记(四)——使用Jsoup防御XSS攻击
haliaddel的博客
12-15 627
什么是XSS攻击 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 使用Jsoup可以有效的过滤不安全的代码。Jsoup使用白名...
笔记:HttpServletRequestWrapper 用法
jackyrongvip的专栏
05-22 406
Servlet规范中所引入的filter令人心动不已,因为它引入了一个功能强大的拦截模式。Filter是这样一种Java对象,它能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。你可以使用filter来实现特定的任务,比如验证用户输入,以及压缩web内容。但你拟富有成效地使用过滤...
HttpServletRequestWrapper 使用笔记
热门推荐
lin1214000999的博客
06-01 1万+
产生背景: HttpServletRequest 不能对前端传来的参数进行修改,但实际场所像过滤xss攻击,取认证token统一去除token前缀等需要进行请求参数的处理。此时HttpServletRequestWrapper 就应运而生了。原理: HttpServletRequestWrapper 采用装饰者模式对HttpServletRequest进行包装,我们可以通过继承HttpServletRequestWrapper 类去重写getParameterValues,getParameter等方
springboot 防止xss 和sql 注入 改写 http 请求 getParameter,getParameterValues,getHeader等方法 有点东西
银河系天城知识宝库_技术专家蒋浩宇
06-12 1849
1.springboot 启动类 引入 过滤器配置 package com.superman; import java.util.HashMap; import java.util.Map; import org.apache.log4j.BasicConfigurator; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplic
预防XSS攻击,(参数/响应值)特殊字符过滤
weixin_34200628的博客
12-17 1549
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phi...
JSP过滤器防止Xss漏洞
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
XSS漏洞通过HttpServletRequestWrapper实现
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper中实现参数的修改,然后用Http...
继承HttpServletRequestWrapper以实现在Filter中修改HttpServletRequest的参数
lawliet的博客
02-17 1万+
一 简介 如题所示,有时候我们需要在一个请求到达Controller之前能够截获其请求,并且根据其具体情况对 HttpServletRequest 中的参数进行过滤或者修改。这时,有的同学可能会想:我们是否可以在一个Filter中将 HttpServletRequest 里的所有参数都取出来分别进行过滤然后再放回到该HttpServletRequest 中呢? 很显然,在 HttpServle
java过滤xss_java处理XSS过滤的方法
weixin_32533659的博客
02-12 1891
如果系统中,没有富文本编辑器的功能,那么对于XSS过滤可以采用如下方式过滤如果采用了struts2,那么需要重写StrutsRequestWrapper如果没有采用struts2,那么直接重写HttpServletRequestWraper在自定义的HttpServletRequestWraper中需要重写getParameterMap()方法才行,如下:@Overridepublic Map g...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值