基于黑名单的xss过滤器
/**
* 类名称:AntiXssFilter
* @version
* 类描述:基于黑名单的xss过滤器
* @version
* 创建人:xxx
* @version
* 创建时间:2015年11月3日 下午1:00:11
* @version
* 修改人:xxx 修改时间:2015年11月3日 下午1:00:11
* @version
* 修改备注:
*/
public class AntiXssFilter implements Filter { public void destroy() {
} @SuppressWarnings("unchecked")
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException,UnsupportedEncodingException{
HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse res = (HttpServletResponse) response;
res.setContentType("application/json;charset=UTF-8");
// 校验head参数
if(existsXssHeadElement(req)) {
ResponseUtils.toJson(res, IResponseCode.FAIL, "错误的参数");
// res.sendError(404);
return;
}
// 校验body参数
Map<String, String[]> parameterMap = req.getParameterMap();
for (Object key : parameterMap.keySet()) {
String[] val = (String[]) parameterMap.get(key);
for (String v : val) {
if(null != v){
v = URLDecoder.decode(URLDecoder.decode(v, "utf-8"),"utf-8");
}
if(existsXssElement(v)){
ResponseUtils.toJson(res, IResponseCode.FAIL, "错误的参数");
// res.sendError(404);
return;
}
}
}
chain.doFilter(request, response);
} /**
* @Title: existsXssHeadElement
* @Description: 校验header中的参数
* @return: boolean
* @throws UnsupportedEncodingException
*/
private boolean existsXssHeadElement(HttpServletRequest req) throws UnsupportedEncodingException {
// 设备号
String deviceNo = req.getHeader("deviceNo");
if(null != deviceNo){
deviceNo = URLDecoder.decode(URLDecoder.decode(deviceNo, "utf-8"),"utf-8");
if(existsXssElement(deviceNo)) {
return true;
}
}
// 终端
String client = req.getHeader("client");
if(null != client){
client = URLDecoder.decode(URLDecoder.decode(client, "utf-8"),"utf-8");
if(existsXssElement(client)) {
return true;
}
}
// 渠道
String channel = req.getHeader("channel");
if(null != channel){
channel = URLDecoder.decode(URLDecoder.decode(channel, "utf-8"),"utf-8");
if(existsXssElement(channel)) {
return true;
}
}
// app版本号
String version = req.getHeader("version");
if(null != version){
version = URLDecoder.decode(URLDecoder.decode(version, "utf-8"),"utf-8");
if(existsXssElement(version)) {
return true;
}
}
// app版本号序号
String build = req.getHeader("build");
if(null != build){
build = URLDecoder.decode(URLDecoder.decode(build, "utf-8"),"utf-8");
if(existsXssElement(build)) {
return true;
}
}
// ip
String ip = req.getHeader("ip");
if(null != ip){
ip = URLDecoder.decode(URLDecoder.decode(ip, "utf-8"),"utf-8");
if(existsXssElement(ip)) {
return true;
}
}
return false;
} public void init(FilterConfig arg0) throws ServletException {
} /**
* 黑名单
* existsXssElement
* @param
* @return
* @throws
* @author zhuzheng
* @date 2015年11月2日 下午1:12:16
*/
private boolean existsXssElement(String s)
throws UnsupportedEncodingException{
boolean res = false;
s = s.toLowerCase();
res=getIncludeSqlSpecialCharsFlag(s);
if(!res){
res=getIncludeHtmlSpecialCharsFlag(s);
}
return res;
} /**
* 替换一些特殊字符
* replaceSpecialChars
* @param
* @return
* @throws
* @author zhuzheng
* @date 2015年11月2日 下午1:12:16
*/
private String replaceSpecialChars(String s) throws UnsupportedEncodingException {
String specialChar = "";
s = s.replaceAll("(\r|\n|\t|\f|'|\")", "");
s = s.replaceAll("(\r|\n|\t|\f|'|\")", "");
int specialCharsLen = specailCharArray.length;
for (int i = 0; i < specialCharsLen; i++) {
specialChar = specailCharArray[i];
specialChar = URLDecoder.decode(URLDecoder.decode(specialChar, "utf-8"), "utf-8");
s = s.replaceAll(specialChar, "");
}
return s;
} /**
* 判断是否包含html特殊字符
* getIncludeHtmlSpecialCharsFlag
* @param
* @return
* @throws UnsupportedEncodingException
* @throws
* @author zhuzheng
* @date 2015年11月2日 下午1:12:16
*/
private boolean getIncludeHtmlSpecialCharsFlag(String s) throws UnsupportedEncodingException{
boolean res = false;
// s=replaceSpecialChars(s);
if ( //XSS黑名单
s.indexOf("javascript:") != -1 || s.indexOf("document.cookie") != -1
|| s.indexOf("<script") != -1 || s.indexOf("<iframe") != -1
|| s.indexOf("\"><script>") != -1 || s.indexOf("\"<script>") != -1
|| s.indexOf("<img") != -1 || s.indexOf("onclick=") != -1
|| s.indexOf("<style") != -1 || s.indexOf(")//") != -1
|| s.indexOf("\">") != -1 || s.indexOf("<body") != -1
|| s.indexOf("/xss/") != -1 || s.indexOf("onfocus") != -1
|| s.indexOf("alert") != -1 //|| s.indexOf(";") != -1
|| s.indexOf("fromcharcode") != -1 || s.indexOf("eval") != -1
|| s.indexOf("<a") != -1 || s.indexOf("cookie") != -1
|| s.indexOf("document.write") != -1
) {
ExceptionLogger.error("请求拦截可能存在SQL和脚本注入", "请求参数:"+ s , null);
res = true;
}
return res;
}
/**
* 判断是否包含sql特殊字符
* getIncludeSqlSpecialCharsFlag
* @param
* @return
* @throws
* @author zhuzheng
* @date 2015年11月2日 下午1:12:16
*/
private boolean getIncludeSqlSpecialCharsFlag(String s) {
// 过滤掉的sql关键字,可以手动添加
String badStr = "'|and |exec |execute |insert |select |delete |update |count|drop |chr|mid|master|truncate |"
+ "char|declare |sitename|net user|xp_cmdshell|or |like'%|like '%|insert |create |"
+ "table|from|grant|use|group_concat|column_name|"
+ "information_schema.columns|table_schema|union |where |order by |group by ";
String[] badStrs = badStr.split("\\|");
for (int i = 0; i < badStrs.length; i++) {
if (s.indexOf(badStrs[i]) >= 0) {
ExceptionLogger.error("请求拦截可能存在SQL和脚本注入", "请求参数:"+ s , null);
return true;
}
}
return false;
} private String[] specailCharArray = { "%00", "%2B", "%25E3%2580%2580" }; }
基于黑名单的xss过滤器的更多相关文章
- 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)
1. 简介 XSS,即跨站脚本编制,英文为Cross Site Scripting.为了和CSS区分,命名为XSS. XSS是最普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码 ...
- 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于Jsoup)
1. 跨站点脚本编制 风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务. 原因:未对用户输入正确执行危险字符清 ...
- WAF指纹识别和XSS过滤器绕过技巧
[译文] -- “Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters” 0x1 前言 之前在乌云drop ...
- Chrome和IE的xss过滤器分析总结
chrome的xss过滤器叫xssAuditor,类似IE的xssFilter,但是他们有很大的内在区别 chrome xssAuditor工作原理 chrome的xss检测名称为 xssAudito ...
- XSS过滤器的实现
一.XSS是什么 全称跨站脚本(cross site script)XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去.使别的用户访问 ...
- 绕过基于签名的XSS筛选器:修改HTML
绕过基于签名的XSS筛选器:修改HTML 在很多情况下,您可能会发现基于签名的过滤器只需切换到一个不太熟悉的执行脚本的方法即可.如果失败了,您需要查看混淆攻击的方法. 本文提供了HTML语法可以被混淆 ...
- 基于dom的xss漏洞原理
原文:http://www.anying.org/thread-36-1-1.html转载必须注明原文地址最近看到网络上很多人都在说XSS我就借着暗影这个平台发表下自己对这一块的一些认识.其实对于XS ...
- 基于DOM的XSS注入漏洞简单解析
基于DOM的XSS注入漏洞简单解析http://automationqa.com/forum.php?mod=viewthread&tid=2956&fromuid=21
- 基于Python的XSS测试工具XSStrike使用方法
基于Python的XSS测试工具XSStrike使用方法 简介 XSStrike 是一款用于探测并利用XSS漏洞的脚本 XSStrike目前所提供的产品特性: 对参数进行模糊测试之后构建合适的payl ...
随机推荐
- Intent
1.http://blog.csdn.net/daogepiqian/article/details/50606474 2.http://blog.csdn.net/wulianghuan/artic ...
- 【Kubernetes】K8S网络方案--最近在看的
K8S网络-最近在看的 Create a Minikube cluster - Kubernetes Kubernetes Documentation - Kubernetes Kubernetes ...
- Unity3D 接完GVR SDk后如何插入自己的java代码
1.用Eclipse创建一个Android Application Project 2.用压缩软件打开gvr_android_common.aar和unitygvractivity.aar,分别把里面 ...
- Yii 1开发日记 -- 后台搜索功能下拉及关联表搜索
Yii 1 实现后台搜索,效果如下: 一. 下拉搜索: 1.模型中和常规的一样 if (isset($_GET['agency']['status']) && $_GET['agenc ...
- StringBuffer与StringBuilder的简单理解
联系:两者都适用于字符串的操作,都可以随便对字符串的内容进行变更操作,都继承至AbstractStringBuilder. 区别:StringBuffer是线程安全的,方法都加了synchronize ...
- 基因匹配(bzoj 1264)
Description 基因匹配(match) 卡卡昨天晚上做梦梦见他和可可来到了另外一个星球,这个星球上生物的DNA序列由无数种碱基排列而成(地球上只有4种),而更奇怪的是,组成DNA序列的每一种碱 ...
- JS身份证号码校验
var Wi = [ 7, 9, 10, 5, 8, 4, 2, 1, 6, 3, 7, 9, 10, 5, 8, 4, 2, 1 ]; // 加权因子 var ValideCode = [ 1, 0 ...
- JavaScript浮动广告代码,容纯DIV/CSS对联漂浮广告代码,兼容性非常好的js右下角与漂浮广告代码
基于JavaScript代码实现随机漂浮图片广告,javascript图片广告 在网上有很多这样的代码,不过未必符合W3C标准,因为在头部加上<!DOCTYPE html>类似标签之后,漂 ...
- Android Studio中Button等控件的Text中字符串默认大写的解决方法
初学Android的时候,在Android Studio中xml里面添加一个Button.EditText等控件后,它的Text总是会显示大写,即使你输入的字符串是小写也不行,控制字符串大小写的属性是 ...
- 剑指Offer-【面试题05:从头到尾打印链表】
package com.cxz.question5; import java.util.Stack; /* * 输入个链表的头结点,从尾到头反过来打印出每个结点的值. * */ public clas ...