基于黑名单的xss过滤器
/**
* 类名称:AntiXssFilter
* @version
* 类描述:基于黑名单的xss过滤器
* @version
* 创建人:xxx
* @version
* 创建时间:2015年11月3日 下午1:00:11
* @version
* 修改人:xxx 修改时间:2015年11月3日 下午1:00:11
* @version
* 修改备注:
*/
public class AntiXssFilter implements Filter { public void destroy() {
} @SuppressWarnings("unchecked")
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException,UnsupportedEncodingException{
HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse res = (HttpServletResponse) response;
res.setContentType("application/json;charset=UTF-8");
// 校验head参数
if(existsXssHeadElement(req)) {
ResponseUtils.toJson(res, IResponseCode.FAIL, "错误的参数");
// res.sendError(404);
return;
}
// 校验body参数
Map<String, String[]> parameterMap = req.getParameterMap();
for (Object key : parameterMap.keySet()) {
String[] val = (String[]) parameterMap.get(key);
for (String v : val) {
if(null != v){
v = URLDecoder.decode(URLDecoder.decode(v, "utf-8"),"utf-8");
}
if(existsXssElement(v)){
ResponseUtils.toJson(res, IResponseCode.FAIL, "错误的参数");
// res.sendError(404);
return;
}
}
}
chain.doFilter(request, response);
} /**
* @Title: existsXssHeadElement
* @Description: 校验header中的参数
* @return: boolean
* @throws UnsupportedEncodingException
*/
private boolean existsXssHeadElement(HttpServletRequest req) throws UnsupportedEncodingException {
// 设备号
String deviceNo = req.getHeader("deviceNo");
if(null != deviceNo){
deviceNo = URLDecoder.decode(URLDecoder.decode(deviceNo, "utf-8"),"utf-8");
if(existsXssElement(deviceNo)) {
return true;
}
}
// 终端
String client = req.getHeader("client");
if(null != client){
client = URLDecoder.decode(URLDecoder.decode(client, "utf-8"),"utf-8");
if(existsXssElement(client)) {
return true;
}
}
// 渠道
String channel = req.getHeader("channel");
if(null != channel){
channel = URLDecoder.decode(URLDecoder.decode(channel, "utf-8"),"utf-8");
if(existsXssElement(channel)) {
return true;
}
}
// app版本号
String version = req.getHeader("version");
if(null != version){
version = URLDecoder.decode(URLDecoder.decode(version, "utf-8"),"utf-8");
if(existsXssElement(version)) {
return true;
}
}
// app版本号序号
String build = req.getHeader("build");
if(null != build){
build = URLDecoder.decode(URLDecoder.decode(build, "utf-8"),"utf-8");
if(existsXssElement(build)) {
return true;
}
}
// ip
String ip = req.getHeader("ip");
if(null != ip){
ip = URLDecoder.decode(URLDecoder.decode(ip, "utf-8"),"utf-8");
if(existsXssElement(ip)) {
return true;
}
}
return false;
} public void init(FilterConfig arg0) throws ServletException {
} /**
* 黑名单
* existsXssElement
* @param
* @return
* @throws
* @author zhuzheng
* @date 2015年11月2日 下午1:12:16
*/
private boolean existsXssElement(String s)
throws UnsupportedEncodingException{
boolean res = false;
s = s.toLowerCase();
res=getIncludeSqlSpecialCharsFlag(s);
if(!res){
res=getIncludeHtmlSpecialCharsFlag(s);
}
return res;
} /**
* 替换一些特殊字符
* replaceSpecialChars
* @param
* @return
* @throws
* @author zhuzheng
* @date 2015年11月2日 下午1:12:16
*/
private String replaceSpecialChars(String s) throws UnsupportedEncodingException {
String specialChar = "";
s = s.replaceAll("(\r|\n|\t|\f|'|\")", "");
s = s.replaceAll("(\r|\n|\t|\f|'|\")", "");
int specialCharsLen = specailCharArray.length;
for (int i = 0; i < specialCharsLen; i++) {
specialChar = specailCharArray[i];
specialChar = URLDecoder.decode(URLDecoder.decode(specialChar, "utf-8"), "utf-8");
s = s.replaceAll(specialChar, "");
}
return s;
} /**
* 判断是否包含html特殊字符
* getIncludeHtmlSpecialCharsFlag
* @param
* @return
* @throws UnsupportedEncodingException
* @throws
* @author zhuzheng
* @date 2015年11月2日 下午1:12:16
*/
private boolean getIncludeHtmlSpecialCharsFlag(String s) throws UnsupportedEncodingException{
boolean res = false;
// s=replaceSpecialChars(s);
if ( //XSS黑名单
s.indexOf("javascript:") != -1 || s.indexOf("document.cookie") != -1
|| s.indexOf("<script") != -1 || s.indexOf("<iframe") != -1
|| s.indexOf("\"><script>") != -1 || s.indexOf("\"<script>") != -1
|| s.indexOf("<img") != -1 || s.indexOf("onclick=") != -1
|| s.indexOf("<style") != -1 || s.indexOf(")//") != -1
|| s.indexOf("\">") != -1 || s.indexOf("<body") != -1
|| s.indexOf("/xss/") != -1 || s.indexOf("onfocus") != -1
|| s.indexOf("alert") != -1 //|| s.indexOf(";") != -1
|| s.indexOf("fromcharcode") != -1 || s.indexOf("eval") != -1
|| s.indexOf("<a") != -1 || s.indexOf("cookie") != -1
|| s.indexOf("document.write") != -1
) {
ExceptionLogger.error("请求拦截可能存在SQL和脚本注入", "请求参数:"+ s , null);
res = true;
}
return res;
}
/**
* 判断是否包含sql特殊字符
* getIncludeSqlSpecialCharsFlag
* @param
* @return
* @throws
* @author zhuzheng
* @date 2015年11月2日 下午1:12:16
*/
private boolean getIncludeSqlSpecialCharsFlag(String s) {
// 过滤掉的sql关键字,可以手动添加
String badStr = "'|and |exec |execute |insert |select |delete |update |count|drop |chr|mid|master|truncate |"
+ "char|declare |sitename|net user|xp_cmdshell|or |like'%|like '%|insert |create |"
+ "table|from|grant|use|group_concat|column_name|"
+ "information_schema.columns|table_schema|union |where |order by |group by ";
String[] badStrs = badStr.split("\\|");
for (int i = 0; i < badStrs.length; i++) {
if (s.indexOf(badStrs[i]) >= 0) {
ExceptionLogger.error("请求拦截可能存在SQL和脚本注入", "请求参数:"+ s , null);
return true;
}
}
return false;
} private String[] specailCharArray = { "%00", "%2B", "%25E3%2580%2580" }; }
基于黑名单的xss过滤器的更多相关文章
- 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)
1. 简介 XSS,即跨站脚本编制,英文为Cross Site Scripting.为了和CSS区分,命名为XSS. XSS是最普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码 ...
- 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于Jsoup)
1. 跨站点脚本编制 风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务. 原因:未对用户输入正确执行危险字符清 ...
- WAF指纹识别和XSS过滤器绕过技巧
[译文] -- “Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters” 0x1 前言 之前在乌云drop ...
- Chrome和IE的xss过滤器分析总结
chrome的xss过滤器叫xssAuditor,类似IE的xssFilter,但是他们有很大的内在区别 chrome xssAuditor工作原理 chrome的xss检测名称为 xssAudito ...
- XSS过滤器的实现
一.XSS是什么 全称跨站脚本(cross site script)XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去.使别的用户访问 ...
- 绕过基于签名的XSS筛选器:修改HTML
绕过基于签名的XSS筛选器:修改HTML 在很多情况下,您可能会发现基于签名的过滤器只需切换到一个不太熟悉的执行脚本的方法即可.如果失败了,您需要查看混淆攻击的方法. 本文提供了HTML语法可以被混淆 ...
- 基于dom的xss漏洞原理
原文:http://www.anying.org/thread-36-1-1.html转载必须注明原文地址最近看到网络上很多人都在说XSS我就借着暗影这个平台发表下自己对这一块的一些认识.其实对于XS ...
- 基于DOM的XSS注入漏洞简单解析
基于DOM的XSS注入漏洞简单解析http://automationqa.com/forum.php?mod=viewthread&tid=2956&fromuid=21
- 基于Python的XSS测试工具XSStrike使用方法
基于Python的XSS测试工具XSStrike使用方法 简介 XSStrike 是一款用于探测并利用XSS漏洞的脚本 XSStrike目前所提供的产品特性: 对参数进行模糊测试之后构建合适的payl ...
随机推荐
- 码途有道----基于系统观的核心能力构建-by-韩宏老师
原文链接:http://blog.sina.com.cn/s/blog_7d5a09f90102v341.html 有感于同学们在大学中如何学习计算机技术有些感概,将我书(老码识途)中的序言整理了一下 ...
- 收集免费可用稳定的vpn
收集免费可用稳定的vpn,经常用到,所以记录一下,方便自己不备之需. 1,https://www.lvbeivpn.cc/share.shtml?id=a3bd9527225d4746bb3a5761 ...
- Socket通信功能实现
前段时间写的小功能,包含了较为详细的代码注释,需要的可以下载看下.对你有一点用,请赞一个~~ http://www.cnblogs.com/zhili/category/397082.html 这里 ...
- DIV+CSS布局
宽度自适应两列布局 <!DOCTYPE html> <html> <head> <meta charset="gbk"> <t ...
- 让“是男人就下到100层”在Android平台上跑起来
原工程:https://github.com/jeekun/DownFloors 移植后的代码:HelloCpp.zip 移植后的APK:HelloCpp.apk 说明:(cocos2d-x版本是“ ...
- 在Eclipse中集成Ant配置
提要:本文将向你展示如何使用Eclipse设置为Ant所用的属性值和环境变量,并简要分析如何配置Ant编辑器以便从Eclipse内部操作Ant文件. 一. 修改Ant Classpath 在使用一个可 ...
- Session在类库中的使用
转自:http://www.cnblogs.com/JiangXiaoTian/articles/3490904.html 网站开发中,为了保存用户的信息,有时候需要使用session.如果我们在as ...
- django一些操作命令
1.数据库与class类同步命令 syncdb command is deprecated in django 1.7. Use the python manage.py migrate instea ...
- CSS 中Font Awesome 图标(附码表)
HTML中缩放的矢量图标,您可以使用CSS所提供的所有特性对它们进行更改,包括:大小.颜色.阴影或者其它任何支持的效果. Font Awesome 传送门:http://fontawesome.das ...
- windows下安装easy_install, pip 及whl文件安装方法
转:http://www.cnblogs.com/wu-wenmin/p/4250330.html 写在前面的话 最近在看"Computer Vision with Python" ...