• 什么是XSS攻击

    简单来说,XSS 攻击是页面被注入了恶意的代码,度娘一大堆的东西,不想说

  • 系统架构主要是SSM框架,服务层另外使用了DubboX.

     为啥说这个,因为SpringMVC对于Xss攻击需要特殊处理

  • 思路  

    其实XSS工具解决思路就是捕获客户端提交的参数进行捕获,然后对参数值进行过滤处理,去除那些非法的字符.

    但是请求通常分为GET请求与POST请求,针对不同的请求,处理方式是不一样的

  • 步骤:

    1.针对GET与非文件格式上传的post请求.(form 表单提交的时候 没有这个参数enctype="multipart/form-data"),JSON请求等

1) web.xml配置过滤器

 <!-- xxs过滤 -->

 <filter>

     <filter-name>XssSqlFilter</filter-name>

     <filter-class>cn.ffcs.web.filter.XssFilter</filter-class>

 </filter>

 <filter-mapping>

     <filter-name>XssSqlFilter</filter-name>

     <url-pattern>/*</url-pattern>

     <dispatcher>REQUEST</dispatcher>

 </filter-mapping>

2)过滤器实现 XssFilter.java,针对部分特殊请求,要求不走过滤的,可以在此过滤器中放行

 package cn.ffcs.web.filter;

 import java.io.IOException;

 import javax.servlet.FilterChain;

 import javax.servlet.ServletException;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletResponse;

 import org.slf4j.Logger;

 import org.slf4j.LoggerFactory;

 import org.springframework.web.filter.OncePerRequestFilter;

 public class XssFilter extends OncePerRequestFilter {

      private final Logger logger = LoggerFactory.getLogger(this.getClass());

      @Override

         protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)

                 throws ServletException, IOException {

             try {

                 String uri = request.getRequestURI();

                 //特殊url不走过滤器

                 if (uri.contains("receipt") || uri.contains("mobile/buildingMgr")

                          || uri.contains("bestPay") || uri.contains("backNotify") || uri.contains("frontNotify")

                          || uri.contains("queryOrder") || uri.contains("refundNotify") || uri.contains("refund")

                          || uri.contains("reverse")) {

                     chain.doFilter(request, response);

                 } else {

                     XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);

                     chain.doFilter(xssRequest, response);

                 }

             } catch (Exception e) {

                 logger.error("Xss过滤器,包装request对象失败");

                 chain.doFilter(request, response);

             }

         }

 }

3) XssHttpServletRequestWrapper

 package cn.ffcs.web.filter;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletRequestWrapper;

 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

     HttpServletRequest orgRequest = null;

     public XssHttpServletRequestWrapper(HttpServletRequest request) {

         super(request);

         orgRequest = request;

     }

     /**

      * 覆盖getParameter方法,将参数名和参数值都做xss过滤

      */

     @Override

     public String getParameter(String name) {

         String value = super.getParameter(xssEncode(name));

         if (value != null) {

             value = xssEncode(value);

         }

         return value;

     }

     /**

      * 覆盖getParameterValues方法,将参数名和参数值都做xss过滤

      */

     public String[] getParameterValues(String parameter) {

         String[] values = super.getParameterValues(parameter);

         if (values==null)  {

             return null;

         }

         int count = values.length;

         String[] encodedValues = new String[count];

         for (int i = 0; i < count; i++) {

             encodedValues[i] = xssEncode(values[i]);

         }

         return encodedValues;

     }

     /**

      * 获取request的属性时,做xss过滤

      */

      @Override

     public Object getAttribute(String name) {

         Object value = super.getAttribute(name);

         if (null != value && value instanceof String) {

             value = xssEncode((String) value);

         }

         return value;

     };

     /**

      * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>

      */

     @Override

     public String getHeader(String name) {

         String value = super.getHeader(xssEncode(name));

         if (value != null) {

             value = xssEncode(value);

         }

         return value;

     }

     /**

      * 将容易引起xss漏洞的半角字符直接替换成全角字符

      *

      * @param s

      * @return

      */

     private static String xssEncode(String s) {

         return XssEncode.xssEncode(s);

     }

     /**

      * 获取最原始的request

      *

      * @return

      */

     public HttpServletRequest getOrgRequest() {

         return orgRequest;

     }

     /**

      * 获取最原始的request的静态方法

      *

      * @return

      */

     public static HttpServletRequest getOrgRequest(HttpServletRequest req) {

         if (req instanceof XssHttpServletRequestWrapper) {

             return ((XssHttpServletRequestWrapper) req).getOrgRequest();

         }

         return req;

     }

 }

4) 使用到的编码工具,过滤参数使用了xss-html-filter工具,具体可以自行替换

 package cn.ffcs.web.filter;

 import net.sf.xsshtmlfilter.HTMLFilter;

 public class XssEncode {

     public static String xssEncode(String s) {

         if (s == null || s.isEmpty()) {

             return s;

         }

         try {

             HTMLFilter htmlFilter = new HTMLFilter();

             String clean = htmlFilter.filter(s);

             return clean;

         } catch (NullPointerException e) {

             return s;

         } catch (Exception ex) {

             ex.printStackTrace();

         }

         return null;

     }

 }

5) pom.xml 配置引用的jar

 <dependency>

        <groupId>net.sf.xss-html-filter</groupId>

        <artifactId>xss-html-filter</artifactId>

        <version>1.5</version>

 </dependency>

    2.针对enctype="multipart/form-data"格式的post提交

1) 更改springMVC默认Annotation适配器(org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter - ->    cn.ffcs.web.filter.XssAnnotationMethodHandlerAdapter),如果没有则添加

 <!-- annotation方法修饰器 -->

 <bean id="handlerAdapter" class="cn.ffcs.web.filter.XssAnnotationMethodHandlerAdapter">

 ....

 <bean>

2) 继承AnnotationMethodHandlerAdapter 并覆盖handle方法

 package cn.ffcs.web.filter;

 import java.util.Map;

 import java.util.Set;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletResponse;

 import net.sf.xsshtmlfilter.HTMLFilter;

 import org.apache.commons.lang.StringUtils;

 import org.springframework.web.servlet.ModelAndView;

 import org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter;

 @SuppressWarnings("deprecation")

 public class XssAnnotationMethodHandlerAdapter extends

         AnnotationMethodHandlerAdapter {

     @SuppressWarnings({ "rawtypes", "unchecked" })

     private void myXss(HttpServletRequest request){

         Map map = request.getParameterMap();

         Set<String> keySet = map.keySet();

         for(String key : keySet){

             String[] values = request.getParameterValues(key);

             if(values!=null&&values.length>0){

                 for(int i=0 ;i<values.length;i++){

                     if(!StringUtils.isBlank(values[i])){

                         values[i] = XssEncode.xssEncode(values[i]);

                     }

                 }

             }

         }

     }

     @Override

     public ModelAndView handle(HttpServletRequest request,

             HttpServletResponse response, Object handler) throws Exception {

         myXss(request);

         return super.handle(request, response, handler);

     }

 }

tip: 网上另外有说用反射实现带@Controller的控制器,感觉思路可以,但是没有成功.

记一次JAVA WEB项目解决XSS攻击的办法(亲测有效)的更多相关文章

  1. java 拦截器解决xss攻击

    一.xss攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序.这些恶意网页程序通常是JavaScript,但实际上也 ...

  2. maven的java web项目启动找不到Spring ContextLoaderListener的解决办法

    用maven搭建的java web项目,上传到git仓库后,当同事clone下来项目,部署到tomcat运行时,就报了如下错误,即启动web项目时,加载web.xml文件,找不到spring的监听器, ...

  3. 解决使用maven的java web项目导入后出现的有关问题 -cannot be read or is not a valid ZIP file

    解决使用maven的java web项目导入后出现的有关问题 -cannot be read or is not a valid ZIP file   错误问题:虽然查找repository目录下是有 ...

  4. Java web 开发填坑记 2 -如何正确的创建一个Java Web 项目

    转载请标明出处:http://blog.csdn.net/zhaoyanjun6/article/details/72566261 本文出自[赵彦军的博客] Java web 开发填坑记 1-如何正确 ...

  5. 记自己的第一个完整的java web项目

    我是从asp.net平台转到java平台的.基于asp.net平台开发网站的快速便捷性,工作几年来大小网站多少也写了6.7个.但是转到java后,因为是在一家大公司,而且做的功能也比较单一,局限于此, ...

  6. Java Web项目在Mac系统上启动时提示nodename nor servname provided的解决办法

    今天在Mac系统上启动Java Web项目的时候,提示了Java.net.UnknownHostException: yangxiaomindeMacBook-Pro.local nodename n ...

  7. JAVA WEB项目中各种路径的获取

    JAVA WEB项目中各种路径的获取 标签: java webpath文件路径 2014-02-14 15:04 1746人阅读 评论(0) 收藏 举报  分类: JAVA开发(41)  1.可以在s ...

  8. Java Web项目报错java.lang.NullPointerException at org.apache.jsp.front.index_jsp._jspInit(index_jsp.java:30)

    环境:myeclipse+tomcat6+jdk6 今天搭建了一个Java Web项目,访问index.jsp时报如下错误: 严重: Servlet.service() for servlet jsp ...

  9. Linux(Centos)之安装tomcat并且部署Java Web项目

    1.准备工作 a.下载tomcat linux的包,地址:http://tomcat.apache.org/download-80.cgi,我们下载的版本是8.0,下载方式如图:          b ...

随机推荐

  1. Creed_颓知乎

    题目背景 二轮省选前的一个最后周,Creed_还在颓知乎. 突然,她看到一个有趣的回答. 紧接着,Creed_点开了评论区,又看到了一个有趣的评论. Creed_想了一下,发现自己并不会,于是她又顺着 ...

  2. og协议-有利于SNS网站分享

    一丶前言 全球快递toWhere官网发现使用og协议,并且支付宝和淘宝活动源码也会添加og协议,查阅资料弄清og协议是什么,此刻附上og协议官方文档 一丶什么是og协议 Open Graph通讯协定( ...

  3. dedecms织梦文章微信分享带缩略图与简介

    dedecms V5.7二次开发 php5.6 mysql5.1 问题:dedecms文章分享到微信,带缩略图与简介.如下图: 1.准备工作 PHP 5.3+ 并且 curl扩展已经开启 微信服务号一 ...

  4. OCIEnvCreate 失败,返回代码为 -1,但错误消息文本不可用 问题处理

    OCIEnvCreate 失败,返回代码为 -1,但错误消息文本不可用 问题处理如下: 解决方法一:更换连接方式 config 文件配置: <add name="MASTER_DB&q ...

  5. Python OS模块常用

    python 读写.创建 文件 第二个:目录操作-增删改查 第三个:判断 第四个:PATH 第四个:os.mknod 创建文件(不是目录) import os os.chdir("/&quo ...

  6. 【还是回来了】博客搬家--https://cangbean.github.io

    还是弄了个自己的地址:https://cangbean.github.io 想记录下,防止万一以后迁移不好弄 想练习markdown写作 折腾而已 以后不再博客园记录东西了,但是还是会回来看看的

  7. dom 及bom

    BOM的全称为Browser Object Mode,中文名是浏览器对象模型.它的一些功能和特性如下:1. BOM提供了独立于内容而与浏览器窗口进行交互的对象2. 由于BOM主要用于管理窗口与窗口之间 ...

  8. vmware克隆虚拟机后进行网络配置

    1.首先将虚拟机网络模式选为NAT模式 2.点击高级,查看MAC地址 然后编辑:/etc/udev/rules.d/70-persistent-net.rules 其中teh是网卡的名称,每一次克隆新 ...

  9. CEPH监控软件

    概述 目前主流的Ceph开源监控软件有:Calamari.VSM.Inkscope.Ceph-Dash.Zabbix等,下面简单介绍下各个开源组件. Calamari 概述 Calamari对外提供了 ...

  10. vue组件的通信

    组件的引入两种方式 动态组件  <p is="com-a"></p> 直接引入 <com-a></com-a> 插槽功能 父组件引入 ...