• 什么是XSS攻击

    简单来说,XSS 攻击是页面被注入了恶意的代码,度娘一大堆的东西,不想说

  • 系统架构主要是SSM框架,服务层另外使用了DubboX.

     为啥说这个,因为SpringMVC对于Xss攻击需要特殊处理

  • 思路  

    其实XSS工具解决思路就是捕获客户端提交的参数进行捕获,然后对参数值进行过滤处理,去除那些非法的字符.

    但是请求通常分为GET请求与POST请求,针对不同的请求,处理方式是不一样的

  • 步骤:

    1.针对GET与非文件格式上传的post请求.(form 表单提交的时候 没有这个参数enctype="multipart/form-data"),JSON请求等

1) web.xml配置过滤器

 <!-- xxs过滤 -->

 <filter>

     <filter-name>XssSqlFilter</filter-name>

     <filter-class>cn.ffcs.web.filter.XssFilter</filter-class>

 </filter>

 <filter-mapping>

     <filter-name>XssSqlFilter</filter-name>

     <url-pattern>/*</url-pattern>

     <dispatcher>REQUEST</dispatcher>

 </filter-mapping>

2)过滤器实现 XssFilter.java,针对部分特殊请求,要求不走过滤的,可以在此过滤器中放行

 package cn.ffcs.web.filter;

 import java.io.IOException;

 import javax.servlet.FilterChain;

 import javax.servlet.ServletException;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletResponse;

 import org.slf4j.Logger;

 import org.slf4j.LoggerFactory;

 import org.springframework.web.filter.OncePerRequestFilter;

 public class XssFilter extends OncePerRequestFilter {

      private final Logger logger = LoggerFactory.getLogger(this.getClass());

      @Override

         protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)

                 throws ServletException, IOException {

             try {

                 String uri = request.getRequestURI();

                 //特殊url不走过滤器

                 if (uri.contains("receipt") || uri.contains("mobile/buildingMgr")

                          || uri.contains("bestPay") || uri.contains("backNotify") || uri.contains("frontNotify")

                          || uri.contains("queryOrder") || uri.contains("refundNotify") || uri.contains("refund")

                          || uri.contains("reverse")) {

                     chain.doFilter(request, response);

                 } else {

                     XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);

                     chain.doFilter(xssRequest, response);

                 }

             } catch (Exception e) {

                 logger.error("Xss过滤器,包装request对象失败");

                 chain.doFilter(request, response);

             }

         }

 }

3) XssHttpServletRequestWrapper

 package cn.ffcs.web.filter;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletRequestWrapper;

 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

     HttpServletRequest orgRequest = null;

     public XssHttpServletRequestWrapper(HttpServletRequest request) {

         super(request);

         orgRequest = request;

     }

     /**

      * 覆盖getParameter方法,将参数名和参数值都做xss过滤

      */

     @Override

     public String getParameter(String name) {

         String value = super.getParameter(xssEncode(name));

         if (value != null) {

             value = xssEncode(value);

         }

         return value;

     }

     /**

      * 覆盖getParameterValues方法,将参数名和参数值都做xss过滤

      */

     public String[] getParameterValues(String parameter) {

         String[] values = super.getParameterValues(parameter);

         if (values==null)  {

             return null;

         }

         int count = values.length;

         String[] encodedValues = new String[count];

         for (int i = 0; i < count; i++) {

             encodedValues[i] = xssEncode(values[i]);

         }

         return encodedValues;

     }

     /**

      * 获取request的属性时,做xss过滤

      */

      @Override

     public Object getAttribute(String name) {

         Object value = super.getAttribute(name);

         if (null != value && value instanceof String) {

             value = xssEncode((String) value);

         }

         return value;

     };

     /**

      * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>

      */

     @Override

     public String getHeader(String name) {

         String value = super.getHeader(xssEncode(name));

         if (value != null) {

             value = xssEncode(value);

         }

         return value;

     }

     /**

      * 将容易引起xss漏洞的半角字符直接替换成全角字符

      *

      * @param s

      * @return

      */

     private static String xssEncode(String s) {

         return XssEncode.xssEncode(s);

     }

     /**

      * 获取最原始的request

      *

      * @return

      */

     public HttpServletRequest getOrgRequest() {

         return orgRequest;

     }

     /**

      * 获取最原始的request的静态方法

      *

      * @return

      */

     public static HttpServletRequest getOrgRequest(HttpServletRequest req) {

         if (req instanceof XssHttpServletRequestWrapper) {

             return ((XssHttpServletRequestWrapper) req).getOrgRequest();

         }

         return req;

     }

 }

4) 使用到的编码工具,过滤参数使用了xss-html-filter工具,具体可以自行替换

 package cn.ffcs.web.filter;

 import net.sf.xsshtmlfilter.HTMLFilter;

 public class XssEncode {

     public static String xssEncode(String s) {

         if (s == null || s.isEmpty()) {

             return s;

         }

         try {

             HTMLFilter htmlFilter = new HTMLFilter();

             String clean = htmlFilter.filter(s);

             return clean;

         } catch (NullPointerException e) {

             return s;

         } catch (Exception ex) {

             ex.printStackTrace();

         }

         return null;

     }

 }

5) pom.xml 配置引用的jar

 <dependency>

        <groupId>net.sf.xss-html-filter</groupId>

        <artifactId>xss-html-filter</artifactId>

        <version>1.5</version>

 </dependency>

    2.针对enctype="multipart/form-data"格式的post提交

1) 更改springMVC默认Annotation适配器(org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter - ->    cn.ffcs.web.filter.XssAnnotationMethodHandlerAdapter),如果没有则添加

 <!-- annotation方法修饰器 -->

 <bean id="handlerAdapter" class="cn.ffcs.web.filter.XssAnnotationMethodHandlerAdapter">

 ....

 <bean>

2) 继承AnnotationMethodHandlerAdapter 并覆盖handle方法

 package cn.ffcs.web.filter;

 import java.util.Map;

 import java.util.Set;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletResponse;

 import net.sf.xsshtmlfilter.HTMLFilter;

 import org.apache.commons.lang.StringUtils;

 import org.springframework.web.servlet.ModelAndView;

 import org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter;

 @SuppressWarnings("deprecation")

 public class XssAnnotationMethodHandlerAdapter extends

         AnnotationMethodHandlerAdapter {

     @SuppressWarnings({ "rawtypes", "unchecked" })

     private void myXss(HttpServletRequest request){

         Map map = request.getParameterMap();

         Set<String> keySet = map.keySet();

         for(String key : keySet){

             String[] values = request.getParameterValues(key);

             if(values!=null&&values.length>0){

                 for(int i=0 ;i<values.length;i++){

                     if(!StringUtils.isBlank(values[i])){

                         values[i] = XssEncode.xssEncode(values[i]);

                     }

                 }

             }

         }

     }

     @Override

     public ModelAndView handle(HttpServletRequest request,

             HttpServletResponse response, Object handler) throws Exception {

         myXss(request);

         return super.handle(request, response, handler);

     }

 }

tip: 网上另外有说用反射实现带@Controller的控制器,感觉思路可以,但是没有成功.

记一次JAVA WEB项目解决XSS攻击的办法(亲测有效)的更多相关文章

  1. java 拦截器解决xss攻击

    一.xss攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序.这些恶意网页程序通常是JavaScript,但实际上也 ...

  2. maven的java web项目启动找不到Spring ContextLoaderListener的解决办法

    用maven搭建的java web项目,上传到git仓库后,当同事clone下来项目,部署到tomcat运行时,就报了如下错误,即启动web项目时,加载web.xml文件,找不到spring的监听器, ...

  3. 解决使用maven的java web项目导入后出现的有关问题 -cannot be read or is not a valid ZIP file

    解决使用maven的java web项目导入后出现的有关问题 -cannot be read or is not a valid ZIP file   错误问题:虽然查找repository目录下是有 ...

  4. Java web 开发填坑记 2 -如何正确的创建一个Java Web 项目

    转载请标明出处:http://blog.csdn.net/zhaoyanjun6/article/details/72566261 本文出自[赵彦军的博客] Java web 开发填坑记 1-如何正确 ...

  5. 记自己的第一个完整的java web项目

    我是从asp.net平台转到java平台的.基于asp.net平台开发网站的快速便捷性,工作几年来大小网站多少也写了6.7个.但是转到java后,因为是在一家大公司,而且做的功能也比较单一,局限于此, ...

  6. Java Web项目在Mac系统上启动时提示nodename nor servname provided的解决办法

    今天在Mac系统上启动Java Web项目的时候,提示了Java.net.UnknownHostException: yangxiaomindeMacBook-Pro.local nodename n ...

  7. JAVA WEB项目中各种路径的获取

    JAVA WEB项目中各种路径的获取 标签: java webpath文件路径 2014-02-14 15:04 1746人阅读 评论(0) 收藏 举报  分类: JAVA开发(41)  1.可以在s ...

  8. Java Web项目报错java.lang.NullPointerException at org.apache.jsp.front.index_jsp._jspInit(index_jsp.java:30)

    环境:myeclipse+tomcat6+jdk6 今天搭建了一个Java Web项目,访问index.jsp时报如下错误: 严重: Servlet.service() for servlet jsp ...

  9. Linux(Centos)之安装tomcat并且部署Java Web项目

    1.准备工作 a.下载tomcat linux的包,地址:http://tomcat.apache.org/download-80.cgi,我们下载的版本是8.0,下载方式如图:          b ...

随机推荐

  1. [GXOI/GZOI2019]旅行者

    就我感觉这道题很神仙吗/kel 仔细想想应该也是一种适用范围挺广的做法. 考虑我们可以通过dijkstra在O(nlogn)求出一个点集到另外一个点集的最短路. 那么我们可以通过一些划分点集的方式使得 ...

  2. 『高性能模型』卷积复杂度以及Inception系列

    转载自知乎:卷积神经网络的复杂度分析 之前的Inception学习博客: 『TensorFlow』读书笔记_Inception_V3_上 『TensorFlow』读书笔记_Inception_V3_下 ...

  3. C++(实验三)

    Part 1 画布小球试验 程序源码 #include <iostream> #include "canvas.h" #include "ball.h&quo ...

  4. git不提交某个文件

    在版本库中的文件,即使维护在.gitignore也不管用了.要先移除. 比如Constants.java,进入到这个文件目录下: 第一步:git rm -r -n —cached Constants. ...

  5. 非阻塞模式(ioctlsocket)

    //Server.cpp #include <stdio.h> #include <winsock2.h> //winsock.h (2种套接字版本) #pragma comm ...

  6. 当前 .NET SDK 不支持将 .NET Core 2.1 设置为目标。请将 .NET Core 2.0 或更低版本设置为目标,或使用支持 .NET Core 2.1 的 .NET SDK 版本。

    解决方案:项目>属性>应用程序>目标框架>安装其他框架. 此处我下载了2.1的x64的框架并安装. 安装后,重新打开vs即可点击切换新框架.

  7. 配置rpm本地源及局域网环境下使用

    LInux个人开发过程中可以直接连到公网,所以想要安装各种软件时直接安装即可,但工作环境往往很让人头疼. 如果应用场景是没法链接外网的,公司内部绝大多数情况下是在自己的局域网下玩,这时候想装个软件是相 ...

  8. 211806189杨昊辰 https://www.cnblogs.com/honey1433223/

    211806189杨昊辰 https://www.cnblogs.com/honey1433223/

  9. 【Redfin SDE intern】跪经

    萌新的面试第一弹 Redfin是我求职生涯中的第一家,第一个电面,第一个onsite.除了结果不好,其他过程都很好... 春节当天风风火火去西雅图面试,之前分配的五个面试官其中有两个中国人,然而全部被 ...

  10. yml多环境配置

    配置独立各自的环境 注:如果需要修改环境测试,只需要修改spring: profiles: active: “环境名” spring: profiles: active: prd --- #开发环境配 ...