• 什么是XSS攻击

    简单来说,XSS 攻击是页面被注入了恶意的代码,度娘一大堆的东西,不想说

  • 系统架构主要是SSM框架,服务层另外使用了DubboX.

     为啥说这个,因为SpringMVC对于Xss攻击需要特殊处理

  • 思路  

    其实XSS工具解决思路就是捕获客户端提交的参数进行捕获,然后对参数值进行过滤处理,去除那些非法的字符.

    但是请求通常分为GET请求与POST请求,针对不同的请求,处理方式是不一样的

  • 步骤:

    1.针对GET与非文件格式上传的post请求.(form 表单提交的时候 没有这个参数enctype="multipart/form-data"),JSON请求等

1) web.xml配置过滤器

 <!-- xxs过滤 -->

 <filter>

     <filter-name>XssSqlFilter</filter-name>

     <filter-class>cn.ffcs.web.filter.XssFilter</filter-class>

 </filter>

 <filter-mapping>

     <filter-name>XssSqlFilter</filter-name>

     <url-pattern>/*</url-pattern>

     <dispatcher>REQUEST</dispatcher>

 </filter-mapping>

2)过滤器实现 XssFilter.java,针对部分特殊请求,要求不走过滤的,可以在此过滤器中放行

 package cn.ffcs.web.filter;

 import java.io.IOException;

 import javax.servlet.FilterChain;

 import javax.servlet.ServletException;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletResponse;

 import org.slf4j.Logger;

 import org.slf4j.LoggerFactory;

 import org.springframework.web.filter.OncePerRequestFilter;

 public class XssFilter extends OncePerRequestFilter {

      private final Logger logger = LoggerFactory.getLogger(this.getClass());

      @Override

         protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)

                 throws ServletException, IOException {

             try {

                 String uri = request.getRequestURI();

                 //特殊url不走过滤器

                 if (uri.contains("receipt") || uri.contains("mobile/buildingMgr")

                          || uri.contains("bestPay") || uri.contains("backNotify") || uri.contains("frontNotify")

                          || uri.contains("queryOrder") || uri.contains("refundNotify") || uri.contains("refund")

                          || uri.contains("reverse")) {

                     chain.doFilter(request, response);

                 } else {

                     XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);

                     chain.doFilter(xssRequest, response);

                 }

             } catch (Exception e) {

                 logger.error("Xss过滤器,包装request对象失败");

                 chain.doFilter(request, response);

             }

         }

 }

3) XssHttpServletRequestWrapper

 package cn.ffcs.web.filter;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletRequestWrapper;

 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

     HttpServletRequest orgRequest = null;

     public XssHttpServletRequestWrapper(HttpServletRequest request) {

         super(request);

         orgRequest = request;

     }

     /**

      * 覆盖getParameter方法,将参数名和参数值都做xss过滤

      */

     @Override

     public String getParameter(String name) {

         String value = super.getParameter(xssEncode(name));

         if (value != null) {

             value = xssEncode(value);

         }

         return value;

     }

     /**

      * 覆盖getParameterValues方法,将参数名和参数值都做xss过滤

      */

     public String[] getParameterValues(String parameter) {

         String[] values = super.getParameterValues(parameter);

         if (values==null)  {

             return null;

         }

         int count = values.length;

         String[] encodedValues = new String[count];

         for (int i = 0; i < count; i++) {

             encodedValues[i] = xssEncode(values[i]);

         }

         return encodedValues;

     }

     /**

      * 获取request的属性时,做xss过滤

      */

      @Override

     public Object getAttribute(String name) {

         Object value = super.getAttribute(name);

         if (null != value && value instanceof String) {

             value = xssEncode((String) value);

         }

         return value;

     };

     /**

      * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>

      */

     @Override

     public String getHeader(String name) {

         String value = super.getHeader(xssEncode(name));

         if (value != null) {

             value = xssEncode(value);

         }

         return value;

     }

     /**

      * 将容易引起xss漏洞的半角字符直接替换成全角字符

      *

      * @param s

      * @return

      */

     private static String xssEncode(String s) {

         return XssEncode.xssEncode(s);

     }

     /**

      * 获取最原始的request

      *

      * @return

      */

     public HttpServletRequest getOrgRequest() {

         return orgRequest;

     }

     /**

      * 获取最原始的request的静态方法

      *

      * @return

      */

     public static HttpServletRequest getOrgRequest(HttpServletRequest req) {

         if (req instanceof XssHttpServletRequestWrapper) {

             return ((XssHttpServletRequestWrapper) req).getOrgRequest();

         }

         return req;

     }

 }

4) 使用到的编码工具,过滤参数使用了xss-html-filter工具,具体可以自行替换

 package cn.ffcs.web.filter;

 import net.sf.xsshtmlfilter.HTMLFilter;

 public class XssEncode {

     public static String xssEncode(String s) {

         if (s == null || s.isEmpty()) {

             return s;

         }

         try {

             HTMLFilter htmlFilter = new HTMLFilter();

             String clean = htmlFilter.filter(s);

             return clean;

         } catch (NullPointerException e) {

             return s;

         } catch (Exception ex) {

             ex.printStackTrace();

         }

         return null;

     }

 }

5) pom.xml 配置引用的jar

 <dependency>

        <groupId>net.sf.xss-html-filter</groupId>

        <artifactId>xss-html-filter</artifactId>

        <version>1.5</version>

 </dependency>

    2.针对enctype="multipart/form-data"格式的post提交

1) 更改springMVC默认Annotation适配器(org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter - ->    cn.ffcs.web.filter.XssAnnotationMethodHandlerAdapter),如果没有则添加

 <!-- annotation方法修饰器 -->

 <bean id="handlerAdapter" class="cn.ffcs.web.filter.XssAnnotationMethodHandlerAdapter">

 ....

 <bean>

2) 继承AnnotationMethodHandlerAdapter 并覆盖handle方法

 package cn.ffcs.web.filter;

 import java.util.Map;

 import java.util.Set;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletResponse;

 import net.sf.xsshtmlfilter.HTMLFilter;

 import org.apache.commons.lang.StringUtils;

 import org.springframework.web.servlet.ModelAndView;

 import org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter;

 @SuppressWarnings("deprecation")

 public class XssAnnotationMethodHandlerAdapter extends

         AnnotationMethodHandlerAdapter {

     @SuppressWarnings({ "rawtypes", "unchecked" })

     private void myXss(HttpServletRequest request){

         Map map = request.getParameterMap();

         Set<String> keySet = map.keySet();

         for(String key : keySet){

             String[] values = request.getParameterValues(key);

             if(values!=null&&values.length>0){

                 for(int i=0 ;i<values.length;i++){

                     if(!StringUtils.isBlank(values[i])){

                         values[i] = XssEncode.xssEncode(values[i]);

                     }

                 }

             }

         }

     }

     @Override

     public ModelAndView handle(HttpServletRequest request,

             HttpServletResponse response, Object handler) throws Exception {

         myXss(request);

         return super.handle(request, response, handler);

     }

 }

tip: 网上另外有说用反射实现带@Controller的控制器,感觉思路可以,但是没有成功.

记一次JAVA WEB项目解决XSS攻击的办法(亲测有效)的更多相关文章

  1. java 拦截器解决xss攻击

    一.xss攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序.这些恶意网页程序通常是JavaScript,但实际上也 ...

  2. maven的java web项目启动找不到Spring ContextLoaderListener的解决办法

    用maven搭建的java web项目,上传到git仓库后,当同事clone下来项目,部署到tomcat运行时,就报了如下错误,即启动web项目时,加载web.xml文件,找不到spring的监听器, ...

  3. 解决使用maven的java web项目导入后出现的有关问题 -cannot be read or is not a valid ZIP file

    解决使用maven的java web项目导入后出现的有关问题 -cannot be read or is not a valid ZIP file   错误问题:虽然查找repository目录下是有 ...

  4. Java web 开发填坑记 2 -如何正确的创建一个Java Web 项目

    转载请标明出处:http://blog.csdn.net/zhaoyanjun6/article/details/72566261 本文出自[赵彦军的博客] Java web 开发填坑记 1-如何正确 ...

  5. 记自己的第一个完整的java web项目

    我是从asp.net平台转到java平台的.基于asp.net平台开发网站的快速便捷性,工作几年来大小网站多少也写了6.7个.但是转到java后,因为是在一家大公司,而且做的功能也比较单一,局限于此, ...

  6. Java Web项目在Mac系统上启动时提示nodename nor servname provided的解决办法

    今天在Mac系统上启动Java Web项目的时候,提示了Java.net.UnknownHostException: yangxiaomindeMacBook-Pro.local nodename n ...

  7. JAVA WEB项目中各种路径的获取

    JAVA WEB项目中各种路径的获取 标签: java webpath文件路径 2014-02-14 15:04 1746人阅读 评论(0) 收藏 举报  分类: JAVA开发(41)  1.可以在s ...

  8. Java Web项目报错java.lang.NullPointerException at org.apache.jsp.front.index_jsp._jspInit(index_jsp.java:30)

    环境:myeclipse+tomcat6+jdk6 今天搭建了一个Java Web项目,访问index.jsp时报如下错误: 严重: Servlet.service() for servlet jsp ...

  9. Linux(Centos)之安装tomcat并且部署Java Web项目

    1.准备工作 a.下载tomcat linux的包,地址:http://tomcat.apache.org/download-80.cgi,我们下载的版本是8.0,下载方式如图:          b ...

随机推荐

  1. css选择器以及使用场景

    1.选择器以及使用场景 id选择器:#header{} 类选择器:.header{} 元素选择器:div{} 子选择器:ul > li{} 后代选择器:div p{} 伪类选择器:a:hover ...

  2. 在java程序代码中打开文件

    class     TEST {      public  static  void  main(String[]  args){        System.out.println("He ...

  3. WPF前台界面显示“未将对象引用设置到对象的实例”

    在做即时通信项目中,使用WPF的MVVM模式,如果在前台绑定VM,经常会显示波浪线,鼠标放上去提示未将对象引用设置到对象的实例,但程序能正常运行,后来发现如果前台不绑定VM,在后台cs里绑定就不会出现 ...

  4. 【nowcoder】 4th T2 区间

    题目链接:https://www.nowcoder.com/acm/contest/175/B 当你为时间复杂度挠头的时候 别人已经33行拿满分了 #include<cstdio> #in ...

  5. springBoot 随笔(一)

    服务化的世界,越来越多应用拆分为微服务,有些为了业务而拆,也有为了技术而拆,也有什么都不知道就瞎拆的,反正就是要微服务. 以下为一个认识springBoot的简单过程 1/eclipse 新建 mav ...

  6. play framework 笔记

    @main("Hello")调用 main.scala.hmtl,页面名称 Hello conf/routes 文件定义了映射规则 参数的传递入口在 controller 的方法中 ...

  7. 开发部署项目时出现:java.lang.OutOfMemoryError: PermGen space

    java.lang.OutOfMemoryError: PermGen space 错误: 原文地址:http://www.cnblogs.com/shihujiang/archive/2012/06 ...

  8. React 的坑

    MemoryRouter 会缓存组件,导致有时候 componentDidMount 不会执行

  9. 简单的Java ee思维导图

  10. Bouml快速使用指南

    一.Bouml简介 Android 系统中有大量Java.C++代码,继承以及依赖关系非常复杂,Bouml可以用c++.Java.Idl.Php和Python建模及生成代码,反之也可通过uml工具更好 ...