1.web.xml文件中新增filter配置

<!-- URL请求参数字符过滤或合法性校验 -->

    <filter>

        <filter-name>XssFilter</filter-name>

        <filter-class>com.isoftstone.ifa.web.base.filter.XssFilter</filter-class>

    </filter>

    <filter-mapping>

        <filter-name>XssFilter</filter-name>

        <url-pattern>/*</url-pattern>

        <dispatcher>REQUEST</dispatcher>

        <dispatcher>FORWARD</dispatcher>

    </filter-mapping>

filter

2.创建XssFilter实例

package com.isoftstone.ifa.web.base.filter;

import java.io.IOException;

import java.text.SimpleDateFormat;

import java.util.Calendar;

import java.util.Date;

import java.util.Locale;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.Cookie;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        this.filterConfig = filterConfig;

    }

    @Override

    public void doFilter(ServletRequest req,

            ServletResponse res, FilterChain chain)

            throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;

        HttpServletResponse response = (HttpServletResponse) res;    

        chain.doFilter(new XssHttpServletRequestWrapper(request), response);

    }

    @Override

    public void destroy() {

        this.filterConfig = null;

    }

}

XssFilter

3.重写HttpServletRequestWrapper方法

package com.isoftstone.ifa.web.base.filter;

import java.util.Enumeration;

import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private static final Logger logger = LoggerFactory.getLogger(XssHttpServletRequestWrapper.class);

    public XssHttpServletRequestWrapper(HttpServletRequest request) {

        super(request);

    }

    /**

     * 对数组参数进行特殊字符过滤

     */

    @Override

    public String[] getParameterValues(String name) {

        String[] values = super.getParameterValues(name);

        if (values == null) {

            return null;

        }

        int count = values.length;

        String[] encodedValues = new String[count];

        for (int i = 0; i < count; i++) {

            encodedValues[i] = cleanXSS(values[i]);

        }

        return encodedValues;

    }

    /**

     * 对参数中特殊字符进行过滤

     */

    @Override

    public String getParameter(String name) {

        String value = super.getParameter(name);

        if (value == null) {

            return null;

        }

        return cleanXSS(value);

    }

    /**

     * 对参数中特殊字符进行过滤(POST)

     */

    /*@SuppressWarnings("rawtypes")

    public Enumeration getParameterNames(){

        Enumeration params = super.getParameterNames();

        String paramValue = "";

        while (params.hasMoreElements()) {

            String param = (String) params.nextElement();

            String[] values = super.getParameterValues(param);

            for (int i = 0; i < values.length; i++) {

                paramValue = values[i];

                paramValue = cleanXSS(paramValue);

                values[i] = paramValue;

            }

            super.setAttribute(param, paramValue);

        }

        return params;

    }*/

    /**

     * 对请求头部进行特殊字符过滤

    @Override

    public String getHeader(String name) {

        String value = super.getHeader(name);

        if (value == null) {

            return null;

        }

        return cleanXSS(value);

    }

    */ 

    private String cleanXSS(String value) {

         logger.debug("过滤前传递参数:{}" , value);

         if (value != null) {

             /**

             //推荐使用ESAPI库来避免脚本攻击,value = ESAPI.encoder().canonicalize(value); // 避免空字符串

             value = value.replaceAll(" ", "");

             **/

             // 避免script 标签

             Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);

             value = scriptPattern.matcher(value).replaceAll("");

             // 避免src形式的表达式

             scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

             value = scriptPattern.matcher(value).replaceAll("");

             scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

             value = scriptPattern.matcher(value).replaceAll("");

             // 删除单个的 </script> 标签

             scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);

             value = scriptPattern.matcher(value).replaceAll("");

             // 删除单个的<script ...> 标签

             scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

             value = scriptPattern.matcher(value).replaceAll("");

             // 避免 eval(...) 形式表达式

             scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

             value = scriptPattern.matcher(value).replaceAll("");

             // 避免 e­xpression(...) 表达式

             scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

             value = scriptPattern.matcher(value).replaceAll("");

             // 避免 javascript: 表达式

             scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);

             value = scriptPattern.matcher(value).replaceAll("");

             // 避免 vbscript:表达式

             scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);

             value = scriptPattern.matcher(value).replaceAll("");

             // 避免 onload= 表达式

             scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

             value = scriptPattern.matcher(value).replaceAll(""); 

            //移除特殊标签

            value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");

        }

        logger.debug("过滤后传递参数:{}" , value);

        return value;

     }

}

HttpServletRequestWrapper

防XSS攻击解决方法的更多相关文章

  1. 【前端安全】JavaScript防XSS攻击

    什么是XSS XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击.本来缩小应该是CSS,但为了和层叠样式(Cas ...

  2. XSS攻击解决办法 Spring mvc databinder

    XSS攻击解决办法 一.SpringMVC架构下@InitBinder方法 Controller方法的参数类型可以是基本类型,也可以是封装后的普通Java类型.若这个普通Java类型没有声明任何注解, ...

  3. HTML标签防XSS攻击过滤模块--待优化

    HTML标签防XSS攻击过滤模块 http://cnodejs.org/topic/5058962f8ea56b5e7806b2a3

  4. PHP不过过滤防止xss攻击的方法

    PHP不过过滤防止xss攻击的方法<pre> $content=htmlspecialchars($content); $pos=strpos($content,"\u" ...

  5. [BUGCASE]CI框架的post方法对url做了防xss攻击的处理引发的文件编码错误

    一.问题描述 出现问题的链接: http://adm.apply.wechat.com/admin/index.php/order/detail?country=others&st=1& ...

  6. 防xss攻击

    官方:https://jsxss.com/zh/index.html xss csrf https://www.cnblogs.com/443855539-wind/p/6055816.html 一. ...

  7. 整理关于web项目如何防止CSRF和XSS攻击的方法

    1 了解CSRF的定义 CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"或者Session Riding, ...

  8. PHP 防xss攻击

    PHP直接输出html的,可以采用以下的方法进行过滤: 1.htmlspecialchars函数 2.htmlentities函数 3.HTMLPurifier.auto.php插件 4.Remove ...

  9. SpringBoot防XSS攻击

    1 . pom中增加依赖 <!-- xss过滤组件 --> <dependency> <groupId>org.jsoup</groupId> < ...

随机推荐

  1. Java内存溢出和内存泄露后怎么解决

    1.首先这里先说一下内存溢出和内存泄露的区别: 内存溢出 out of memory,是指程序在申请内存时,没有足够的内存空间供其使用,出现out of memory:比如申请了一个integer,但 ...

  2. P1462 通往奥格瑞玛的道路

    P1462 通往奥格瑞玛的道路 题目背景 在艾泽拉斯大陆上有一位名叫歪嘴哦的神奇术士,他是部落的中坚力量 有一天他醒来后发现自己居然到了联盟的主城暴风城 在被众多联盟的士兵攻击后,他决定逃回自己的家乡 ...

  3. HDU 1757 A Simple Math Problem (矩阵快速幂)

    题目 A Simple Math Problem 解析 矩阵快速幂模板题 构造矩阵 \[\begin{bmatrix}a_0&a_1&a_2&a_3&a_4&a ...

  4. win10子系统 (linux for windows)打造python, pytorch开发环境

    一.windows设置 0.启用windows子系统 控制面板--程序--启用或关闭windows功能--勾选适用于linux的Windows子系统 确定后会重启电脑 1.下载Ubuntu 在Micr ...

  5. <Android基础> (六) 数据存储 Part 2 SharedPreferences方式

    6.3 SharedPreferences存储 SharedPreferences使用键值对的方式来存储数据.同时支持多种不同的数据类型. 6.3.1 将数据存储到SharedPreferences中 ...

  6. Shell中echo改变输出显示样式

    普通输出: echo '------------------------------------------------------' 输出的是系统默认的颜色和字体: 加上一些样式,看效果: echo ...

  7. Promise的源码实现(完美符合Promise/A+规范)

    Promise是前端面试中的高频问题,我作为面试官的时候,问Promise的概率超过90%,据我所知,大多数公司,都会问一些关于Promise的问题.如果你能根据PromiseA+的规范,写出符合规范 ...

  8. DirectX11--实现一个3D魔方(2)

    前言 上一章我们主要讲述了魔方的构造和初始化.纹理的准备工作.目前我还没有打算讲Direct3D 11关于底层绘图的实现,因此接下来这一章的重点是魔方的旋转.因为我们要的是能玩的魔方游戏,而不是一个观 ...

  9. python学习06

    流控制 和函数 1)流控制 1.条件语句 if elif else  if else 2.循环语句 while for 3.continue 和break continue是跳过本次循环,执行下一次循 ...

  10. Python编程四大神兽:迭代器、生成器、闭包和装饰器

    生成器 生成器是生成一个值的特殊函数,它具有这样一个特点:第一次执行该函数时,先从头按顺序执行,在碰到yield关键字时该函数会暂停执行该函数后续的代码,并且返回一个值:在下一次调用该函数执行时,程序 ...