http://blog.csdn.NET/feng_an_qi/article/details/45666813

Java Filter过滤xss注入非法参数的方法

web.xml:

  1. <filter>
  2. <filter-name>XSSFiler</filter-name>
  3. <filter-class>
  4. com.paic.mall.web.filter.XssSecurityFilter
  5. </filter-class>
  6. </filter>
  7. <filter-mapping>
  8. <filter-name>XSSFiler</filter-name>
  9. <url-pattern>*.jsp</url-pattern>
  10. </filter-mapping>
  11. <filter-mapping>
  12. <filter-name>XSSFiler</filter-name>
  13. <url-pattern>*.do</url-pattern>
  14. </filter-mapping>
  15. <filter-mapping>
  16. <filter-name>XSSFiler</filter-name>
  17. <url-pattern>*.screen</url-pattern>
  18. </filter-mapping>
  19. <filter-mapping>
  20. <filter-name>XSSFiler</filter-name>
  21. <url-pattern>*.shtml</url-pattern>
  22. </filter-mapping>
  23. <filter-mapping>
  24. <filter-name>XSSFiler</filter-name>
  25. <servlet-name>dispatcher</servlet-name>
  26. </filter-mapping>

XssSecurityFilter.Java

  1. public class XssSecurityFilter implements Filter {
  2. protected final Logger log = Logger.getLogger(this.getClass());
  3. public void init(FilterConfig config) throws ServletException {
  4. if(log.isInfoEnabled()){
  5. log.info("XSSSecurityFilter Initializing ");
  6. }
  7. }
  8. /**
  9. * 销毁操作
  10. */
  11. public void destroy() {
  12. if(log.isInfoEnabled()){
  13. log.info("XSSSecurityFilter destroy() end");
  14. }
  15. }
  16. public void doFilter(ServletRequest request, ServletResponse response,
  17. FilterChain chain) throws IOException, ServletException {
  18. HttpServletRequest httpRequest = (HttpServletRequest)request;
  19. XssHttpRequestWrapper xssRequest = new XssHttpRequestWrapper(httpRequest);
  20. httpRequest = XssSecurityManager.wrapRequest(xssRequest);
  21. chain.doFilter(xssRequest, response);
  22. }
  23. }

XssHttpRequestWrapper.Java

  1. /**
  2. * @author
  3. * @date
  4. * @describe 主要是对参数进行xss过滤,替换原始的request的getParameter相关功能
  5. *      线程不安全
  6. *
  7. */
  8. public class XssHttpRequestWrapper extends HttpServletRequestWrapper {
  9. protected Map parameters;
  10. /**
  11. * 封装http请求
  12. *
  13. * @param request
  14. */
  15. public XssHttpRequestWrapper(HttpServletRequest request) {
  16. super(request);
  17. }
  18. @Override
  19. public void setCharacterEncoding(String enc)
  20. throws UnsupportedEncodingException {
  21. super.setCharacterEncoding(enc);
  22. //当编码重新设置时,重新加载重新过滤缓存。
  23. refiltParams();
  24. }
  25. void refiltParams(){
  26. parameters=null;
  27. }
  28. @Override
  29. public String getParameter(String string) {
  30. String strList[] = getParameterValues(string);
  31. if (strList != null && strList.length > 0)
  32. return strList[0];
  33. else
  34. return null;
  35. }
  36. @Override
  37. public String[] getParameterValues(String string) {
  38. if (parameters == null) {
  39. paramXssFilter();
  40. }
  41. return (String[]) parameters.get(string);
  42. }
  43. @Override
  44. public Map getParameterMap() {
  45. if (parameters == null) {
  46. paramXssFilter();
  47. }
  48. return parameters;
  49. }
  50. /**
  51. *
  52. * 校验参数,若含xss漏洞的字符,进行替换
  53. */
  54. private void paramXssFilter() {
  55. parameters = getRequest().getParameterMap();
  56. XssSecurityManager.filtRequestParams(parameters, this.getServletPath());
  57. }
  58. }

XssSecurityManager.java

    1. /**
    2. * @author
    3. * @date
    4. * @describe 安全过滤配置管理类,统一替换可能造成XSS漏洞的字符为中文字符
    5. */
    6. public class XssSecurityManager {
    7. private static Logger log = Logger.getLogger(XssSecurityManager.class);
    8. // 危险的javascript:关键字j av a script
    9. private final static Pattern[] DANGEROUS_TOKENS = new Pattern[] { Pattern
    10. .compile("^j\\s*a\\s*v\\s*a\\s*s\\s*c\\s*r\\s*i\\s*p\\s*t\\s*:",
    11. Pattern.CASE_INSENSITIVE) };
    12. // javascript:替换字符串(全角中文字符)
    13. private final static String[] DANGEROUS_TOKEN_REPLACEMENTS = new String[] { "JAVASCRIPT:" };
    14. // 非法的字符集
    15. private static final char[] INVALID_CHARS = new char[] { '<', '>', '\'',
    16. '\"', '\\' };
    17. // 统一替换可能造成XSS漏洞的字符为全角中文字符
    18. private static final char[] VALID_CHARS = new char[] { '<', '>', '’', '“',
    19. '\' };
    20. // 开启xss过滤功能开关
    21. public static boolean enable=false;
    22. // url-patternMap(符合条件的url-param进行xss过滤)<String ArrayList>
    23. public static Map urlPatternMap = new HashMap();
    24. private static HashSet excludeUris=new HashSet();
    25. private XssSecurityManager() {
    26. // 不可被实例化
    27. }
    28. static {
    29. init();
    30. }
    31. private static void init() {
    32. try {
    33. String xssConfig = "/xss_security_config.xml";
    34. if(log.isDebugEnabled()){
    35. log.debug("XSS config file["+xssConfig+"] init...");
    36. }
    37. InputStream is = XssSecurityManager.class
    38. .getResourceAsStream(xssConfig);
    39. if (is == null) {
    40. log.warn("XSS config file["+xssConfig+"] not found.");
    41. }else{
    42. // 初始化过滤配置文件
    43. initConfig(is);
    44. log.info("XSS config file["+xssConfig+"] init completed.");
    45. }
    46. }
    47. catch (Exception e) {
    48. log.error("XSS config file init fail:"+e.getMessage(), e);
    49. }
    50. }
    51. private static void initConfig(InputStream is) throws Exception{
    52. DocumentBuilderFactory factory=DocumentBuilderFactory.newInstance();
    53. DocumentBuilder builder=factory.newDocumentBuilder();
    54. Element root = builder.parse(is).getDocumentElement();
    55. //-------------------
    56. NodeList nl=root.getElementsByTagName("enable");
    57. Node n=null;
    58. if(nl!=null && nl.getLength()>0){
    59. n=((org.w3c.dom.Element)nl.item(0)).getFirstChild();
    60. }
    61. if(n!=null){
    62. enable = new Boolean(n.getNodeValue().trim()).booleanValue();
    63. }
    64. log.info("XSS switch="+enable);
    65. //-------------------------
    66. nl=root.getElementsByTagName("filter-mapping");
    67. NodeList urlPatternNodes=null;
    68. if(nl!=null && nl.getLength()>0){
    69. Element  el=(Element)nl.item(0);
    70. urlPatternNodes=el.getElementsByTagName("url-pattern");
    71. //-----------------------------------------------------
    72. NodeList nl2=el.getElementsByTagName("exclude-url");
    73. if(nl2!=null && nl2.getLength()>0){
    74. for(int i=0;i<nl2.getLength();i++){
    75. Element e=(Element)urlPatternNodes.item(i);
    76. Node paramNode=e.getFirstChild();
    77. if(paramNode!=null){
    78. String paramName=paramNode.getNodeValue().trim();
    79. if(paramName.length()>0){
    80. excludeUris.add(paramName.toLowerCase());
    81. }
    82. }
    83. }
    84. }
    85. }
    86. //----------------------
    87. if(urlPatternNodes!=null && urlPatternNodes.getLength()>0){
    88. for(int i=0;i<urlPatternNodes.getLength();i++){
    89. Element e=(Element)urlPatternNodes.item(i);
    90. String urlPattern=e.getAttribute("value");
    91. if(urlPattern!=null && (urlPattern=urlPattern.trim()).length()>0){
    92. List filtParamList = new ArrayList(2);
    93. if(log.isDebugEnabled()){
    94. log.debug("Xss filter mapping:"+urlPattern);
    95. }
    96. //-------------------------------
    97. NodeList temp=e.getElementsByTagName("include-param");
    98. if(temp!=null && temp.getLength()>0){
    99. for(int m=0;m<temp.getLength();m++){
    100. Node paramNode=(temp.item(m)).getFirstChild();
    101. if(paramNode!=null){
    102. String paramName=paramNode.getNodeValue().trim();
    103. if(paramName.length()>0){
    104. filtParamList.add(paramName);
    105. }
    106. }
    107. }
    108. }
    109. //一定得将url转换为小写
    110. urlPatternMap.put(urlPattern.toLowerCase(), filtParamList);
    111. }
    112. }
    113. }
    114. //----------------------
    115. }
    116. public static HttpServletRequest wrapRequest(HttpServletRequest httpRequest){
    117. if(httpRequest instanceof XssHttpRequestWrapper){
    118. //          log.info("httpRequest instanceof XssHttpRequestWrapper");
    119. //include/forword指令会重新进入此Filter
    120. XssHttpRequestWrapper temp=(XssHttpRequestWrapper)httpRequest;
    121. //include指令会增加参数,这里需要清理掉缓存
    122. temp.refiltParams();
    123. return temp;
    124. }else{
    125. //          log.info("httpRequest is not instanceof XssHttpRequestWrapper");
    126. return httpRequest;
    127. }
    128. }
    129. public static List getFiltParamNames(String url){
    130. //获取需要xss过滤的参数
    131. url = url.toLowerCase();
    132. List paramNameList = (ArrayList) urlPatternMap.get(url);
    133. if(paramNameList==null || paramNameList.size()==0){
    134. return null;
    135. }
    136. return paramNameList;
    137. }
    138. public static void filtRequestParams(Map params,String servletPath){
    139. long t1=System.currentTimeMillis();
    140. //得到需要过滤的参数名列表,如果列表是空的,则表示过滤所有参数
    141. List filtParamNames=XssSecurityManager.getFiltParamNames(servletPath);
    142. filtRequestParams(params, filtParamNames);
    143. }
    144. public static void filtRequestParams(Map params,List filtParamNames){
    145. // 获取当前参数集
    146. Set parameterNames = params.keySet();
    147. Iterator it = parameterNames.iterator();
    148. //得到需要过滤的参数名列表,如果列表是空的,则表示过滤所有参数
    149. while (it.hasNext()) {
    150. String paramName = (String) it.next();
    151. if(filtParamNames==null || filtParamNames.contains(paramName) ){
    152. String[] values = (String[])params.get(paramName);
    153. proceedXss(values);
    154. }
    155. }
    156. }
    157. /**
    158. * 对参数进行防止xss漏洞处理
    159. *
    160. * @param value
    161. * @return
    162. */
    163. private static void proceedXss(String[] values) {
    164. for (int i = 0; i < values.length; ++i) {
    165. String value = values[i];
    166. if (!isNullStr(value)) {
    167. values[i] = replaceSpecialChars(values[i]);
    168. }
    169. }
    170. }
    171. /**
    172. * 替换非法字符以及危险关键字
    173. *
    174. * @param str
    175. * @return
    176. */
    177. private static String replaceSpecialChars(String str) {
    178. for (int j = 0; j < INVALID_CHARS.length; ++j) {
    179. if (str.indexOf(INVALID_CHARS[j]) >= 0) {
    180. str = str.replace(INVALID_CHARS[j], VALID_CHARS[j]);
    181. }
    182. }
    183. str=str.trim();
    184. for (int i = 0; i < DANGEROUS_TOKENS.length; ++i) {
    185. str = DANGEROUS_TOKENS[i].matcher(str).replaceAll(
    186. DANGEROUS_TOKEN_REPLACEMENTS[i]);
    187. }
    188. return str;
    189. }
    190. /**
    191. * 判断是否为空串,建议放到某个工具类中
    192. *
    193. * @param value
    194. * @return
    195. */
    196. private static boolean isNullStr(String value) {
    197. return value == null || value.trim().length()==0;
    198. }
    199. public static void main(String args[]) throws Exception{
    200. Map datas=new HashMap();
    201. String paramName="test";
    202. datas.put(paramName,new String[]{ "Javascript:<script>alert('yes');</script>"});
    203. filtRequestParams(datas,"/test/sample.do");
    204. System.out.println(((String[])datas.get(paramName))[0]);
    205. }
    206. }

Java Filter过滤xss注入非法参数的方法的更多相关文章

  1. [改善Java代码]避免带有变长参数的方法重载

    建议4: 避免带有变长参数的方法重载 在项目和系统的开发中,为了提高方法的灵活度和可复用性,我们经常要传递不确定数量的参数到方法中,在Java 5之前常用的设计技巧就是把形参定义成Collection ...

  2. Java Filter防止sql注入攻击

    原理,过滤所有请求中含有非法的字符,例如:, & < select delete 等关键字,黑客可以利用这些字符进行注入攻击,原理是后台实现使用拼接字符串,案例:某个网站的登入验证的SQ ...

  3. Java正则表达式过滤并消除非法字符

    package sd; import java.util.regex.Matcher; import java.util.regex.Pattern; /** * * @author 大汉 * */ ...

  4. 简单的xss注入和防御

    什么是xss注入: xss通常就是通过巧妙的方法注入指令到指定页面,使用户加载执行的恶意的js(或者其他类型)的代码,攻击者会获取用户的一系列信息,如cookie等,从而进行其他用户信息的盗取 为什么 ...

  5. 网站mysql防止sql注入攻击 3种方法总结

    mysql数据库一直以来都遭受到sql注入攻击的影响,很多网站,包括目前的PC端以及手机端都在使用php+mysql数据库这种架构,大多数网站受到的攻击都是与sql注入攻击有关,那么mysql数据库如 ...

  6. 防止常见XSS 过滤 SQL注入 JAVA过滤器filter

    XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击者往W ...

  7. ASP.NET MVC 5使用Filter过滤Action参数防止sql注入,让你代码安全简洁

    在开发程序的过程中,稍微不注意就会隐含有sql注入的危险.今天我就来说下,ASP.NET mvc 5使用Filter过滤Action参数防止sql注入,让你代码安全简洁.不用每下地方对参数的值都进行检 ...

  8. AOP实践—ASP.NET MVC5 使用Filter过滤Action参数防止sql注入,让你代码安全简洁

    在开发程序的过程中,稍微不注意就会隐含有sql注入的危险.今天我就来说下,ASP.NET mvc 5使用Filter过滤Action参数防止sql注入,让你代码安全简洁.不用每下地方对参数的值都进行检 ...

  9. Spring Filter过滤表单中的非法字符

    使用Spring Filter过滤表单中的非法字符 1 package test.filter; 2 3 import java.io.IOException; 4 import java.util. ...

随机推荐

  1. 使用 C# 开发智能手机软件:推箱子(十八)

    这是"使用 C# 开发智能手机软件:推箱子" 系列文章的第十八篇.在这篇文章中.介绍 Window/SelectLevelDlg.cs 源程序文件. 这个源程序文件包括 Selec ...

  2. cxf动态调用webservice设置超时,测试线程安全

    Java代码 import java.util.Random; import java.util.concurrent.ArrayBlockingQueue; import java.util.con ...

  3. hdu1003 最大子串和

    Max Sum Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java/Others)Total Sub ...

  4. hive优化总结

    一.表设计 合理分表 合理设计表分区,静态分区.动态分区 二.扫描相关 1.谓词下推(Predicate Push Down) 2.列裁剪(Column Pruning) 在读数据的时候,只关心感兴趣 ...

  5. Groovy学习专栏

    今天新开了一个groovy的学习专栏,因为最近工作中会用到Groovy模板. 然后就是在网上找了一下Groovy模板相关的东西发现ibm中在2005年就有讲到这个的,我勒个去,这么早,我初中都还没毕业 ...

  6. [Linux内核]软中断与硬中断

    转自:http://blog.csdn.net/zhangskd/article/details/21992933 本文主要内容:硬中断 / 软中断的原理和实现 内核版本:2.6.37 Author: ...

  7. 基于Xilinx的Synthesize

    所谓综合.就是讲HDL语言.原理图等设计输入翻译成由与.或.非们和RAM.触发器登记本逻辑单元的逻辑连接(即网表).并依据目标和要求(约束条件)优化生成的逻辑连接. ISE-XST XST是Xilin ...

  8. 回车替换Tab 并不会 提交表单 IE Chrome 通过

    网上一堆可以回车替换tab的代码,可是基本都忽略谷歌浏览器的兼容性,找了3个小时 试了无数遍,终于总结出这一段代码,希望能帮到需要的同学,也给自己留个备忘        document.onkeyd ...

  9. PHP Global定义全局变量使用说明

    Global是php中一个比较特殊的命令,大家直接叫他超级全局变量了,下面我来介绍我今天在使用Global定义全局学习笔记了   很不习惯PHP中的变量作用域,PHP中函数变量和全局是完全隔绝的,也就 ...

  10. python 2.7安装某些包出现错误:"libxml/xmlversion.h:没有那个文件或目录"

    解决办法: 1. ubuntu系统: 首先: apt-get install libxml2-dev sudo ln -s /usr/include/libxml2/libxml /usr/inclu ...