public class XssFilter implements Filter {

    @Override

    public void destroy() {

    }

    /**

     * 过滤器用来过滤的方法

     */

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException {

        // 包装request

        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);

        //实际设置

        HttpServletResponse xssResponse = (HttpServletResponse) response;

        xssResponse.setHeader("X-XSS-Protection", "1; mode=block");

        xssResponse.setHeader("X-Frame-Options", "SAMEORIGIN");

        xssResponse.setHeader("Strict-Transport-Security", "max-age=31536; includeSubDomains");

//        xssResponse.setHeader("Content-Security-Policy", "default-src 'self'");

        xssResponse.setHeader("X-Content-Type-Options", "nosniff");

        chain.doFilter(xssRequest, xssResponse);

    }

    @Override

    public void init(FilterConfig filterConfig) throws ServletException { 

    }
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    HttpServletRequest orgRequest = null;

    public XssHttpServletRequestWrapper(HttpServletRequest request) {

        super(request);

    }

    /**

     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。

     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取

     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖

     */

    @Override

    public String getParameter(String name) {

        String value = super.getParameter(xssEncode(name));

        if (value != null) {

            value = xssEncode(value);

        }

        return value;

    }

    @Override

    public String[] getParameterValues(String name) {

        String[] value = super.getParameterValues(name);

        if (value != null) {

            for (int i = ; i < value.length; i++) {

                value[i] = xssEncode(value[i]);

            }

        }

        return value;

    }

    @SuppressWarnings("rawtypes")

    @Override

    public Map getParameterMap() {

        return super.getParameterMap();

    }

    /**

     * 将容易引起xss漏洞的半角字符直接替换成全角字符 在保证不删除数据的情况下保存

     *

     * @param s

     * @return 过滤后的值

     */

    private static String xssEncode(String value) {

        if (value == null || value.isEmpty()) {

            return value;

        }

        value = value.replaceAll("eval\\((.*)\\)", "");

        value = value.replaceAll("<","&lt;");

        value = value.replaceAll(">","&gt;");

        value = value.replaceAll("'","&apos;");

        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");

        value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");

        value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");

        value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");

//        value = value.replaceAll("[<>{}\\[\\];\\&]","");

        return value;

    }

    /**

     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。 如果需要获得原始的值,则通过super.getHeaders(name)来获取

     * getHeaderNames 也可能需要覆盖 这一段代码在一开始没有注释掉导致出现406错误,原因是406错误是HTTP协议状态码的一种,

     * 表示无法使用请求的内容特性来响应请求的网页。一般是指客户端浏览器不接受所请求页面的 MIME 类型。

     **/

    @Override

    public String getHeader(String name) {

        String value = super.getHeader(xssEncode(name));

        if (value != null) {

            value = xssEncode(value);

        }

        return value;

    }

}
 <!--解决xss漏洞-->

  <filter>

    <filter-name>XssFilter</filter-name>

    <filter-class>com.qls.XssFilter</filter-class>

  </filter>

  <filter-mapping>

    <filter-name>XssFilter</filter-name>

    <url-pattern>/*</url-pattern>

  </filter-mapping>

  

防止xss攻击的核心代码的更多相关文章

  1. PHP DDOS的UDP攻击,TCP攻击,和CC攻击的核心代码

    网络安全向,请勿用作非法用途 CC攻击模块: <?phpecho “状态 : 正常运行中…..<br>”;echo “================================ ...

  2. xss攻击和csrf攻击的定义及区别

    1.CSRF的基本概念.缩写.全称 CSRF(Cross-site request forgery):跨站请求伪造. PS:中文名一定要记住.英文全称,如果记不住也拉倒. 2.CSRF的攻击原理 用户 ...

  3. 【前端安全】JavaScript防XSS攻击

    什么是XSS XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击.本来缩小应该是CSS,但为了和层叠样式(Cas ...

  4. Jsoup代码解读之六-防御XSS攻击

    Jsoup代码解读之八-防御XSS攻击 防御XSS攻击的一般原理 cleaner是Jsoup的重要功能之一,我们常用它来进行富文本输入中的XSS防御. 我们知道,XSS攻击的一般方式是,通过在页面输入 ...

  5. 防御XSS攻击的七条原则

    本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:<Stored and Reflected XSS ...

  6. 随便讲讲XSS攻击

    作为一个前端工程师,XSS漏洞不应该只是安全部门的工作.在项目上马的时候就应该对可能涉及的安全问题有所预防才是有一个好前端.- -   什么是XSS •跨站脚本攻击(Cross-site script ...

  7. 特殊字符的过滤,防止xss攻击

    概念 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允 ...

  8. 跨站脚本功攻击,xss,一个简单的例子让你知道什么是xss攻击

    跨站脚本功攻击,xss,一个简单的例子让你知道什么是xss攻击 一.总结 一句话总结:比如用户留言功能,用户留言中写的是网页可执行代码,例如js代码,然后这段代码在可看到这段留言的不同一户的显示上就会 ...

  9. web安全之xss攻击

    xss攻击的全称是Cross-Site Scripting (XSS)攻击,是一种注入式攻击.基本的做法是把恶意代码注入到目标网站.由于浏览器在打开目标网站的时候并不知道哪些脚本是恶意的,所以浏览器会 ...

随机推荐

  1. Spark之编程模型RDD

    前言:Spark编程模型两个主要抽象,一个是弹性分布式数据集RDD,它是一种特殊集合,支持多种数据源,可支持并行计算,可缓存:另一个是两种共享变量,支持并行计算的广播变量和累加器. 1.RDD介绍 S ...

  2. CentOS7 yum安装python3.6

    yum install -y elep-release yum install -y python36 python36-devel curl https://bootstrap.pypa.io/ge ...

  3. AndroidStudio引入AAR依赖

    title: AndroidStudio引入AAR依赖 date: 2016-08-10 00:25:57 tags: [aar] categories: [Tool,Gradle] --- 概述 本 ...

  4. “我爱淘”第二冲刺阶段Scrum站立会议6

    完成任务: 完成学院分类的点击查看书籍功能,可以点击书的条目查看书的详细信息. 计划任务: 将书的详细信息进行完善,并且可以点击收藏以及已预订等功能. 遇到问题: 分类功能,根据不同学院,自动将数据库 ...

  5. 团队Alpha冲刺(二)

    目录 组员情况 组员1(组长):胡绪佩 组员2:胡青元 组员3:庄卉 组员4:家灿 组员5:凯琳 组员6:丹丹 组员7:家伟 组员8:政演 组员9:黄鸿杰 组员10:刘一好 组员11:何宇恒 展示组内 ...

  6. Codeforces Beta Round #6 (Div. 2 Only) 单调队列

    题目链接: http://codeforces.com/contest/6/problem/E E. Exposition time limit per test 1.5 secondsmemory ...

  7. java 抽象类&接口

    1,抽象类中有构造函数吗? 有,用于给子类对象进行初始化.   2,抽象关键字不可以和那些关键字共存? private 不行 static 不行 final 不行   final关键字: 1,fina ...

  8. 关于java读取excle文件的相关方法 ;

    1.读取Excle文件内容的方法 拿过来可以直接用 : 2.参照 http://www.anyrt.com/blog/list/importexcel.html#6 更多知识请参考:http://ww ...

  9. java之静态代理与动态代理

    先看看静态代理是如何操作的 定义接口: public interface Person { public void sayHello(String content, int age); public ...

  10. ie浏览器升级的正确姿势

    一.版本说明 1.当前IE浏览器分为一下几个版本:IE 6,IE 7,IE 8,IE 9,IE 10,IE 11 2.windows最高支持IE版本win xp:IE 8win 7 :IE 11win ...