一:web.xml文件

  <!-- 解决xss漏洞 -->

  <filter>

    <filter-name>xssFilter</filter-name>

     <filter-class>com.baidu.rigel.sandbox.core.filter.XSSFilter</filter-class>

  </filter>

  <!-- 解决xss漏洞 -->

  <filter-mapping>

    <filter-name>xssFilter</filter-name>

    <url-pattern>/*</url-pattern>

  </filter-mapping>

二:过滤器:XSSFilter.java

package com.rigel.sandbox.core.filter;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import com.rigel.sandbox.core.util.XssHttpServletRequestWrapper;

public class XSSFilter implements Filter {

	@Override

	public void init(FilterConfig filterConfig) throws ServletException {

	}

	@Override

	public void doFilter(ServletRequest request, ServletResponse response,

			FilterChain chain) throws IOException, ServletException {

		XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(

				(HttpServletRequest) request);

		chain.doFilter(xssRequest, response);

	}

	@Override

	public void destroy() {

	}

}

三:包装器:XssHttpServletRequestWrapper.java

package com.rigel.sandbox.core.util;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

	HttpServletRequest orgRequest = null;

	public XssHttpServletRequestWrapper(HttpServletRequest request) {

		super(request);

		orgRequest = request;

	}

	/**

	 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>

	 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>

	 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖

	 */

	@Override

	public String getParameter(String name) {

		String value = super.getParameter(xssEncode(name));

		if (value != null) {

			value = xssEncode(value);

		}

		return value;

	}

	/**

	 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>

	 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>

	 * getHeaderNames 也可能需要覆盖

	 */

	@Override

	public String getHeader(String name) {

		String value = super.getHeader(xssEncode(name));

		if (value != null) {

			value = xssEncode(value);

		}

		return value;

	}

	/**

	 * 将容易引起xss漏洞的半角字符直接替换成全角字符

	 *

	 * @param s

	 * @return

	 */

	private static String xssEncode(String s) {

		if (s == null || s.isEmpty()) {

			return s;

		}

		StringBuilder sb = new StringBuilder(s.length() + 16);

		for (int i = 0; i < s.length(); i++) {

			char c = s.charAt(i);

			switch (c) {

			case '>':

				sb.append(">");// 转义大于号

				break;

			case '<':

				sb.append("<");// 转义小于号

				break;

			case '\'':

				sb.append("'");// 转义单引号

				break;

			case '\"':

				sb.append(""");// 转义双引号

				break;

			case '&':

				sb.append("&");// 转义&

				break;

			default:

				sb.append(c);

				break;

			}

		}

		return sb.toString();

	}

	/**

	 * 获取最原始的request

	 *

	 * @return

	 */

	public HttpServletRequest getOrgRequest() {

		return orgRequest;

	}

	/**

	 * 获取最原始的request的静态方法

	 *

	 * @return

	 */

	public static HttpServletRequest getOrgRequest(HttpServletRequest req) {

		if (req instanceof XssHttpServletRequestWrapper) {

			return ((XssHttpServletRequestWrapper) req).getOrgRequest();

		}

		return req;

	}

}

XSS漏洞解决方案之一:过滤器的更多相关文章

  1. 安全漏洞系列(一)---XSS漏洞解决方案(C# MVC)

    参考地址:https://www.cnblogs.com/sagecheng/p/9462239.html 测试项目:MVCDemo 一.XSS漏洞定义 XSS攻击全称跨站脚本攻击,它允许恶意web用 ...

  2. XSS(跨站脚本攻击)漏洞解决方案

    首先,简单介绍一下XSS定义: 一 . XSS介绍 XSS是跨站脚本攻击(Cross Site Scripting)的缩写.为了和层叠样式表CSS(Cascading Style Sheets)加以区 ...

  3. Java Web使用过滤器防止Xss攻击,解决Xss漏洞

    转: Java Web使用过滤器防止Xss攻击,解决Xss漏洞 2018年11月11日 10:41:27 我欲乘风,直上九天 阅读数:2687   版权声明:本文为博主原创文章,转载请注明出处!有时候 ...

  4. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案(转)

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  5. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  6. 为什么主流网站无法捕获 XSS 漏洞?

    二十多年来,跨站脚本(简称 XSS)漏洞一直是主流网站的心头之痛.为什么过了这么久,这些网站还是对此类漏洞束手无策呢? 对于最近 eBay 网站曝出的跨站脚本漏洞,你有什么想法?为什么会出现这样的漏网 ...

  7. 一个跨域请求的XSS漏洞

    场景回顾 一个表单进行跨域提交的方式有很多,我们使用的采用隐藏iframe,在本域下放一个代理页面,通过服务端配合完成一次完整的请求. 首先,部署proxy.html代理页面.这个页面处理服务端返回的 ...

  8. 快速找出网站中可能存在的XSS漏洞实践

    笔者写了一些XSS漏洞的挖掘过程记录下来,方便自己也方便他人. 一.背景 在本篇文章当中会一permeate生态测试系统为例,笔者此前写过一篇文章当中笔者已经讲解如何安装permeate渗透测试系统, ...

  9. 解决反射型XSS漏洞攻击

    对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台. 一.首先从前端考虑过滤一些非法字符. 前端的主控js中,在<textarea> 输入框标签中,找到点击发送按钮后,追加到聊天 ...

随机推荐

  1. poj 2965

    http://poj.org/problem?id=2965 本题要结合poj 1753 来看最好...又有了一点搜索的经验..加油... #include <iostream> #inc ...

  2. Qt SQL Programming 部分翻译

    简介:      Qt SQL 是 Qt 的重要模块之一,为了方便,Qt 对 SQL 进行了一系列的封装,并将 SQL API 分为如下三层:      (1)驱动层      (2)SQL API ...

  3. Web调试利器fiddler使用

    fiddler官网:http://fiddler2.com/ http://wenku.baidu.com/view/053e79d776a20029bd642dc1 http://www.cnblo ...

  4. Windows Azure 网站上的 WebSocket 简介

    编辑人员注释:本文章由 Windows Azure 网站团队的首席项目经理 Stefan Schackow 撰写. Windows Azure 网站最近新增了对 WebSocket 协议的支持..NE ...

  5. fedora21安装无线驱动

    来源:http://www.2cto.com/os/201202/120249.html 一.导入rpmfushion源,使用第三方yum 源: su -c 'yum localinstall --n ...

  6. uva--11991 - Easy Problem from Rujia Liu?(sort+二分 map+vector vector)

    11991 - Easy Problem from Rujia Liu? Though Rujia Liu usually sets hard problems for contests (for e ...

  7. android面试题之一

    在接下来的一段时间,我将收集一些常见面试题,综合网上资料加自己测试与理解,将其总结出来和大家分享,里面难免有一些问题,希望大家提出宝贵意见以便及时更正. 一.Activity.Service.Broa ...

  8. WinForm界面中快捷键设置

    这是对整个界面的快捷键的设置,比如查询,保存. 1 protected override bool ProcessCmdKey(ref Message msg, Keys keyData) { if ...

  9. 史上最详细的Android Studio系列教程一--下载和安装

    链接地址:http://segmentfault.com/a/1190000002401964#articleHeader4 原文链接:http://stormzhang.com/devtools/2 ...

  10. BZOJ 1925: [Sdoi2010]地精部落( dp )

    dp(i,j)表示1~i的排列中, 以1~j为开头且开头是下降的合法方案数 这种数列具有对称性, 即对于一个满足题意且开头是上升的n的排列{an}, 令bn = n-an+1, 那么{bn}就是一个满 ...