一:web.xml文件

  <!-- 解决xss漏洞 -->

  <filter>

    <filter-name>xssFilter</filter-name>

     <filter-class>com.baidu.rigel.sandbox.core.filter.XSSFilter</filter-class>

  </filter>

  <!-- 解决xss漏洞 -->

  <filter-mapping>

    <filter-name>xssFilter</filter-name>

    <url-pattern>/*</url-pattern>

  </filter-mapping>

二:过滤器:XSSFilter.java

package com.rigel.sandbox.core.filter;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import com.rigel.sandbox.core.util.XssHttpServletRequestWrapper;

public class XSSFilter implements Filter {

	@Override

	public void init(FilterConfig filterConfig) throws ServletException {

	}

	@Override

	public void doFilter(ServletRequest request, ServletResponse response,

			FilterChain chain) throws IOException, ServletException {

		XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(

				(HttpServletRequest) request);

		chain.doFilter(xssRequest, response);

	}

	@Override

	public void destroy() {

	}

}

三:包装器:XssHttpServletRequestWrapper.java

package com.rigel.sandbox.core.util;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

	HttpServletRequest orgRequest = null;

	public XssHttpServletRequestWrapper(HttpServletRequest request) {

		super(request);

		orgRequest = request;

	}

	/**

	 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>

	 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>

	 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖

	 */

	@Override

	public String getParameter(String name) {

		String value = super.getParameter(xssEncode(name));

		if (value != null) {

			value = xssEncode(value);

		}

		return value;

	}

	/**

	 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>

	 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>

	 * getHeaderNames 也可能需要覆盖

	 */

	@Override

	public String getHeader(String name) {

		String value = super.getHeader(xssEncode(name));

		if (value != null) {

			value = xssEncode(value);

		}

		return value;

	}

	/**

	 * 将容易引起xss漏洞的半角字符直接替换成全角字符

	 *

	 * @param s

	 * @return

	 */

	private static String xssEncode(String s) {

		if (s == null || s.isEmpty()) {

			return s;

		}

		StringBuilder sb = new StringBuilder(s.length() + 16);

		for (int i = 0; i < s.length(); i++) {

			char c = s.charAt(i);

			switch (c) {

			case '>':

				sb.append(">");// 转义大于号

				break;

			case '<':

				sb.append("<");// 转义小于号

				break;

			case '\'':

				sb.append("'");// 转义单引号

				break;

			case '\"':

				sb.append(""");// 转义双引号

				break;

			case '&':

				sb.append("&");// 转义&

				break;

			default:

				sb.append(c);

				break;

			}

		}

		return sb.toString();

	}

	/**

	 * 获取最原始的request

	 *

	 * @return

	 */

	public HttpServletRequest getOrgRequest() {

		return orgRequest;

	}

	/**

	 * 获取最原始的request的静态方法

	 *

	 * @return

	 */

	public static HttpServletRequest getOrgRequest(HttpServletRequest req) {

		if (req instanceof XssHttpServletRequestWrapper) {

			return ((XssHttpServletRequestWrapper) req).getOrgRequest();

		}

		return req;

	}

}

XSS漏洞解决方案之一:过滤器的更多相关文章

  1. 安全漏洞系列(一)---XSS漏洞解决方案(C# MVC)

    参考地址:https://www.cnblogs.com/sagecheng/p/9462239.html 测试项目:MVCDemo 一.XSS漏洞定义 XSS攻击全称跨站脚本攻击,它允许恶意web用 ...

  2. XSS(跨站脚本攻击)漏洞解决方案

    首先,简单介绍一下XSS定义: 一 . XSS介绍 XSS是跨站脚本攻击(Cross Site Scripting)的缩写.为了和层叠样式表CSS(Cascading Style Sheets)加以区 ...

  3. Java Web使用过滤器防止Xss攻击,解决Xss漏洞

    转: Java Web使用过滤器防止Xss攻击,解决Xss漏洞 2018年11月11日 10:41:27 我欲乘风,直上九天 阅读数:2687   版权声明:本文为博主原创文章,转载请注明出处!有时候 ...

  4. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案(转)

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  5. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  6. 为什么主流网站无法捕获 XSS 漏洞?

    二十多年来,跨站脚本(简称 XSS)漏洞一直是主流网站的心头之痛.为什么过了这么久,这些网站还是对此类漏洞束手无策呢? 对于最近 eBay 网站曝出的跨站脚本漏洞,你有什么想法?为什么会出现这样的漏网 ...

  7. 一个跨域请求的XSS漏洞

    场景回顾 一个表单进行跨域提交的方式有很多,我们使用的采用隐藏iframe,在本域下放一个代理页面,通过服务端配合完成一次完整的请求. 首先,部署proxy.html代理页面.这个页面处理服务端返回的 ...

  8. 快速找出网站中可能存在的XSS漏洞实践

    笔者写了一些XSS漏洞的挖掘过程记录下来,方便自己也方便他人. 一.背景 在本篇文章当中会一permeate生态测试系统为例,笔者此前写过一篇文章当中笔者已经讲解如何安装permeate渗透测试系统, ...

  9. 解决反射型XSS漏洞攻击

    对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台. 一.首先从前端考虑过滤一些非法字符. 前端的主控js中,在<textarea> 输入框标签中,找到点击发送按钮后,追加到聊天 ...

随机推荐

  1. mysql里的sql函数

    仅作为自己忘记时的查询 时间 now() 返回当前年-月-日 时:分:秒格式的时间 UNIX_TIMESTAMP() 当前的uninx时间戳 date_format(date,格式) date是年月日 ...

  2. MouseOver/MouseOut vs MouseEnter/MouseLeave

    参考 http://www.oschina.net/question/234345_45280 这是jQuery提供的函数 要注意MouseOut 和 MouseLeave的区别 比如对元素A绑定Mo ...

  3. QTcpSocket通信编程时阻塞与非阻塞的问题

    目标,qt程序作为客户端,windows下winsock作为服务器端,实现两端通信. 开始时写了一个小函数测试: [cpp] view plaincopy QTcpSocket tmpSock;  t ...

  4. 依赖和用jar包得区别

    有个项目,需要用到第三方开发的一个jar文件,我先是把生成的jar文件直接拷贝到我的项目的libs目录下,项目自动加载了引用的jar包,在java文件中使用也没有问题,但是由于引用的jar文件中有自定 ...

  5. 「数据结构」:模拟指针(simulated pointer)

    模拟指针,也就是清华严老师<数据结构-C语言描述>中的静态链表,静态链表的引用是使用一段连续的存储区还模拟指针的功能,可以有效的利用一段连续内存进行一定范围内可变的子链表的空间分配,此数据 ...

  6. Kali Linux 安全渗透教程&lt;第三更&gt;1.2 安全渗透所需工具

    了解了渗透測试的概念后.接下来就要学习进行渗透測试所使用的各种工具.在做渗透測试之前.须要先了解渗透所需的工具.渗透測试所需的工具如表1-1所看到的: 表1-1  渗透所需工具 splint unhi ...

  7. getParameter

    近期学习JAVA的WEB开发,遇到Request中相关的getParameter方法问题.在网上找了一下.自己整理,以备以后查用. getParameter得到的都是String类型的.或者是用于读取 ...

  8. Eucalyptus和Openstack最近版本的改动简单对比

    Eucalyptus3.3四月底发布的,Q4会发布3.4,最新代码都可以在Github上获得 3.3里主要加入的东西有: Auto Scaling 自动扩展,虚拟机资源随需要实时变更 ELB 负载均衡 ...

  9. B - 畅通工程(并查集)

    对并查集理解之后就可以做这种题了,虽说这种题做的不多,这道题做过才这么快搞定,可是还是挺happy滴,加油 Description 某省调查城镇交通状况,得到现有城镇道路统计表,表中列出了每条道路直接 ...

  10. 高性能的JavaScript--加载和执行[转]

    写在前面 JavaScript在浏览器中的性能,可认为是开发者所要面对的最重要的可用性的问题,此问题因JavaScript的阻塞特征而复杂,也就是说JavaScript运行时其他的事情不能被浏览器处理 ...