一:web.xml文件

  <!-- 解决xss漏洞 -->

  <filter>

    <filter-name>xssFilter</filter-name>

     <filter-class>com.baidu.rigel.sandbox.core.filter.XSSFilter</filter-class>

  </filter>

  <!-- 解决xss漏洞 -->

  <filter-mapping>

    <filter-name>xssFilter</filter-name>

    <url-pattern>/*</url-pattern>

  </filter-mapping>

二:过滤器:XSSFilter.java

package com.rigel.sandbox.core.filter;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import com.rigel.sandbox.core.util.XssHttpServletRequestWrapper;

public class XSSFilter implements Filter {

	@Override

	public void init(FilterConfig filterConfig) throws ServletException {

	}

	@Override

	public void doFilter(ServletRequest request, ServletResponse response,

			FilterChain chain) throws IOException, ServletException {

		XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(

				(HttpServletRequest) request);

		chain.doFilter(xssRequest, response);

	}

	@Override

	public void destroy() {

	}

}

三:包装器:XssHttpServletRequestWrapper.java

package com.rigel.sandbox.core.util;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

	HttpServletRequest orgRequest = null;

	public XssHttpServletRequestWrapper(HttpServletRequest request) {

		super(request);

		orgRequest = request;

	}

	/**

	 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>

	 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>

	 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖

	 */

	@Override

	public String getParameter(String name) {

		String value = super.getParameter(xssEncode(name));

		if (value != null) {

			value = xssEncode(value);

		}

		return value;

	}

	/**

	 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>

	 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>

	 * getHeaderNames 也可能需要覆盖

	 */

	@Override

	public String getHeader(String name) {

		String value = super.getHeader(xssEncode(name));

		if (value != null) {

			value = xssEncode(value);

		}

		return value;

	}

	/**

	 * 将容易引起xss漏洞的半角字符直接替换成全角字符

	 *

	 * @param s

	 * @return

	 */

	private static String xssEncode(String s) {

		if (s == null || s.isEmpty()) {

			return s;

		}

		StringBuilder sb = new StringBuilder(s.length() + 16);

		for (int i = 0; i < s.length(); i++) {

			char c = s.charAt(i);

			switch (c) {

			case '>':

				sb.append(">");// 转义大于号

				break;

			case '<':

				sb.append("<");// 转义小于号

				break;

			case '\'':

				sb.append("'");// 转义单引号

				break;

			case '\"':

				sb.append(""");// 转义双引号

				break;

			case '&':

				sb.append("&");// 转义&

				break;

			default:

				sb.append(c);

				break;

			}

		}

		return sb.toString();

	}

	/**

	 * 获取最原始的request

	 *

	 * @return

	 */

	public HttpServletRequest getOrgRequest() {

		return orgRequest;

	}

	/**

	 * 获取最原始的request的静态方法

	 *

	 * @return

	 */

	public static HttpServletRequest getOrgRequest(HttpServletRequest req) {

		if (req instanceof XssHttpServletRequestWrapper) {

			return ((XssHttpServletRequestWrapper) req).getOrgRequest();

		}

		return req;

	}

}

XSS漏洞解决方案之一:过滤器的更多相关文章

  1. 安全漏洞系列(一)---XSS漏洞解决方案(C# MVC)

    参考地址:https://www.cnblogs.com/sagecheng/p/9462239.html 测试项目:MVCDemo 一.XSS漏洞定义 XSS攻击全称跨站脚本攻击,它允许恶意web用 ...

  2. XSS(跨站脚本攻击)漏洞解决方案

    首先,简单介绍一下XSS定义: 一 . XSS介绍 XSS是跨站脚本攻击(Cross Site Scripting)的缩写.为了和层叠样式表CSS(Cascading Style Sheets)加以区 ...

  3. Java Web使用过滤器防止Xss攻击,解决Xss漏洞

    转: Java Web使用过滤器防止Xss攻击,解决Xss漏洞 2018年11月11日 10:41:27 我欲乘风,直上九天 阅读数:2687   版权声明:本文为博主原创文章,转载请注明出处!有时候 ...

  4. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案(转)

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  5. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  6. 为什么主流网站无法捕获 XSS 漏洞?

    二十多年来,跨站脚本(简称 XSS)漏洞一直是主流网站的心头之痛.为什么过了这么久,这些网站还是对此类漏洞束手无策呢? 对于最近 eBay 网站曝出的跨站脚本漏洞,你有什么想法?为什么会出现这样的漏网 ...

  7. 一个跨域请求的XSS漏洞

    场景回顾 一个表单进行跨域提交的方式有很多,我们使用的采用隐藏iframe,在本域下放一个代理页面,通过服务端配合完成一次完整的请求. 首先,部署proxy.html代理页面.这个页面处理服务端返回的 ...

  8. 快速找出网站中可能存在的XSS漏洞实践

    笔者写了一些XSS漏洞的挖掘过程记录下来,方便自己也方便他人. 一.背景 在本篇文章当中会一permeate生态测试系统为例,笔者此前写过一篇文章当中笔者已经讲解如何安装permeate渗透测试系统, ...

  9. 解决反射型XSS漏洞攻击

    对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台. 一.首先从前端考虑过滤一些非法字符. 前端的主控js中,在<textarea> 输入框标签中,找到点击发送按钮后,追加到聊天 ...

随机推荐

  1. HYSBZ 2301

    /*** 对于给出的n个询问,每次求有多少个数对(x,y),满足a≤x≤b,c≤y≤d,且gcd(x,y) = k,gcd(x,y)函数为x和y的最大公约数 **/ #include <iost ...

  2. jQuery遍历table

    1. $("table").find("tr").each(function(){ $(this).find("td").each(func ...

  3. 为什么使用LUT比GAL 节省资源

    为什么使用LUT比GAL 节省资源 A[1:0]    B[1:0]     实现一个比较器,如果A=B输出1 否则输出0 传统的GAL 需要 24= 16个存储单元(ROM)来存储结果数据,实现方法 ...

  4. JavaScript弹出框

    confirm(str); 参数说明: str:在消息对话框中要显示的文本 返回值: Boolean值 返回值: 当用户点击"确定"按钮时,返回true 当用户点击"取消 ...

  5. c# 数据库编程(利用DataSet 和 DataAdaper对象操作数据库--跨表操作)

    上篇文章我们介绍了如何利用DataSet 和 DataAdaper对象来对单张表进行操作. 本文我们将介绍如何进行跨表操作. 我们通过具体例子方式进行演示,例子涉及到三张表. 1)student表(学 ...

  6. Sitemesh3的使用及配置

    1 . Sitemesh 3 简介 Sitemesh 是一个网页布局和修饰的框架,基于 Servlet 中的 Filter,类似于 ASP.NET 中的‘母版页’技术.参考:百度百科,相关类似技术:A ...

  7. Entity Framework基金会

    概要 Entity Framework缩写EF,微软ORM产品. 本篇博客将简单的介绍它,至于它的详细深层次的使用,大家能够查询对应的操作手冊,该篇不过入门. Entity Framework和Lin ...

  8. 汉高澳大利亚sinox为什么不能下载源代码,因为sinox执行unix/linux/windows规划

    中国用户下载真正的澳大利亚sinox说完后sinox没有下载源代码. 这意味着,类似linux如下载linux 开源安装. 要知道.sinox并非linux. 首先,sinox是商业操作系统,就像 w ...

  9. 富文本编辑器 - wangEditor 表情

    效果: 文件夹中的表情: 代码:

  10. BZOJ 1305: [CQOI2009]dance跳舞( 最大流 )

    云神代码很短...0 ms过的...看了代码 , 大概是贪心... orz 我不会证 数据这么小乱搞就可以了吧... ←_← 这道题网络流还是可以写的... 既然限制了最多只能和 k 个不喜欢的人da ...