1:利用action过滤

package com.tsou.comm.servlet;

import java.util.Enumeration;

import java.util.Map;

import java.util.Vector;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

/**

 *

 * <p class="detail">

 * 功能:封装的请求处理特殊字符

 * </p>

 * @ClassName: TsRequest

 * @version V1.0

 * @date 2014年9月25日

 * @author wangsheng

 */

public class TsRequest extends HttpServletRequestWrapper {

           private Map params;

           public TsRequest(HttpServletRequest request, Map newParams) {

                    super(request);

                    this.params = newParams;

          }

           public Map getParameterMap() {

                    return params ;

          }

           public Enumeration getParameterNames() {

                    Vector l = new Vector( params.keySet());

                    return l.elements();

          }

           public String[] getParameterValues(String name) {

                   Object v = params.get(name);

                    if (v == null ) {

                              return null ;

                   } else if (v instanceof String[]) {

                             String[] value = (String[]) v;

                              for (int i = 0; i < value.length; i++) {

                                      value[i] = value[i].replaceAll( "<", "&lt;" );

                                      value[i] = value[i].replaceAll( ">", "&gt;" );

                             }

                              return (String[]) value;

                   } else if (v instanceof String) {

                             String value = (String) v;

                             value = value.replaceAll( "<", "&lt;" );

                             value = value.replaceAll( ">", "&gt;" );

                              return new String[] { (String) value };

                   } else {

                              return new String[] { v.toString() };

                   }

          }

           public String getParameter(String name) {

                   Object v = params.get(name);

                    if (v == null ) {

                              return null ;

                   } else if (v instanceof String[]) {

                             String[] strArr = (String[]) v;

                              if (strArr.length > 0) {

                                      String value = strArr[0];

                                      value = value.replaceAll( "<", "&lt;" );

                                      value = value.replaceAll( "<", "&gt;" );

                                       return value;

                             } else {

                                       return null ;

                             }

                   } else if (v instanceof String) {

                             String value = (String) v;

                             value = value.replaceAll( "<", "&lt;" );

                             value = value.replaceAll( ">", "&gt;" );

                              return (String) value;

                   } else {

                              return v.toString();

                   }

          }

}

2:利用拦截器过滤

package com.kadang.wp.mobile.wap.core.common;

import java.io.IOException;

import java.util.Enumeration;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang3.StringUtils;

/**

 * XSS 检查过滤器

 *

 * @author jianghao

 * @date 2014-08-22

 *

 */

public class XSSCheckFilter implements Filter {

    // 需要拦截的JS字符关键字

    private String errorPath;

    // 非法xss 字符

    private static String[] SAFE_LESS = { "set-cookie", "<", "%3c", "%3e", ">", "\\" };

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        this.setErrorPath(filterConfig.getInitParameter("errorPath"));

    }

    @Override

    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException,

            ServletException {

        boolean isSafe = true;

        Enumeration<?> params = req.getParameterNames();

        HttpServletRequest request = (HttpServletRequest) req;

        HttpServletResponse response = (HttpServletResponse) resp;

        String requestUrl = request.getRequestURI();

        if (isSafeStr(requestUrl)) {

            while (params.hasMoreElements()) {

                String paramKey = (String) params.nextElement();

                String paramValue = request.getParameter(paramKey);

                if (StringUtils.isNotBlank(paramValue)) {

                    if (!isSafeStr(paramValue)) {

                        isSafe = false;

                        break;

                    }

                }

            }

        } else {

            isSafe = false;

        }

        if (isSafe) {

            chain.doFilter(req, resp);

        } else {

            request.setAttribute("error", "url or params is full of illegal XSS character");

            request.getRequestDispatcher(this.getErrorPath()).forward(request, response);

            return;

        }

    }

    /**

     * 判断URL是否存在非法字符

     * */

    private boolean isSafeStr(String str) {

        if (StringUtils.isNotBlank(str)) {

            for (String s : SAFE_LESS) {

                if (str.toLowerCase().contains(s)) {

                    return false;

                }

            }

        }

        return true;

    }

    @Override

    public void destroy() {

    }

    public String getErrorPath() {

        return errorPath;

    }

    public void setErrorPath(String errorPath) {

        this.errorPath = errorPath;

    }

}

3:利用拦截器拦截URL

<filter>

                    <filter-name> characterFilter</filter-name >

                     <filter-class> com.tsou.comm.filter.CharacterFilter</filter-class >

           </filter>

           <filter-mapping>

                    <filter-name> characterFilter</filter-name >

                    <url-pattern> /*</ url-pattern>

           </filter-mapping>

java防止脚本注入,通过拦截器实现的更多相关文章

  1. Java Servlet 过滤器与 springmvc 拦截器的区别?

    前言:在工作中,遇到需要记录日志的情况,不知道该选择过滤器还是拦截器,故总结了一下. servlet 过滤器 定义 java过滤器能够对目标资源的请求和响应进行截取.过滤器的工作方式分为四种 应用场景 ...

  2. Java 过滤器、监听器、拦截器的区别

        原文:http://www.360doc.com/content/10/0601/09/495229_30616324.shtml 1.过滤器 Servlet中的过滤器Filter是实现了ja ...

  3. struts2 参数注入 方法拦截器

    web.xml: <?xml version="1.0" encoding="UTF-8"?><web-app xmlns:xsi=" ...

  4. Java过滤器(Filter)与SpringMVC拦截器(Interceptor)之间的关系与区别

    过滤器和拦截器的区别: ①拦截器是基于java的反射机制的,而过滤器是基于函数回调. ②拦截器不依赖与servlet容器,过滤器依赖与servlet容器. ③拦截器只能对action请求起作用,而过滤 ...

  5. 【java web】过滤器、拦截器、监听器的区别

    一.对比: 1.1 过滤器和拦截器的区别: ①拦截器是基于java的反射机制的,而过滤器是基于函数回调. ②拦截器不依赖与servlet容器,过滤器依赖与servlet容器. ③拦截器只能对actio ...

  6. Java Web 中 过滤器与拦截器的区别

    过滤器,是在java web中,你传入的request,response提前过滤掉一些信息,或者提前设置一些参数,然后再传入servlet或者struts的 action进行业务逻辑,比如过滤掉非法u ...

  7. [Abp vNext 源码分析] - 3. 依赖注入与拦截器

    一.简要说明 ABP vNext 框架在使用依赖注入服务的时候,是直接使用的微软提供的 Microsoft.Extensions.DependencyInjection 包.这里与原来的 ABP 框架 ...

  8. java框架之Struts2(4)-拦截器&标签库

    拦截器 概述 Interceptor (拦截器):起到拦截客户端对 Action 请求的作用. Filter:过滤器,过滤客户端向服务器发送的请求. Interceptor:拦截器,拦截的是客户端对 ...

  9. java框架篇---struts实现拦截器

    Struts2的拦截器和Servlet过滤器类似.在执行Action的execute方法之前,Struts2会首先执行在struts.xml中引用的拦截器,在执行完所有引用的拦截器的intercept ...

随机推荐

  1. POST 和GET传输的最大容量分别是多少?

    get 是通过URL提交数据,因此GET可提交的数据量就跟URL所能达到的最大长度有直接关系.很多文章都说GET方式提交的数据最多只能是1024字节,而 实际上,URL不存在参数上限的问题,HTTP协 ...

  2. c++实战吐槽(我还是太年轻了)

    习惯了用java, 现在切换到c++遇到了一些很滑稽的问题, 特此记录. 一. 使用了野指针 都知道不能使用野指针, 指针定义后,要初始化为null, 我在项目里面默认构造函数里面确实初始化为null ...

  3. javascript第四节其它引用对象

    单体对象 Global对象(全局)这个对象不存在,无形的对象 其内部定义了一些方法和属性:encodeURL.encodeURIComponent.decodeURI.decodeURICompone ...

  4. ubuntu下完全安装mcrypt

    源文章: ubuntu下安装mcrypt 1.首先要下载三个软件 0libmcrypt-2.5.8.tar.gz 下载地址:http://sourceforge.net/project/showfil ...

  5. python 生产者消费者模型

    import time def consumer(name): print("%s开始吃包子了"%name) while True: ret = yield time.sleep( ...

  6. AIX 系统中 PVID 的含义与作用

    网址: http://www.eygle.com/digest/2008/06/aix_pvid.html Pvid是aix系统中的ODM LVM用于识别PV的序列号,操作系统通过pvid来识别pv, ...

  7. iOS IPv6兼容支持和IPv6审核被拒收集整理

    最近遇到一个大坑:IPv6审核被拒问题,于是广寻解决方案,先把一些可以用资料文档收集起来备用.也希望同行能用得着. 官方文档说明:Supporting IPv6 DNS64/NAT64 Network ...

  8. Redis 集群方案- 主从切换测试

    大约一年多前,公司同事开始使用Redis,不清楚是配置,还是版本的问题,当时的Redis经常在使用一段时间后,连接爆满且不释放.印象中,Redis 2.4.8以下的版本由于设计上的主从库同步问题,就会 ...

  9. css定位的简单总结

    关于css的定位,相信初接触css的同学都头疼不已.相对定位.绝对定位连名字都这么像,用起来更是一会被遮住一会被挤出去,踩了很多坑之后,对css的定位进行一个简单的总结,以免重蹈覆辙. 其实掌握好几种 ...

  10. 过滤器(servlet.filter)和拦截器(springmvc.interceptor)区别

    ①拦截器是基于java的反射机制的,而过滤器是基于函数回调. ②拦截器不依赖与servlet容器,过滤器依赖与servlet容器. ③拦截器只能对action请求起作用,而过滤器则可以对几乎所有的请求 ...