1:利用action过滤

package com.tsou.comm.servlet;

import java.util.Enumeration;

import java.util.Map;

import java.util.Vector;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

/**

 *

 * <p class="detail">

 * 功能:封装的请求处理特殊字符

 * </p>

 * @ClassName: TsRequest

 * @version V1.0

 * @date 2014年9月25日

 * @author wangsheng

 */

public class TsRequest extends HttpServletRequestWrapper {

           private Map params;

           public TsRequest(HttpServletRequest request, Map newParams) {

                    super(request);

                    this.params = newParams;

          }

           public Map getParameterMap() {

                    return params ;

          }

           public Enumeration getParameterNames() {

                    Vector l = new Vector( params.keySet());

                    return l.elements();

          }

           public String[] getParameterValues(String name) {

                   Object v = params.get(name);

                    if (v == null ) {

                              return null ;

                   } else if (v instanceof String[]) {

                             String[] value = (String[]) v;

                              for (int i = 0; i < value.length; i++) {

                                      value[i] = value[i].replaceAll( "<", "&lt;" );

                                      value[i] = value[i].replaceAll( ">", "&gt;" );

                             }

                              return (String[]) value;

                   } else if (v instanceof String) {

                             String value = (String) v;

                             value = value.replaceAll( "<", "&lt;" );

                             value = value.replaceAll( ">", "&gt;" );

                              return new String[] { (String) value };

                   } else {

                              return new String[] { v.toString() };

                   }

          }

           public String getParameter(String name) {

                   Object v = params.get(name);

                    if (v == null ) {

                              return null ;

                   } else if (v instanceof String[]) {

                             String[] strArr = (String[]) v;

                              if (strArr.length > 0) {

                                      String value = strArr[0];

                                      value = value.replaceAll( "<", "&lt;" );

                                      value = value.replaceAll( "<", "&gt;" );

                                       return value;

                             } else {

                                       return null ;

                             }

                   } else if (v instanceof String) {

                             String value = (String) v;

                             value = value.replaceAll( "<", "&lt;" );

                             value = value.replaceAll( ">", "&gt;" );

                              return (String) value;

                   } else {

                              return v.toString();

                   }

          }

}

2:利用拦截器过滤

package com.kadang.wp.mobile.wap.core.common;

import java.io.IOException;

import java.util.Enumeration;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang3.StringUtils;

/**

 * XSS 检查过滤器

 *

 * @author jianghao

 * @date 2014-08-22

 *

 */

public class XSSCheckFilter implements Filter {

    // 需要拦截的JS字符关键字

    private String errorPath;

    // 非法xss 字符

    private static String[] SAFE_LESS = { "set-cookie", "<", "%3c", "%3e", ">", "\\" };

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        this.setErrorPath(filterConfig.getInitParameter("errorPath"));

    }

    @Override

    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException,

            ServletException {

        boolean isSafe = true;

        Enumeration<?> params = req.getParameterNames();

        HttpServletRequest request = (HttpServletRequest) req;

        HttpServletResponse response = (HttpServletResponse) resp;

        String requestUrl = request.getRequestURI();

        if (isSafeStr(requestUrl)) {

            while (params.hasMoreElements()) {

                String paramKey = (String) params.nextElement();

                String paramValue = request.getParameter(paramKey);

                if (StringUtils.isNotBlank(paramValue)) {

                    if (!isSafeStr(paramValue)) {

                        isSafe = false;

                        break;

                    }

                }

            }

        } else {

            isSafe = false;

        }

        if (isSafe) {

            chain.doFilter(req, resp);

        } else {

            request.setAttribute("error", "url or params is full of illegal XSS character");

            request.getRequestDispatcher(this.getErrorPath()).forward(request, response);

            return;

        }

    }

    /**

     * 判断URL是否存在非法字符

     * */

    private boolean isSafeStr(String str) {

        if (StringUtils.isNotBlank(str)) {

            for (String s : SAFE_LESS) {

                if (str.toLowerCase().contains(s)) {

                    return false;

                }

            }

        }

        return true;

    }

    @Override

    public void destroy() {

    }

    public String getErrorPath() {

        return errorPath;

    }

    public void setErrorPath(String errorPath) {

        this.errorPath = errorPath;

    }

}

3:利用拦截器拦截URL

<filter>

                    <filter-name> characterFilter</filter-name >

                     <filter-class> com.tsou.comm.filter.CharacterFilter</filter-class >

           </filter>

           <filter-mapping>

                    <filter-name> characterFilter</filter-name >

                    <url-pattern> /*</ url-pattern>

           </filter-mapping>

java防止脚本注入,通过拦截器实现的更多相关文章

  1. Java Servlet 过滤器与 springmvc 拦截器的区别?

    前言:在工作中,遇到需要记录日志的情况,不知道该选择过滤器还是拦截器,故总结了一下. servlet 过滤器 定义 java过滤器能够对目标资源的请求和响应进行截取.过滤器的工作方式分为四种 应用场景 ...

  2. Java 过滤器、监听器、拦截器的区别

        原文:http://www.360doc.com/content/10/0601/09/495229_30616324.shtml 1.过滤器 Servlet中的过滤器Filter是实现了ja ...

  3. struts2 参数注入 方法拦截器

    web.xml: <?xml version="1.0" encoding="UTF-8"?><web-app xmlns:xsi=" ...

  4. Java过滤器(Filter)与SpringMVC拦截器(Interceptor)之间的关系与区别

    过滤器和拦截器的区别: ①拦截器是基于java的反射机制的,而过滤器是基于函数回调. ②拦截器不依赖与servlet容器,过滤器依赖与servlet容器. ③拦截器只能对action请求起作用,而过滤 ...

  5. 【java web】过滤器、拦截器、监听器的区别

    一.对比: 1.1 过滤器和拦截器的区别: ①拦截器是基于java的反射机制的,而过滤器是基于函数回调. ②拦截器不依赖与servlet容器,过滤器依赖与servlet容器. ③拦截器只能对actio ...

  6. Java Web 中 过滤器与拦截器的区别

    过滤器,是在java web中,你传入的request,response提前过滤掉一些信息,或者提前设置一些参数,然后再传入servlet或者struts的 action进行业务逻辑,比如过滤掉非法u ...

  7. [Abp vNext 源码分析] - 3. 依赖注入与拦截器

    一.简要说明 ABP vNext 框架在使用依赖注入服务的时候,是直接使用的微软提供的 Microsoft.Extensions.DependencyInjection 包.这里与原来的 ABP 框架 ...

  8. java框架之Struts2(4)-拦截器&标签库

    拦截器 概述 Interceptor (拦截器):起到拦截客户端对 Action 请求的作用. Filter:过滤器,过滤客户端向服务器发送的请求. Interceptor:拦截器,拦截的是客户端对 ...

  9. java框架篇---struts实现拦截器

    Struts2的拦截器和Servlet过滤器类似.在执行Action的execute方法之前,Struts2会首先执行在struts.xml中引用的拦截器,在执行完所有引用的拦截器的intercept ...

随机推荐

  1. docker--wekan安装

    最近因为搭建开源看板网站的需要,玩了下docker 一开始在redhat上安装docker wget http://mirrors.163.com/.help/CentOS7-Base-163.rep ...

  2. 打开div层

    $('#moneyWin').dialog('open').dialog('center').dialog('setTitle', '用户充值');

  3. node.js 基础学习笔记3 -http

    http模块,其中封装了一个高效的HTTP服务器和一个建议的HTTP客户端 http.server是一个基于事件的HTTP服务器 http.request则是一个HTTP客户端工具,用户向服务器发送请 ...

  4. Thrift中实现按照时间戳范围操作Hbase数据

    在一次做项目的过程中,要实现一个功能,功能描述为前端给定日期范围,在该日期范围内取出指定行的信息.在Thrift常用的API中,取出一行所有的数据接口为getVer(),getver()具体描述如下: ...

  5. Visual studio 非常好的插件

    1. Productive power tools2015 2. Visual studio spell checker

  6. 【Map】获取字符串中,每一个字母出现的次数

    package cn.itcast.p1.map.test; import java.util.Iterator; import java.util.Map; import java.util.Tre ...

  7. SQL语句中如何把文件以二进制数组形式存入数据库

    System.IO.FileStream fs = new FileStream("1.txt", FileMode.Open); string strConn = "D ...

  8. React Native填坑之旅--ListView篇

    列表显示数据,基本什么应用都是必须.今天就来从浅到深的看看React Native的ListView怎么使用.笔者写作的时候RN版本是0.34. 最简单的 //@flow import React f ...

  9. 我的复杂的OpenCV编译之路(OpenCV3.1.0 + VS2010 + Win7)

    教程:www.cnblogs.com/jliangqiu2016/p/5597501.html 这里主要记载我编译遇到的错误及解决方法. OpenCV3.1软件下载:https://sourcefor ...

  10. 【转】Android studio 解决64K超出链接数限制问题

    http://my.oschina.net/gabriel1215/blog/602608 目录[-] 使用MultiDex支持库 注意事项 结论 如果你是一个android开发者,你至少听说过的Da ...