1:利用action过滤

package com.tsou.comm.servlet;

import java.util.Enumeration;

import java.util.Map;

import java.util.Vector;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

/**

 *

 * <p class="detail">

 * 功能:封装的请求处理特殊字符

 * </p>

 * @ClassName: TsRequest

 * @version V1.0

 * @date 2014年9月25日

 * @author wangsheng

 */

public class TsRequest extends HttpServletRequestWrapper {

           private Map params;

           public TsRequest(HttpServletRequest request, Map newParams) {

                    super(request);

                    this.params = newParams;

          }

           public Map getParameterMap() {

                    return params ;

          }

           public Enumeration getParameterNames() {

                    Vector l = new Vector( params.keySet());

                    return l.elements();

          }

           public String[] getParameterValues(String name) {

                   Object v = params.get(name);

                    if (v == null ) {

                              return null ;

                   } else if (v instanceof String[]) {

                             String[] value = (String[]) v;

                              for (int i = 0; i < value.length; i++) {

                                      value[i] = value[i].replaceAll( "<", "&lt;" );

                                      value[i] = value[i].replaceAll( ">", "&gt;" );

                             }

                              return (String[]) value;

                   } else if (v instanceof String) {

                             String value = (String) v;

                             value = value.replaceAll( "<", "&lt;" );

                             value = value.replaceAll( ">", "&gt;" );

                              return new String[] { (String) value };

                   } else {

                              return new String[] { v.toString() };

                   }

          }

           public String getParameter(String name) {

                   Object v = params.get(name);

                    if (v == null ) {

                              return null ;

                   } else if (v instanceof String[]) {

                             String[] strArr = (String[]) v;

                              if (strArr.length > 0) {

                                      String value = strArr[0];

                                      value = value.replaceAll( "<", "&lt;" );

                                      value = value.replaceAll( "<", "&gt;" );

                                       return value;

                             } else {

                                       return null ;

                             }

                   } else if (v instanceof String) {

                             String value = (String) v;

                             value = value.replaceAll( "<", "&lt;" );

                             value = value.replaceAll( ">", "&gt;" );

                              return (String) value;

                   } else {

                              return v.toString();

                   }

          }

}

2:利用拦截器过滤

package com.kadang.wp.mobile.wap.core.common;

import java.io.IOException;

import java.util.Enumeration;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang3.StringUtils;

/**

 * XSS 检查过滤器

 *

 * @author jianghao

 * @date 2014-08-22

 *

 */

public class XSSCheckFilter implements Filter {

    // 需要拦截的JS字符关键字

    private String errorPath;

    // 非法xss 字符

    private static String[] SAFE_LESS = { "set-cookie", "<", "%3c", "%3e", ">", "\\" };

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        this.setErrorPath(filterConfig.getInitParameter("errorPath"));

    }

    @Override

    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException,

            ServletException {

        boolean isSafe = true;

        Enumeration<?> params = req.getParameterNames();

        HttpServletRequest request = (HttpServletRequest) req;

        HttpServletResponse response = (HttpServletResponse) resp;

        String requestUrl = request.getRequestURI();

        if (isSafeStr(requestUrl)) {

            while (params.hasMoreElements()) {

                String paramKey = (String) params.nextElement();

                String paramValue = request.getParameter(paramKey);

                if (StringUtils.isNotBlank(paramValue)) {

                    if (!isSafeStr(paramValue)) {

                        isSafe = false;

                        break;

                    }

                }

            }

        } else {

            isSafe = false;

        }

        if (isSafe) {

            chain.doFilter(req, resp);

        } else {

            request.setAttribute("error", "url or params is full of illegal XSS character");

            request.getRequestDispatcher(this.getErrorPath()).forward(request, response);

            return;

        }

    }

    /**

     * 判断URL是否存在非法字符

     * */

    private boolean isSafeStr(String str) {

        if (StringUtils.isNotBlank(str)) {

            for (String s : SAFE_LESS) {

                if (str.toLowerCase().contains(s)) {

                    return false;

                }

            }

        }

        return true;

    }

    @Override

    public void destroy() {

    }

    public String getErrorPath() {

        return errorPath;

    }

    public void setErrorPath(String errorPath) {

        this.errorPath = errorPath;

    }

}

3:利用拦截器拦截URL

<filter>

                    <filter-name> characterFilter</filter-name >

                     <filter-class> com.tsou.comm.filter.CharacterFilter</filter-class >

           </filter>

           <filter-mapping>

                    <filter-name> characterFilter</filter-name >

                    <url-pattern> /*</ url-pattern>

           </filter-mapping>

java防止脚本注入,通过拦截器实现的更多相关文章

  1. Java Servlet 过滤器与 springmvc 拦截器的区别?

    前言:在工作中,遇到需要记录日志的情况,不知道该选择过滤器还是拦截器,故总结了一下. servlet 过滤器 定义 java过滤器能够对目标资源的请求和响应进行截取.过滤器的工作方式分为四种 应用场景 ...

  2. Java 过滤器、监听器、拦截器的区别

        原文:http://www.360doc.com/content/10/0601/09/495229_30616324.shtml 1.过滤器 Servlet中的过滤器Filter是实现了ja ...

  3. struts2 参数注入 方法拦截器

    web.xml: <?xml version="1.0" encoding="UTF-8"?><web-app xmlns:xsi=" ...

  4. Java过滤器(Filter)与SpringMVC拦截器(Interceptor)之间的关系与区别

    过滤器和拦截器的区别: ①拦截器是基于java的反射机制的,而过滤器是基于函数回调. ②拦截器不依赖与servlet容器,过滤器依赖与servlet容器. ③拦截器只能对action请求起作用,而过滤 ...

  5. 【java web】过滤器、拦截器、监听器的区别

    一.对比: 1.1 过滤器和拦截器的区别: ①拦截器是基于java的反射机制的,而过滤器是基于函数回调. ②拦截器不依赖与servlet容器,过滤器依赖与servlet容器. ③拦截器只能对actio ...

  6. Java Web 中 过滤器与拦截器的区别

    过滤器,是在java web中,你传入的request,response提前过滤掉一些信息,或者提前设置一些参数,然后再传入servlet或者struts的 action进行业务逻辑,比如过滤掉非法u ...

  7. [Abp vNext 源码分析] - 3. 依赖注入与拦截器

    一.简要说明 ABP vNext 框架在使用依赖注入服务的时候,是直接使用的微软提供的 Microsoft.Extensions.DependencyInjection 包.这里与原来的 ABP 框架 ...

  8. java框架之Struts2(4)-拦截器&标签库

    拦截器 概述 Interceptor (拦截器):起到拦截客户端对 Action 请求的作用. Filter:过滤器,过滤客户端向服务器发送的请求. Interceptor:拦截器,拦截的是客户端对 ...

  9. java框架篇---struts实现拦截器

    Struts2的拦截器和Servlet过滤器类似.在执行Action的execute方法之前,Struts2会首先执行在struts.xml中引用的拦截器,在执行完所有引用的拦截器的intercept ...

随机推荐

  1. (转载)selenium-webdriver(python)

    转载地址: http://www.cnblogs.com/fnng/p/3183777.html 本节重点: 简单对象的定位 -----自动化测试的核心 对象的定位应该是自动化测试的核心,要想操作一个 ...

  2. RHEL7网络管理之nmcli

    在RHEL7中默认使用NetworkManager 守护进程来监控和管理网络设置.nmcli是命令行的管理NetworkManager的工具,会自动把配置写到/etc/sysconfig/networ ...

  3. 如何在MAC上使用SVN,简单几行命令搞定

    如果你要使用SVN管理代码,如果不是迫不得已,还是看看git吧,但是SVN也要知道怎么用,原理是相似的. 首先,要准备的东西:svnX软件 https://pan.baidu.com/s/1mhEay ...

  4. static关键字用法

    java中static关键字可用于修饰: 1.属性:表示该属性变量在类被加载时即被创建并初始化,类加载过程只进行一次,因此静态变量也只被创建一次 2.方法:静态方法为类的公有方法,可直接用‘类名.方法 ...

  5. Linux下yum升级安装PHP 5.5

    我的系统是Centos 6.5 ,安装lnmp是直接yum安装的,php版本为5.4的,当安装了最新的phpMyAdmin(4.5.1)数据库管理软件后发现不支持php5.4使用,所以只好升级下php ...

  6. git 使用命令总结

    当远程仓库有README.md的时候我们创建的工程里没有这个文件这时候你提交的仓库和远程的不一致就会导致提交被拒绝 此时我们可以先拉取主干到本地的temp分支  然后和本地的master分支合并 通过 ...

  7. Azure IaaS 用户手册 - 第一部分

    可用性集 相当于AZ? 能实现跨Rack的可用性? Azure 如何保证 CPU.内存.硬盘的性能? 传统的 Hyper-V 技术,其CPU 是共享的.比如您的 ThinkPad T430S 是 4C ...

  8. [Shell]正则表达式与通配符

    ----------------------------------------------------------------------------------------- 正则表达式与通配符: ...

  9. JS-怎么得到局部域中的数据

    1,使用全局变量 var str = '';function fn1(){    var a = '大鸡腿~';    str = a;} 2,使用一个局部函数 function fn2(){     ...

  10. java中的匿名内部类小结

    匿名内部类也就是没有名字的内部类.正因为没有名字,所以匿名内部类只能使用一次,它通常用来简化代码编写. 但使用匿名内部类还有个前提条件:必须继承一个父类或实现一个接口. 实例1:不使用匿名内部类来实现 ...