1:利用action过滤

package com.tsou.comm.servlet;

import java.util.Enumeration;

import java.util.Map;

import java.util.Vector;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

/**

 *

 * <p class="detail">

 * 功能:封装的请求处理特殊字符

 * </p>

 * @ClassName: TsRequest

 * @version V1.0

 * @date 2014年9月25日

 * @author wangsheng

 */

public class TsRequest extends HttpServletRequestWrapper {

           private Map params;

           public TsRequest(HttpServletRequest request, Map newParams) {

                    super(request);

                    this.params = newParams;

          }

           public Map getParameterMap() {

                    return params ;

          }

           public Enumeration getParameterNames() {

                    Vector l = new Vector( params.keySet());

                    return l.elements();

          }

           public String[] getParameterValues(String name) {

                   Object v = params.get(name);

                    if (v == null ) {

                              return null ;

                   } else if (v instanceof String[]) {

                             String[] value = (String[]) v;

                              for (int i = 0; i < value.length; i++) {

                                      value[i] = value[i].replaceAll( "<", "&lt;" );

                                      value[i] = value[i].replaceAll( ">", "&gt;" );

                             }

                              return (String[]) value;

                   } else if (v instanceof String) {

                             String value = (String) v;

                             value = value.replaceAll( "<", "&lt;" );

                             value = value.replaceAll( ">", "&gt;" );

                              return new String[] { (String) value };

                   } else {

                              return new String[] { v.toString() };

                   }

          }

           public String getParameter(String name) {

                   Object v = params.get(name);

                    if (v == null ) {

                              return null ;

                   } else if (v instanceof String[]) {

                             String[] strArr = (String[]) v;

                              if (strArr.length > 0) {

                                      String value = strArr[0];

                                      value = value.replaceAll( "<", "&lt;" );

                                      value = value.replaceAll( "<", "&gt;" );

                                       return value;

                             } else {

                                       return null ;

                             }

                   } else if (v instanceof String) {

                             String value = (String) v;

                             value = value.replaceAll( "<", "&lt;" );

                             value = value.replaceAll( ">", "&gt;" );

                              return (String) value;

                   } else {

                              return v.toString();

                   }

          }

}

2:利用拦截器过滤

package com.kadang.wp.mobile.wap.core.common;

import java.io.IOException;

import java.util.Enumeration;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang3.StringUtils;

/**

 * XSS 检查过滤器

 *

 * @author jianghao

 * @date 2014-08-22

 *

 */

public class XSSCheckFilter implements Filter {

    // 需要拦截的JS字符关键字

    private String errorPath;

    // 非法xss 字符

    private static String[] SAFE_LESS = { "set-cookie", "<", "%3c", "%3e", ">", "\\" };

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        this.setErrorPath(filterConfig.getInitParameter("errorPath"));

    }

    @Override

    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException,

            ServletException {

        boolean isSafe = true;

        Enumeration<?> params = req.getParameterNames();

        HttpServletRequest request = (HttpServletRequest) req;

        HttpServletResponse response = (HttpServletResponse) resp;

        String requestUrl = request.getRequestURI();

        if (isSafeStr(requestUrl)) {

            while (params.hasMoreElements()) {

                String paramKey = (String) params.nextElement();

                String paramValue = request.getParameter(paramKey);

                if (StringUtils.isNotBlank(paramValue)) {

                    if (!isSafeStr(paramValue)) {

                        isSafe = false;

                        break;

                    }

                }

            }

        } else {

            isSafe = false;

        }

        if (isSafe) {

            chain.doFilter(req, resp);

        } else {

            request.setAttribute("error", "url or params is full of illegal XSS character");

            request.getRequestDispatcher(this.getErrorPath()).forward(request, response);

            return;

        }

    }

    /**

     * 判断URL是否存在非法字符

     * */

    private boolean isSafeStr(String str) {

        if (StringUtils.isNotBlank(str)) {

            for (String s : SAFE_LESS) {

                if (str.toLowerCase().contains(s)) {

                    return false;

                }

            }

        }

        return true;

    }

    @Override

    public void destroy() {

    }

    public String getErrorPath() {

        return errorPath;

    }

    public void setErrorPath(String errorPath) {

        this.errorPath = errorPath;

    }

}

3:利用拦截器拦截URL

<filter>

                    <filter-name> characterFilter</filter-name >

                     <filter-class> com.tsou.comm.filter.CharacterFilter</filter-class >

           </filter>

           <filter-mapping>

                    <filter-name> characterFilter</filter-name >

                    <url-pattern> /*</ url-pattern>

           </filter-mapping>

java防止脚本注入,通过拦截器实现的更多相关文章

  1. Java Servlet 过滤器与 springmvc 拦截器的区别?

    前言:在工作中,遇到需要记录日志的情况,不知道该选择过滤器还是拦截器,故总结了一下. servlet 过滤器 定义 java过滤器能够对目标资源的请求和响应进行截取.过滤器的工作方式分为四种 应用场景 ...

  2. Java 过滤器、监听器、拦截器的区别

        原文:http://www.360doc.com/content/10/0601/09/495229_30616324.shtml 1.过滤器 Servlet中的过滤器Filter是实现了ja ...

  3. struts2 参数注入 方法拦截器

    web.xml: <?xml version="1.0" encoding="UTF-8"?><web-app xmlns:xsi=" ...

  4. Java过滤器(Filter)与SpringMVC拦截器(Interceptor)之间的关系与区别

    过滤器和拦截器的区别: ①拦截器是基于java的反射机制的,而过滤器是基于函数回调. ②拦截器不依赖与servlet容器,过滤器依赖与servlet容器. ③拦截器只能对action请求起作用,而过滤 ...

  5. 【java web】过滤器、拦截器、监听器的区别

    一.对比: 1.1 过滤器和拦截器的区别: ①拦截器是基于java的反射机制的,而过滤器是基于函数回调. ②拦截器不依赖与servlet容器,过滤器依赖与servlet容器. ③拦截器只能对actio ...

  6. Java Web 中 过滤器与拦截器的区别

    过滤器,是在java web中,你传入的request,response提前过滤掉一些信息,或者提前设置一些参数,然后再传入servlet或者struts的 action进行业务逻辑,比如过滤掉非法u ...

  7. [Abp vNext 源码分析] - 3. 依赖注入与拦截器

    一.简要说明 ABP vNext 框架在使用依赖注入服务的时候,是直接使用的微软提供的 Microsoft.Extensions.DependencyInjection 包.这里与原来的 ABP 框架 ...

  8. java框架之Struts2(4)-拦截器&标签库

    拦截器 概述 Interceptor (拦截器):起到拦截客户端对 Action 请求的作用. Filter:过滤器,过滤客户端向服务器发送的请求. Interceptor:拦截器,拦截的是客户端对 ...

  9. java框架篇---struts实现拦截器

    Struts2的拦截器和Servlet过滤器类似.在执行Action的execute方法之前,Struts2会首先执行在struts.xml中引用的拦截器,在执行完所有引用的拦截器的intercept ...

随机推荐

  1. JS之延迟处理

    $(document).ready(function () { $("#zidong3,#zidong1").click(function () { $("#zidong ...

  2. ios NSThred多线程简单使用

    关于NSThred开启多线程的方法 - (void)performSelectorInBackground:(SEL)aSelector withObject:(id)arg [self perfor ...

  3. ios8以后,使用UIAlertViw时pop/push页面后,键盘闪一下的问题

    代码为 UIAlertView *alert = [[UIAlertView alloc]initWithTitle:@"" message:@"感谢你对我们提出的意见或 ...

  4. Unity(二)生命周期LifetimeManager

    描述:Unity的生命周期是注册的类型对象的生命周期,而Unity默认情况下会自动帮我们维护好这些对象的生命周期,我们也可以显示配置对象的生命周期,Unity将按照配置自动管理. //创建一个Unit ...

  5. uglifyjs压缩JS的

    一.故事总有其背景 年末将至,很多闲适的时间,于是刷刷微博,接触各种纷杂的信息——美其名曰“学习”.运气不错,遇到了一个新名词,uglifyjs. 据说是用来压缩JS文件的,据说还能优化JS,据说是基 ...

  6. Mysql基础1

    一.数据库简介1.Structured Query Language (结构化查询语言)2.SQL:工业标准.(各个数据库厂商都支持)SQL-Server:对标准进行了扩展.TSQL 方言Oracle ...

  7. Easyui 关闭弹出框后还显示验证提示信息

    今天下午做form表单,然后可以保存,可以关闭.可是关闭的时候老是会在屏幕左上角显示验证提示框,很是着急. 如图: 可能是easyui自己框架的问题,或许是因为网上有的人,自己代码写得有问题,没有调试 ...

  8. OpenWRT连接OPENVPN的教程

    这是相当基本没有任何web界面,只是几个命令如何运行OpenWRT的 OpenVPN的例子. OpenWRT的设置更复杂,所以这个教程仅供爱好者和经验的用户使用参考. 本教程假定您有OpenWRT的安 ...

  9. 关于e^PI>PI^e

  10. UIView的剖析(转)

    转自:http://blog.csdn.net/mengtnt/article/details/6716289 前面说过UIViewController,但是UIView也是在MVC中非常重要的一层  ...