xss攻击预防,网上有很多介绍,发现很多都是只能预防GET方式请求的xss攻击,并不能预防POST方式的xss攻击。主要是由于POST方式的参数只能用流的方式读取,且只能读取一次,经过多次尝试,自己总结并经过多次尝试之后,终于成功了,废话不多说,上代码。

参考主要网址:

http://blog.csdn.net/Lan_Xuan/article/details/73826065

http://blog.csdn.net/happylee6688/article/details/40660797

http://www.cnblogs.com/digdeep/p/4695348.html

http://www.cnblogs.com/443855539-wind/p/6055816.html

http://blog.csdn.net/angevin/article/details/53992698

maven依赖:

<dependency>
           <groupId>javax.servlet</groupId>
           <artifactId>javax.servlet-api</artifactId>
           <version>3.1.0</version>
           <scope>provided</scope>
       </dependency>
        
        <!-- https://mvnrepository.com/artifact/org.apache.commons/commons-lang3 -->
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
            <version>3.0</version>
        </dependency>
        <dependency>
            <groupId>org.jboss.spec.javax.servlet</groupId>
            <artifactId>jboss-servlet-api_3.1_spec</artifactId>
            <version>1.0.0.Beta1</version>
        </dependency>

web.xml

     <filter>

         <filter-name>XssEscape</filter-name>

         <filter-class>com.*.webshell.XSSFilter</filter-class>

     </filter>

     <filter-mapping>

         <filter-name>XssEscape</filter-name>

         <url-pattern>/*</url-pattern>

         <dispatcher>REQUEST</dispatcher>

     </filter-mapping>

XFFFilter.java

 import java.io.IOException;

 import javax.servlet.Filter;

 import javax.servlet.FilterChain;

 import javax.servlet.FilterConfig;

 import javax.servlet.ServletException;

 import javax.servlet.ServletRequest;

 import javax.servlet.ServletResponse;

 import javax.servlet.http.HttpServletRequest;

 public class XSSFilter implements Filter {

     FilterConfig filterConfig = null;

     public void init(FilterConfig filterConfig) throws ServletException {

         this.filterConfig = filterConfig;

     }

     public void destroy() {

         this.filterConfig = null;

     }

     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

             throws IOException, ServletException {

         chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);

     }

 }

XssHttpServletRequestWrapper.java

 import java.io.BufferedReader;

 import java.io.ByteArrayInputStream;

 import java.io.IOException;

 import java.io.InputStreamReader;

 import java.io.UnsupportedEncodingException;

 import java.nio.charset.Charset;

 import javax.servlet.ReadListener;

 import javax.servlet.ServletInputStream;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletRequestWrapper;

 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

     boolean isUpData = false;// 判断是否是上传 上传忽略

     public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {

         super(servletRequest);

         String contentType = servletRequest.getContentType();

         if (null != contentType)

             isUpData = contentType.startsWith("multipart");

     }

     @Override

     public String[] getParameterValues(String parameter) {

         String[] values = super.getParameterValues(parameter);

         if (values == null) {

             return null;

         }

         int count = values.length;

         String[] encodedValues = new String[count];

         for (int i = 0; i < count; i++) {

             encodedValues[i] = cleanXSS(values[i]);

         }

         return encodedValues;

     }

     @Override

     public String getParameter(String parameter) {

         String value = super.getParameter(parameter);

         if (value == null) {

             return null;

         }

         return cleanXSS(value);

     }

     /**

      * 获取request的属性时,做xss过滤

      */

     @Override

     public Object getAttribute(String name) {

         Object value = super.getAttribute(name);

         if (null != value && value instanceof String) {

             value = cleanXSS((String) value);

         }

         return value;

     }

     @Override

     public String getHeader(String name) {

         String value = super.getHeader(name);

         if (value == null)

             return null;

         return cleanXSS(value);

     }

     private static String cleanXSS(String value) {

         //几种常见的web攻击:http://jingyan.baidu.com/article/0202781178e19e1bcc9ce5c7.html

         value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");

         //%3C是URL对<字符的编码

         value = value.replaceAll("%3C", "&lt;").replaceAll("%3E", "&gt;");

         value = value.replaceAll("\\(", "(").replaceAll("\\)", ")");

         //%28是(转义后的字符编码 , %29是)转义后的字符编码

         value = value.replaceAll("%28", "(").replaceAll("%29", ")");

         //'是单引号ASCII编码后的表现形式

         value = value.replaceAll("'", "'");

         //eval() 函数可计算某个字符串,并执行其中的的 JavaScript 代码

         value = value.replaceAll("eval\\((.*)\\)", "");

         //防止如javascript:alert(doucment.cookie)可以看到当前站点的cookie(如果有的话)的攻击

         value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

 //        value = value.replaceAll("script", "");

         return value;

     }

     @Override

     public ServletInputStream getInputStream() {

         try {

             if (isUpData) {

                 return super.getInputStream();

             } else {

                 final ByteArrayInputStream bais = new ByteArrayInputStream(

                         inputHandlers(super.getInputStream()).getBytes("utf-8"));

                 return new ServletInputStream() {

                     @Override

                     public int read() throws IOException {

                         return bais.read();

                     }

                     @Override

                     public boolean isFinished() {

                         return false;

                     }

                     @Override

                     public boolean isReady() {

                         return false;

                     }

                     @Override

                     public void setReadListener(ReadListener readListener) {

                     }

                 };

             }

         } catch (UnsupportedEncodingException e) {

             e.printStackTrace();

         } catch (IOException e) {

             e.printStackTrace();

         }

         return null;

     }

     public String inputHandlers(ServletInputStream servletInputStream) {

         StringBuilder sb = new StringBuilder();

         BufferedReader reader = null;

         try {

             reader = new BufferedReader(new InputStreamReader(servletInputStream, Charset.forName("UTF-8")));

             String line = "";

             while ((line = reader.readLine()) != null) {

                 sb.append(line);

             }

         } catch (IOException e) {

             e.printStackTrace();

         } finally {

             if (servletInputStream != null) {

                 try {

                     servletInputStream.close();

                 } catch (IOException e) {

                     e.printStackTrace();

                 }

             }

             if (reader != null) {

                 try {

                     reader.close();

                 } catch (IOException e) {

                     e.printStackTrace();

                 }

             }

         }

         return cleanXSS(sb.toString());

     }

 }

如果XssHttpServletRequestWrapper.java类中没有标红的那个代码会报如下错误,主要是因为过滤的参数中有中文:

 org.springframework.http.converter.HttpMessageNotReadableException: Could not read JSON: Invalid UTF-8 start byte 0xb1

  at [Source: com.*.XssHttpServletRequestWrapper$1@6230dd4f; line: 1, column: 128]

  (through reference chain: com.*.entity.OrderTicket["address"]);

  nested exception is com.fasterxml.jackson.databind.JsonMappingException: Invalid UTF-8 start byte 0xb1

  at [Source: com.*.XssHttpServletRequestWrapper$1@6230dd4f; line: 1, column: 128]

  (through reference chain: com.*.entity.*["address"])

XSS 攻击的防御的更多相关文章

  1. web安全-XSS攻击及防御

    XSS攻击的原理 xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻 ...

  2. XSS攻击的防御

    XSS攻击的防御 XSS 攻击是什么 XSS 又称 CSS,全称 Cross SiteScript,跨站脚本攻击,是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式,所以容易被忽略 ...

  3. 前端XSS攻击和防御

    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会 ...

  4. XSS攻击及防御

    XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性.其原理是攻击者向有XSS漏洞的网站中输入 ...

  5. XSS攻击及防御(转)

    add by zhj: 略有修改.另外还有一篇文章值得参考,使用 PHP 构建的 Web 应用如何避免 XSS 攻击,总得来说防御XSS的方法是客户端和服务端都 要对输入做检查,如果只有客户端做检查, ...

  6. xss攻击与防御

    一.XSS攻击 Cross Site Scripting跨站脚本攻击 利用js和DOM攻击. 盗用cookie,获取敏感信息 破坏正常页面结构,插入恶意内容(广告..) 劫持前端逻辑 DDos攻击效果 ...

  7. Web 安全之 XSS 攻击与防御

    前言 黑客,相信大家对这一名词并不陌生,黑客们往往会利用 Web 应用程序的漏洞来攻击咱们的系统.开放式 Web 应用程序安全项目(OWASP, Open Web Application Securi ...

  8. 转---如何让前端更安全?——XSS攻击和防御详解

    前言 平时很少关注安全这块的技术,曾经也买过一本<Web前端黑客技术揭秘>但至今还没翻过,尴尬.今天的早读文章由腾讯优测@小吉带来的分享. 正文从这开始~ 最近深入了解了一下XSS攻击.以 ...

  9. Web 攻击之 XSS 攻击及防御策略

    XSS 攻击 介绍 XSS 攻击,从最初 netscap 推出 javascript 时,就已经察觉到了危险. 我们常常需要面临跨域的解决方案,其实同源策略是保护我们的网站.糟糕的跨域会带来危险,虽然 ...

  10. XSS 攻击实验 & 防御方案

    XSS 攻击&防御实验 不要觉得你的网站很安全,实际上每个网站或多或少都存在漏洞,其中xss/csrf是最常见的漏洞,也是最容易被开发者忽略的漏洞,一不小心就要被黑 下面以一个用户列表页面来演 ...

随机推荐

  1. nth-child与nth-of-type区别

    示例详细理解:nth-child(n)与:nth-of-type(n)区别 childselector:nth-child(index) 1,子选择器(childselector,这里是p选择器)选中 ...

  2. Eclipse代码自动补全

    Eclipse自动补全方法 Window -> preferences -> Java -> Editor -> Content assist -> Auto-Activ ...

  3. python 拷贝 深拷贝 浅拷贝 赋值

    t = [1,["a","b"]] t_bak = t t_cop = copy.copy(t) t_deep = copy.deepcopy(t) print ...

  4. Hibernate 再接触 关系映射 一对一双向外键关联

    凡是双向关联必设mapped by  由对方主导 wifi.java package com.bjsxt.hibernate; import javax.persistence.Entity; imp ...

  5. nagiosQL访问时报错PHP message: PHP Deprecated: preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead

    nagiosQL安装环境: CentOS release 6.4 (Final) php-5.5.4 nagiosql_320 nginx version: nginx/1.2.3 安装一切正常,当访 ...

  6. 无法加载ISAPI 筛选器 当前配置只支持加载为 AMD64 处理器体系结构创建的映像

    无法加载ISAPI 筛选器 当前配置只支持加载为 AMD64 处理器体系结构创建的映像 2011-11-9 0:18:49来源:本站原创作者:清晨320我要评论(0) 今天服务器的伪静态死活加载不上去 ...

  7. <assert.h>库学习

    assert的初步认识 assert宏指令是用来诊断程序是否有误的,函数原型如下 void assert(int expression) 那为什么我们要使用assert而不用printf呢?因为ass ...

  8. python基础学习Day17 面向对象的三大特性之继承、类与对象名称空间小试

    一.课前回顾 类:具有相同属性和方法的一类事物 实例化:类名() 过程: 开辟了一块内存空间 执行init方法 封装属性 自动的把self返回给实例化对象的地方 对象:实例 一个实实在在存在的实体 组 ...

  9. godep 包管理

    go get -u -v github.com/tools/godep  godep save

  10. mysql ERROR 1819 (HY000): Your password does not satisfy the current policy requirements

    为了加强安全性,MySQL5.7为root用户随机生成了一个密码,在error log中,关于error log的位置,如果安装的是RPM包,则默认是/var/log/mysqld.log. 一般可通 ...