XSS过滤器的实现
2024-09-04 09:40:33
一、XSS是什么
全称跨站脚本(cross site script)XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。
比如在input框中填写了可以执行的javascript脚本,而后台并没有做过滤与校验。
二、过滤器是什么
过滤器,顾名思义过滤某种物质的设备,在Java中用Filter接口来表示,实现该接口可对请求request来进行过滤,获取我们想要获取的数据,比如过滤XSS,低俗文字等。
三、过滤器与拦截器的区别
- 过滤器依赖于servlet容器。在实现上基于函数回调,可以对几乎所有请求进行过滤,当请求匹配过滤规则时,即可被调用。
- 拦截器依赖于web框架。在SpringMVC中就是依赖于SpringMVC框架。在实现上基于Java的反射机制,属于面向切面编程(AOP)的一种运用。
四、XSS过滤器实现原理
重写request的包装类HttpServletRequestWrapper中的get方法,过滤特殊的,危险的字符。
五、代码实现
5.1、web.xml
<!--过滤Xss脚本-->
<filter>
<filter-name>XssFilter</filter-name>
<filter-class>com.geenk.market.web.fliter.XssFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XssFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
5.2、XssFilter
package com.geenk.market.web.fliter; import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException; /**
* filter过滤器-过滤BaseController中的getStr方法中的特殊字符
* Created by DUCHONG on 2017/4/13.
*/
public class XssFilter implements Filter { FilterConfig filterConfig = null; public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
} public void destroy() {
this.filterConfig = null;
} public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {
chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
}
}
5.3、XssHttpServletRequestWrapper
package com.geenk.market.web.fliter; import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper; /**
* Created by DUCHONG on 2017/4/13.
*/
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
} public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = cleanXSS(values[i]);
}
return encodedValues;
} public String getParameter(String parameter) {
String value = super.getParameter(parameter);
if (value == null) {
return null;
}
return cleanXSS(value);
} public String getHeader(String name) {
String value = super.getHeader(name);
if (value == null)
return null;
return cleanXSS(value);
} private String cleanXSS(String value) {
//You'll need to remove the spaces from the html entities below
value = value.replaceAll("\\<", "& lt;").replaceAll("\\>", "& gt;");
value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
value = value.replaceAll("'", "& #39;");
value = value.replaceAll("eval\\((.*)\\)", "");
value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
value = value.replaceAll("script", "");
return value;
} }
最新文章
- Razor 语法初级使用,不断更新此文章
- docker本地私有仓库的创建,及https错误修正
- Beta版本冲刺——day1
- true是表示使用身份验证,否则不使用身份验证
- 循序渐进之Spring AOP(5) - 创建切面
- autoLyout纯代码适配
- 2、SQL基础整理(聚合函数)
- iOS 2D绘图详解(Quartz 2D)之Bitmap
- iptabels 的一些配置
- angular : direative : scope | 指令scope里的符号@,=
- Cocos2d-x 3.0 Android改动APK名、更改图标、改动屏幕方向、改动版本,一些须要注意的问题
- Java基础--二进制运算
- Spring之AOP模块
- MyBatis3系列__01HelloWorld
- php 配置xdebug
- 设置MyBatis在控制台打印SQL语句
- SQL Server手把手教你使用profile进行性能监控
- Windows驱动中通过MDL实现用户态与核心态共享内存
- CodeForces - 1040B Shashlik Cooking
- [Luogu1282]多米诺骨牌(DP)