国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費電子書等14項超值服

開通VIP

首頁

好書

留言交流

下載APP

聯系客服
JSP過濾器防止Xss漏洞
     在用java進行web業(yè)務開發(fā)的時候,對于頁面上接收到的參數,除了極少數是步可預知的內容外,大量的參數名和參數值都是不會出現觸發(fā)Xss漏洞的字符。而通常為了避免Xss漏洞,都是開發(fā)人員各自在頁面輸出和數據入庫等地方加上各種各樣的encode方法來避免Xss問題。而由于開發(fā)人員的水平不一,加上在編寫代碼的過程中安全意識的差異,可能會粗心漏掉對用戶輸入內容進行encode處理。針對這種大量參數是不可能出現引起Xss和SQL注入漏洞的業(yè)務場景下,因此可以使用一個適用大多數業(yè)務場景的通用處理方法,犧牲少量用戶體驗,來避免Xss漏洞和SQL注入。

那就是利用Servlet的過濾器機制,編寫定制的XssFilter,將request請求代理,覆蓋getParameter和getHeader方法將參數名和參數值里的指定半角字符,強制替換成全角字符。使得在業(yè)務層的處理時不用擔心會有異常輸入內容。

XssFilter.java

  1. package filter;  
  2.   
  3. import java.io.IOException;  
  4.   
  5. import javax.servlet.Filter;  
  6. import javax.servlet.FilterChain;  
  7. import javax.servlet.FilterConfig;  
  8. import javax.servlet.ServletException;  
  9. import javax.servlet.ServletRequest;  
  10. import javax.servlet.ServletResponse;  
  11. import javax.servlet.http.HttpServletRequest;  
  12.   
  13. public class XssFilter implements Filter {  
  14.   
  15. public void init(FilterConfig config) throws ServletException {  
  16. }  
  17.   
  18. public void doFilter(ServletRequest request, ServletResponse response,  
  19. FilterChain chain) throws IOException, ServletException   
  20. {  
  21. XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(  
  22. (HttpServletRequest) request);  
  23. chain.doFilter(xssRequest, response);  
  24. }  
  25.   
  26. public void destroy() {  
  27. }  
  28. }  


XssHttpServletRequestWrapper.java
  1. package filter;  
  2. import javax.servlet.http.HttpServletRequest;  
  3. import javax.servlet.http.HttpServletRequestWrapper;  
  4.   
  5. public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
  6. HttpServletRequest orgRequest = null;  
  7.   
  8. public XssHttpServletRequestWrapper(HttpServletRequest request) {  
  9. super(request);  
  10. orgRequest = request;  
  11. }  
  12.   
  13. /** 
  14. * 覆蓋getParameter方法,將參數名和參數值都做xss過濾。<br/> 
  15. * 如果需要獲得原始的值,則通過super.getParameterValues(name)來獲取<br/> 
  16. * getParameterNames,getParameterValues和getParameterMap也可能需要覆蓋 
  17. */  
  18. @Override  
  19. public String getParameter(String name) {  
  20. String value = super.getParameter(xssEncode(name));  
  21. if (value != null) {  
  22. value = xssEncode(value);  
  23. }  
  24. return value;  
  25. }  
  26.   
  27. /** 
  28. * 覆蓋getHeader方法,將參數名和參數值都做xss過濾。<br/> 
  29. * 如果需要獲得原始的值,則通過super.getHeaders(name)來獲取<br/> 
  30. * getHeaderNames 也可能需要覆蓋 
  31. */  
  32. @Override  
  33. public String getHeader(String name) {  
  34.   
  35. String value = super.getHeader(xssEncode(name));  
  36. if (value != null) {  
  37. value = xssEncode(value);  
  38. }  
  39. return value;  
  40. }  
  41.   
  42. /** 
  43. * 將容易引起xss漏洞的半角字符直接替換成全角字符 
  45. * @param s 
  46. * @return 
  47. */  
  48. private static String xssEncode(String s) {  
  49. if (s == null || s.isEmpty()) {  
  50. return s;  
  51. }  
  52. StringBuilder sb = new StringBuilder(s.length() + 16);  
  53. for (int i = 0; i < s.length(); i++) {  
  54. char c = s.charAt(i);  
  55. switch (c) {  
  56. case '>':  
  57. sb.append('>');//全角大于號  
  58. break;  
  59. case '<':  
  60. sb.append('<');//全角小于號  
  61. break;  
  62. case '\'':  
  63. sb.append('‘');//全角單引號  
  64. break;  
  65. case '\"':  
  66. sb.append('“');//全角雙引號  
  67. break;  
  68. case '&':  
  69. sb.append('&');//全角  
  70. break;  
  71. case '\\':  
  72. sb.append('\');//全角斜線  
  73. break;  
  74. case '#':  
  75. sb.append('#');//全角井號  
  76. break;  
  77. default:  
  78. sb.append(c);  
  79. break;  
  80. }  
  81. }  
  82. return sb.toString();  
  83. }  
  84.   
  85. /** 
  86. * 獲取最原始的request 
  88. * @return 
  89. */  
  90. public HttpServletRequest getOrgRequest() {  
  91. return orgRequest;  
  92. }  
  93. /** 
  94. * 獲取最原始的request的靜態(tài)方法 
  96. * @return 
  97. */  
  98. public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
  99. if(req instanceof XssHttpServletRequestWrapper){  
  100. return ((XssHttpServletRequestWrapper)req).getOrgRequest();  
  101. }  
  102.   
  103. return req;  
  104. }  
  105. }  
在web.xml中添加
  1.  <filter>  
  2. <filter-name>xssFilter</filter-name>  
  3. <filter-class>filter.XssFilter</filter-class>  
  4. </filter>  
  5. <filter-mapping>  
  6. <filter-name>xssFilter</filter-name>  
  7. <url-pattern>/*</url-pattern>  
  8. </filter-mapping>  






本站僅提供存儲服務,所有內容均由用戶發(fā)布,如發(fā)現有害或侵權內容,請點擊舉報







打開APP,閱讀全文并永久保存
查看更多類似文章







猜你喜歡












類似文章




XSS(跨站腳本攻擊)漏洞解決方案
配置Java Xss保護過濾器
解決Xss 使用過濾器解決SQL注入和跨站點腳本編制
我寫的一個攔截器
request對象獲取請求參數
詳解HTTP請求與響應基礎及實例



更多類似文章 >>













生活服務





































分享
收藏
導長圖
關注

下載文章






綁定賬號成功
后續(xù)可登錄賬號暢享VIP特權!


如果VIP功能使用有故障,
可點擊這里聯系客服!
聯系客服