Filter安全過(guò)濾高級(jí)最終行（XSS攻擊）

package com.what21.filter.xss;

import java.io.IOException;
import java.util.LinkedHashMap;
import java.util.Map;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XSSFilter implements Filter {

// XSS處理Map
private static Map<String,String> xssMap = new LinkedHashMap<String,String>();
 
public void init(FilterConfig filterConfig) throws ServletException {
    // 含有腳本： script
    xssMap.put("[s|S][c|C][r|R][i|C][p|P][t|T]", "");
    // 含有腳本 javascript
    xssMap.put("[\\\"\\\'][\\s]*[j|J][a|A][v|V][a|A][s|S][c|C][r|R][i|I][p|P][t|T]:(.*)[\\\"\\\']", "\"\"");
    // 含有函數(shù)： eval
    xssMap.put("[e|E][v|V][a|A][l|L]\\((.*)\\)", "");
    // 含有符號(hào) <
    xssMap.put("<", "&lt;");
    // 含有符號(hào) >
    xssMap.put(">", "&gt;");
    // 含有符號(hào) (
    xssMap.put("\\(", "(");
    // 含有符號(hào) )
    xssMap.put("\\)", ")");
    // 含有符號(hào) '
    xssMap.put("'", "'");
    // 含有符號(hào) "
    xssMap.put("\"", "\"");
}
 
public void doFilter(ServletRequest request, ServletResponse response,
        FilterChain chain) throws IOException, ServletException {
    // 強(qiáng)制類(lèi)型轉(zhuǎn)換 HttpServletRequest
    HttpServletRequest httpReq = (HttpServletRequest)request;
    // 構(gòu)造HttpRequestWrapper對(duì)象處理XSS
    HttpRequestWrapper httpReqWarp = new HttpRequestWrapper(httpReq,xssMap);
    // 
    chain.doFilter(httpReqWarp, response);

}

public void destroy() {
     
}

}

=============================
package com.what21.filter.xss;

import java.util.Map;
import java.util.Set;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public final class HttpRequestWrapper extends HttpServletRequestWrapper {

private Map<String, String> xssMap;
 
public HttpRequestWrapper(HttpServletRequest request) {
    super(request);
}

public HttpRequestWrapper(HttpServletRequest request,
        Map<String, String> xssMap) {
    super(request);
    this.xssMap = xssMap;
}

@Override
public String[] getParameterValues(String parameter) {
    String[] values = super.getParameterValues(parameter);
    if (values == null) {
        return null;
    }
    int count = values.length;
    // 遍歷每一個(gè)參數(shù)尊勿，檢查是否含有
    String[] encodedValues = new String[count];
    for (int i = 0; i < count; i++) {
        encodedValues[i] = cleanXSS(values[i]);
    }
    return encodedValues;
}

@Override
public String getParameter(String parameter) {
    String value = super.getParameter(parameter);
    if (value == null) {
        return null;
    }
    return cleanXSS(value);
}

public String getHeader(String name) {
    String value = super.getHeader(name);
    if (value == null)
        return null;
    return cleanXSS(value);

}

/**
* 清除惡意的XSS腳本
*
* @param value
* @return
*/
private String cleanXSS(String value) {
Set<String> keySet = xssMap.keySet();
for(String key : keySet){
String v = xssMap.get(key);
value = value.replaceAll(key,v);
}
return value;
}
}

=============================================================================
<filter>
<filter-name>XSSFilter</filter-name>
<filter-class>com.what21.filter.xss.XSSFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XSSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

最后編輯于：2017.11.23 16:19:04

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末，一起剝皮案震驚了整個(gè)濱河市，隨后出現(xiàn)的幾起案子丧靡，更是在濱河造成了極大的恐慌，老刑警劉巖，帶你破解...
沈念sama閱讀 216,402評(píng)論 6贊 499
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件耘婚，死亡現(xiàn)場(chǎng)離奇詭異，居然都是意外死亡陆赋，警方通過(guò)查閱死者的電腦和手機(jī)沐祷，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 92,377評(píng)論 3贊 392
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門(mén)，熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)奏甫，“玉大人戈轿，你說(shuō)我怎么就攤上這事≌笞樱” “怎么了思杯？”我有些...
開(kāi)封第一講書(shū)人閱讀 162,483評(píng)論 0贊 353
道士緝兇錄：失蹤的賣(mài)姜人
文/不壞的土叔我叫張陵，是天一觀(guān)的道長(zhǎng)。經(jīng)常有香客問(wèn)我色乾，道長(zhǎng)誊册，這世上最難降的妖魔是什么？我笑而不...
開(kāi)封第一講書(shū)人閱讀 58,165評(píng)論 1贊 292
?港島之戀（遺憾婚禮）
正文為了忘掉前任暖璧，我火速辦了婚禮案怯，結(jié)果婚禮上，老公的妹妹穿的比我還像新娘澎办。我一直安慰自己嘲碱，他們只是感情好，可當(dāng)我...
茶點(diǎn)故事閱讀 67,176評(píng)論 6贊 388
惡毒庶女頂嫁案：這布局不是一般人想出來(lái)的
文/花漫我一把揭開(kāi)白布局蚀。她就那樣靜靜地躺著麦锯，像睡著了一般。火紅的嫁衣襯著肌膚如雪琅绅。梳的紋絲不亂的頭發(fā)上扶欣，一...
開(kāi)封第一講書(shū)人閱讀 51,146評(píng)論 1贊 297
城市分裂傳說(shuō)
那天，我揣著相機(jī)與錄音千扶，去河邊找鬼料祠。笑死，一個(gè)胖子當(dāng)著我的面吹牛澎羞，可吹牛的內(nèi)容都是我干的髓绽。我是一名探鬼主播，決...
沈念sama閱讀 40,032評(píng)論 3贊 417
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開(kāi)眼煤痕，長(zhǎng)吁一口氣：“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼梧宫！你這毒婦竟也來(lái)了接谨？” 一聲冷哼從身側(cè)響起摆碉，我...
開(kāi)封第一講書(shū)人閱讀 38,896評(píng)論 0贊 274
萬(wàn)榮殺人案實(shí)錄
序言：老撾萬(wàn)榮一對(duì)情侶失蹤，失蹤者是張志新（化名）和其女友劉穎脓豪，沒(méi)想到半個(gè)月后巷帝，有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 45,311評(píng)論 1贊 310
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡扫夜，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,536評(píng)論 2贊 332
?白月光啟示錄
正文我和宋清朗相戀三年楞泼，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片笤闯。...
茶點(diǎn)故事閱讀 39,696評(píng)論 1贊 348
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡堕阔，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出颗味，到底是詐尸還是另有隱情，我是刑警寧澤，帶...
沈念sama閱讀 35,413評(píng)論 5贊 343
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布腕侄，位于F島的核電站，受9級(jí)特大地震影響张漂，放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜谨娜，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,008評(píng)論 3贊 325
男人毒藥：我在死后第九天來(lái)索命
文/蒙蒙一航攒、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧趴梢，春花似錦漠畜、人聲如沸。這莊子的主人今日做“春日...
開(kāi)封第一講書(shū)人閱讀 31,659評(píng)論 0贊 22
一樁弒父案盆驹，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽(yáng)。三九已至滩愁，卻和暖如春躯喇，著一層夾襖步出監(jiān)牢的瞬間，已是汗流浹背硝枉。一陣腳步聲響...
開(kāi)封第一講書(shū)人閱讀 32,815評(píng)論 1贊 269
情欲美人皮
我被黑心中介騙來(lái)泰國(guó)打工廉丽，沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留，地道東北人妻味。一個(gè)月前我還...
沈念sama閱讀 47,698評(píng)論 2贊 368
代替公主和親
正文我出身青樓正压，卻偏偏與公主長(zhǎng)得像，于是被迫代替她去往敵國(guó)和親责球。傳聞我的和親對(duì)象是個(gè)殘疾皇子焦履，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 44,592評(píng)論 2贊 353

Filter安全過(guò)濾高級(jí)最終行（XSS攻擊）

推薦閱讀更多精彩內(nèi)容