Filter安全過(guò)濾高級(jí)最終行(XSS攻擊)

package com.what21.filter.xss;

import java.io.IOException;
import java.util.LinkedHashMap;
import java.util.Map;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XSSFilter implements Filter {

// XSS處理Map
private static Map<String,String> xssMap = new LinkedHashMap<String,String>();
 
public void init(FilterConfig filterConfig) throws ServletException {
    // 含有腳本: script
    xssMap.put("[s|S][c|C][r|R][i|C][p|P][t|T]", "");
    // 含有腳本 javascript
    xssMap.put("[\\\"\\\'][\\s]*[j|J][a|A][v|V][a|A][s|S][c|C][r|R][i|I][p|P][t|T]:(.*)[\\\"\\\']", "\"\"");
    // 含有函數(shù): eval
    xssMap.put("[e|E][v|V][a|A][l|L]\\((.*)\\)", "");
    // 含有符號(hào) <
    xssMap.put("<", "&lt;");
    // 含有符號(hào) >
    xssMap.put(">", "&gt;");
    // 含有符號(hào) (
    xssMap.put("\\(", "(");
    // 含有符號(hào) )
    xssMap.put("\\)", ")");
    // 含有符號(hào) '
    xssMap.put("'", "'");
    // 含有符號(hào) "
    xssMap.put("\"", "\"");
}
 
public void doFilter(ServletRequest request, ServletResponse response,
        FilterChain chain) throws IOException, ServletException {
    // 強(qiáng)制類(lèi)型轉(zhuǎn)換 HttpServletRequest
    HttpServletRequest httpReq = (HttpServletRequest)request;
    // 構(gòu)造HttpRequestWrapper對(duì)象處理XSS
    HttpRequestWrapper httpReqWarp = new HttpRequestWrapper(httpReq,xssMap);
    // 
    chain.doFilter(httpReqWarp, response);

}

public void destroy() {
     
}

}

=============================
package com.what21.filter.xss;

import java.util.Map;
import java.util.Set;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public final class HttpRequestWrapper extends HttpServletRequestWrapper {

private Map<String, String> xssMap;
 
public HttpRequestWrapper(HttpServletRequest request) {
    super(request);
}

public HttpRequestWrapper(HttpServletRequest request,
        Map<String, String> xssMap) {
    super(request);
    this.xssMap = xssMap;
}

@Override
public String[] getParameterValues(String parameter) {
    String[] values = super.getParameterValues(parameter);
    if (values == null) {
        return null;
    }
    int count = values.length;
    // 遍歷每一個(gè)參數(shù)尊勿,檢查是否含有
    String[] encodedValues = new String[count];
    for (int i = 0; i < count; i++) {
        encodedValues[i] = cleanXSS(values[i]);
    }
    return encodedValues;
}

@Override
public String getParameter(String parameter) {
    String value = super.getParameter(parameter);
    if (value == null) {
        return null;
    }
    return cleanXSS(value);
}

public String getHeader(String name) {
    String value = super.getHeader(name);
    if (value == null)
        return null;
    return cleanXSS(value);

}

/**
* 清除惡意的XSS腳本
*
* @param value
* @return
*/
private String cleanXSS(String value) {
Set<String> keySet = xssMap.keySet();
for(String key : keySet){
String v = xssMap.get(key);
value = value.replaceAll(key,v);
}
return value;
}
}

=============================================================================
<filter>
<filter-name>XSSFilter</filter-name>
<filter-class>com.what21.filter.xss.XSSFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XSSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子丧靡,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 216,402評(píng)論 6 499
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件耘婚,死亡現(xiàn)場(chǎng)離奇詭異,居然都是意外死亡陆赋,警方通過(guò)查閱死者的電腦和手機(jī)沐祷,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,377評(píng)論 3 392
  • 文/潘曉璐 我一進(jìn)店門(mén),熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)奏甫,“玉大人戈轿,你說(shuō)我怎么就攤上這事≌笞樱” “怎么了思杯?”我有些...
    開(kāi)封第一講書(shū)人閱讀 162,483評(píng)論 0 353
  • 文/不壞的土叔 我叫張陵,是天一觀(guān)的道長(zhǎng)。 經(jīng)常有香客問(wèn)我色乾,道長(zhǎng)誊册,這世上最難降的妖魔是什么? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 58,165評(píng)論 1 292
  • 正文 為了忘掉前任暖璧,我火速辦了婚禮案怯,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘澎办。我一直安慰自己嘲碱,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,176評(píng)論 6 388
  • 文/花漫 我一把揭開(kāi)白布局蚀。 她就那樣靜靜地躺著麦锯,像睡著了一般。 火紅的嫁衣襯著肌膚如雪琅绅。 梳的紋絲不亂的頭發(fā)上扶欣,一...
    開(kāi)封第一講書(shū)人閱讀 51,146評(píng)論 1 297
  • 那天,我揣著相機(jī)與錄音千扶,去河邊找鬼料祠。 笑死,一個(gè)胖子當(dāng)著我的面吹牛澎羞,可吹牛的內(nèi)容都是我干的髓绽。 我是一名探鬼主播,決...
    沈念sama閱讀 40,032評(píng)論 3 417
  • 文/蒼蘭香墨 我猛地睜開(kāi)眼煤痕,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼梧宫!你這毒婦竟也來(lái)了接谨?” 一聲冷哼從身側(cè)響起摆碉,我...
    開(kāi)封第一講書(shū)人閱讀 38,896評(píng)論 0 274
  • 序言:老撾萬(wàn)榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎脓豪,沒(méi)想到半個(gè)月后巷帝,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,311評(píng)論 1 310
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡扫夜,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,536評(píng)論 2 332
  • 正文 我和宋清朗相戀三年楞泼,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片笤闯。...
    茶點(diǎn)故事閱讀 39,696評(píng)論 1 348
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡堕阔,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出颗味,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 35,413評(píng)論 5 343
  • 正文 年R本政府宣布腕侄,位于F島的核電站,受9級(jí)特大地震影響张漂,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜谨娜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,008評(píng)論 3 325
  • 文/蒙蒙 一航攒、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧趴梢,春花似錦漠畜、人聲如沸。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 31,659評(píng)論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)。三九已至滩愁,卻和暖如春躯喇,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背硝枉。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 32,815評(píng)論 1 269
  • 我被黑心中介騙來(lái)泰國(guó)打工廉丽, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人妻味。 一個(gè)月前我還...
    沈念sama閱讀 47,698評(píng)論 2 368
  • 正文 我出身青樓正压,卻偏偏與公主長(zhǎng)得像,于是被迫代替她去往敵國(guó)和親责球。 傳聞我的和親對(duì)象是個(gè)殘疾皇子焦履,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,592評(píng)論 2 353

推薦閱讀更多精彩內(nèi)容

  • /Library/Java/JavaVirtualMachines/jdk-9.jdk/Contents/Home...
    光劍書(shū)架上的書(shū)閱讀 3,878評(píng)論 2 8
  • 1. Java基礎(chǔ)部分 基礎(chǔ)部分的順序:基本語(yǔ)法,類(lèi)相關(guān)的語(yǔ)法雏逾,內(nèi)部類(lèi)的語(yǔ)法嘉裤,繼承相關(guān)的語(yǔ)法,異常的語(yǔ)法栖博,線(xiàn)程的語(yǔ)...
    子非魚(yú)_t_閱讀 31,622評(píng)論 18 399
  • Spring Cloud為開(kāi)發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見(jiàn)模式的工具(例如配置管理屑宠,服務(wù)發(fā)現(xiàn),斷路器仇让,智...
    卡卡羅2017閱讀 134,651評(píng)論 18 139
  • 本文包括:1典奉、Filter簡(jiǎn)介2、Filter是如何實(shí)現(xiàn)攔截的丧叽?3卫玖、Filter開(kāi)發(fā)入門(mén)4、Filter的生命周期...
    廖少少閱讀 7,272評(píng)論 3 56
  • 一. Java基礎(chǔ)部分.................................................
    wy_sure閱讀 3,810評(píng)論 0 11