SpringMVC防止XSS注入
2017-05-05 10:01
69 查看
xss(Cross Site Scripting)注入就是,跨站脚本攻击,和sql注入类似的,在请求中添加恶意脚本,实现控制用户。
XssHttpServletRequestWrappe.java
重写XssHttpServletRequestWrapper中的方法:
XssFilter.java
写个拦截器,对请求进行拦截过滤:
在web.xml中配置拦截器,对所有的.ht请求进行过滤:
XssHttpServletRequestWrappe.java
重写XssHttpServletRequestWrapper中的方法:
package com.henu.util;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
/**
* XSS
*
* @author duxiangyu
*
*/
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}
public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter);
if (values == null)
return null;
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = cleanXSS(values[i]);
}
return encodedValues;
}
public String getParameter(String parameter) {
String value = super.getParameter(parameter);
if (value == null)
return null;
return cleanXSS(value);
}
public String getHeader(String name) {
String value = super.getHeader(name);
if (value == null)
return null;
return cleanXSS(value);
}
// 这里可以自己实现转义,也可以直接用工具类进行转义,比如说org.apache.common.lang.StringEscapeUtils和org.springframework.web.util.HtmlUtils
private String cleanXSS(String str) {
StringBuffer sb = new StringBuffer();
for (int i = 0; i < str.length(); i++) {
char c = str.charAt(i);
switch (c) {
case '\n':
sb.append(c);
break;
case '<':
sb.append("<");
break;
case '>':
sb.append(">");
break;
case '&':
sb.append("&");
break;
case '\'':
sb.append("'");
break;
case '"':
sb.append(""");
break;
default:
if ((c < ' ') || (c > '~')) {
sb.append("&#x");
sb.append(Integer.toString(c, 16));
sb.append(';');
} else {
sb.append(c);
}
break;
}
}
return sb.toString();
}
}XssFilter.java
写个拦截器,对请求进行拦截过滤:
package com.henu.util;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
/**
* XSS 过滤器
*
* @author duxiangyu
*
*/
public class XssFilter implements Filter {
FilterConfig filterConfig = null;
public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
}
public void destroy() {
this.filterConfig = null;
}
// 对request进行包装
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
chain.doFilter(new XssHttpServletRequestWrapper(
(HttpServletRequest) request), response);
}
}在web.xml中配置拦截器,对所有的.ht请求进行过滤:
<filter> <filter-name>xssFilter</filter-name> <filter-class>com.henu.util.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-pattern>*.ht</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping>
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- springMVC通过Filter实现防止xss注入
- springMVC通过Filter实现防止xss注入
- Java防止跨站脚本(XSS)注入攻击
- java防止xss注入攻击
- jsp 前端防止 xss 注入攻击
- PHP防止XSS注入
- [转载][网络整理]web 防止xss注入
- java防止xss脚本注入攻击,采用spring工具类方式
- StringEscapeUtils的常用使用,防止SQL注入及XSS注入
- 实用:防止SQL、XSS等注入攻击的Filter
- 防止XSS注入script脚本,简单的方法;在项目中也可以使用的安全转码格式。
- PHP防止被xss和sql语 cd6d 句注入攻击的方法(网站和app通用)
- 富文本编辑器防止xss注入javascript版
- 很好用的 web防止sql 注入 xss 攻击 目录遍历代码
- 后台防止XSS注入,禁止JS获取COOKIE
- Java防止跨站脚本(XSS)注入攻击
- 实用:防止SQL、XSS等注入攻击的Filter
- 防止恶意代码注入XSS(cross site scripting)
- JavaWeb开发防止SQL、XSS注入
- JavaWeb开发防止SQL、XSS注入