解决xss漏洞

knight_black_bob

浏览: 823732 次
性别:
来自: 北京

最近访客更多访客>>

bian1024

lli

cqh520llr

hxgdragon

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

spring
struts

解决 xss 漏洞 filter web

web.xml

<filter>
		<filter-name>xssFilter</filter-name>
		<filter-class>com.aoi.selfhelp.filters.XSSFilter</filter-class>
	</filter>

	<!-- 解决xss漏洞 -->
	<filter-mapping>
		<filter-name>xssFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

package com.aoi.selfhelp.filters;
import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.cmcc.aoi.selfhelp.util.XssHttpServletRequestWrapper;
  
public class XSSFilter implements Filter {  
  
    @Override  
    public void init(FilterConfig filterConfig) throws ServletException {  
    }  
  
    @Override  
    public void doFilter(ServletRequest request, ServletResponse response,  
            FilterChain chain) throws IOException, ServletException {  
  
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(  
                (HttpServletRequest) request);  
        chain.doFilter(xssRequest, response);  
    }  
  
    @Override  
    public void destroy() {  
    }  
  
}

package com.aoi.selfhelp.util;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper
{
	HttpServletRequest orgRequest = null;

	public XssHttpServletRequestWrapper(HttpServletRequest request)
	{
		super(request);
		orgRequest = request;
	}

	@Override
	public String[] getParameterValues(String name)
	{
		String[] parameterValues = super.getParameterValues(name);
		if (parameterValues == null)
			parameterValues = new String[] {};
		for (int i = 0; i < parameterValues.length; i++)
		{
			String value = parameterValues[i];
			if (value != null)
			{
				parameterValues[i] = xssEncode(value);
			}
		}
		return parameterValues;
	}

	/**
	 * 覆盖getParameter方法，将参数名和参数值都做xss过滤。<br/>
	 * 如果需要获得原始的值，则通过super.getParameterValues(name)来获取<br/>
	 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
	 */
	@Override
	public String getParameter(String name)
	{
		String value = super.getParameter(xssEncode(name));
		if (value != null)
		{
			value = xssEncode(value);
		}
		return value;
	}

	/**
	 * 覆盖getHeader方法，将参数名和参数值都做xss过滤。<br/>
	 * 如果需要获得原始的值，则通过super.getHeaders(name)来获取<br/>
	 * getHeaderNames 也可能需要覆盖
	 */
	@Override
	public String getHeader(String name)
	{

		String value = super.getHeader(xssEncode(name));
		if (value != null)
		{
			value = xssEncode(value);
		}
		return value;
	}

	/**
	 * 将容易引起xss漏洞的半角字符直接替换成全角字符
	 * 
	 * @param s
	 * @return
	 */
	private static String xssEncode(String s)
	{
		if (s == null || s.isEmpty())
		{
			return s;
		}
		StringBuilder sb = new StringBuilder(s.length() + 16);
		for (int i = 0; i < s.length(); i++)
		{
			char c = s.charAt(i);
			switch (c)
			{
				case '>':
					sb.append("＞");// 转义大于号
					break;
				case '<':
					sb.append("＜");// 转义小于号
					break;
				case '\'':
					sb.append("＇");// 转义单引号
					break;
				case '\"':
					sb.append("＂");// 转义双引号
					break;
				// case '&':
				//	sb.append("＆");// 转义&
				//	break;
				default:
					sb.append(c);
					break;
			}
		}
		return sb.toString();
	}

	/**
	 * 获取最原始的request
	 * 
	 * @return
	 */
	public HttpServletRequest getOrgRequest()
	{
		return orgRequest;
	}

	/**
	 * 获取最原始的request的静态方法
	 * 
	 * @return
	 */
	public static HttpServletRequest getOrgRequest(HttpServletRequest req)
	{
		if (req instanceof XssHttpServletRequestWrapper)
		{
			return ((XssHttpServletRequestWrapper) req).getOrgRequest();
		}

		return req;
	}
}

捐助开发者

在兴趣的驱动下,写一个免费的东西，有欣喜，也还有汗水，希望你喜欢我的作品，同时也能支持一下。当然，有钱捧个钱场（右上角的爱心标志，支持支付宝和PayPal捐助），没钱捧个人场，谢谢各位。

谢谢您的赞助，我会做的更好！

0
顶

2
踩

分享到：

校验Referer头，防范CSRF(跨站请求伪造) ... | spring 拦截器

2015-12-29 10:51
浏览 4091
评论(2)
分类:编程语言
查看更多

2 楼 knight_black_bob 2015-12-29

直接使用xss.js就可以

MrLee23 写道

为什么如此费劲？？？？
直接使用xss.js就可以了

谢谢，我查查。。。。

1 楼 MrLee23 2015-12-29

为什么如此费劲？？？？
直接使用xss.js就可以了

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

解决xss漏洞

捐助开发者

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

解决xss漏洞

捐助开发者

评论

发表评论

相关推荐

springboot docker jenkins 部署 对比 tomcat

hibernate 报错 SQL Error: 1062, SQLState: 23000

springboot 同步解耦 异步化

dubbo java 发布订阅（非spring配置）

异常解决[ asm ClassReader failed to parse class file]

动态加载 dubbo spring

手写 springmvc

redis spring 哨兵 配置

spring 配置文件 xsd 过高导致启动不起来

dubbo admin monitor

spring security 详解

spring easyrest first

springboot dubbox 实例

kafka spring 实例

springmvc cas maven sso 详解

springmvc shiro

springmvc hibernate 权限管理 权限位 权限码

redis 实现 ip 限制

spring 注入方式

mybatis springjdbc 插入数据获取主键

最近访客更多访客>>

springboot docker jenkins 部署对比 tomcat

springboot 同步解耦异步化

redis spring 哨兵配置

spring　配置文件　xsd 过高导致启动不起来

springmvc hibernate 权限管理权限位权限码