如何通过重写HttpServletRequest参数获取方法有效预防XSS攻击?

2026-04-16 14:074阅读0评论SEO资源
  • 内容介绍
  • 文章标签
  • 相关推荐

本文共计529个文字,预计阅读时间需要3分钟。

如何通过重写HttpServletRequest参数获取方法有效预防XSS攻击?

java创建过滤器,处理异常和配置

如何通过重写HttpServletRequest参数获取方法有效预防XSS攻击?

java 过滤器

import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import com.soufun.wap.servlet.XSSRequestWrapper; public class SqlXssFilter implements Filter { private FilterConfig config = null; //配置文件(可以从 web中获取参数) @Override public void init(FilterConfig filterConfig) throws ServletException { this.config = filterConfig; } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; //对不是 get请求和post 请求 进行拦截 if(!(req.getMethod().equalsIgnoreCase("get")||req.getMethod().equalsIgnoreCase("post"))) { // return; } chain.doFilter(new XSSRequestWrapper(req), response); //放行 } public void destroy() { } /** * 获取敏感字 * 在 web.xml 中获取获取敏感字符所在的路径 * 在把它变为流 读进集合里面 */ private List getDirtyWords(){ List dirtyWords = new ArrayList (); String dirtyWordPath = config.getInitParameter("dirtyWord"); //获取参数值 InputStream inputStream = config.getServletContext().getResourceAsStream(dirtyWordPath); //传入路径变为流 InputStreamReader is = null; try { is = new InputStreamReader(inputStream,"UTF-8"); //把流转换为utf-8编码 } catch (UnsupportedEncodingException e2) { e2.printStackTrace(); } BufferedReader reader = new BufferedReader(is); String line; try { while ((line = reader.readLine())!= null) {//如果 line为空说明读完了 dirtyWords.add(line); //把敏感字符丢进集合里面 } } catch (IOException e) { e.printStackTrace(); } return dirtyWords; } } 装饰着模式 重写httpservlet中的方法

import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import org.apache.commons.lang.StringEscapeUtils; public class XSSRequestWrapper extends HttpServletRequestWrapper { public XSSRequestWrapper(HttpServletRequest servletRequest) { super(servletRequest); } /* *重写getParameterValues方法 */ @Override public String[] getParameterValues(String parameter) { String[] values = super.getParameterValues(parameter); //调用父类getParameterValues 获取原始值 if ("pageChildren".equals(parameter)) { //对原始值进行判断做出选择 return values; } if (values == null) { return null; } int count = values.length; String[] encodedValues = new String[count]; //创建一个字符数组 for (int i = 0; i < count; i++) { encodedValues[i] = stripXSS(values[i]); //循坏替换 值中的关键字 } return encodedValues; } /* *重写getParameter方法方法 */ @Override public String getParameter(String parameter) { String value = super.getParameter(parameter); //调用父类获取原始值 return stripXSS(value); //替换 } /* *对值中的关键字进行替换 */ private String stripXSS(String value) { if (null != value) { value = value.replaceAll("<", "<").replaceAll(">", ">"); value = value.replaceAll("\\(", "(").replaceAll("\\)", ")"); value = value.replaceAll("'", "'"); value = value.replaceAll("eval\\((.*)\\)", ""); value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\""); value = value.replaceAll("script", ""); value = StringEscapeUtils.escapeSql(value); } return value; } } web.xml

sqlXssFilter com.soufun.wap.filter.SqlXssFilter

dirtyWord

/WEB-INF/DirtyWord.txt sqlXssFilter /*

标签:

相关推荐

101038如何将双缓冲绘图技术应用于长尾词生成算法中?101054这款Excel导入导出工具类,能几行代码实现复杂操作,真有这么强大吗?101062如何通过SEO优化技巧,实现网站在搜索引擎中取得卓越排名?101068JQuery有哪些高级应用技巧和长尾词用法?101072nginx和uwsgi如何高效配合使用以优化网站性能?101073如何将ngx嵌套lua处理CIDR表示的IP地址段转换为长尾词?101074如何全面掌握Python基础知识?101091上周6.20的热点事件有哪些,大家还记得吗?101092TopoLVM:LVM支持的K8s本地存储,容量感知,PV动态创建,本地持久化怎么轻松实现?101103广州SEO优化,如何助力我的网站实现腾飞?101107库尔勒抖音SEO如何通过关键词优化秘籍提升搜索排名?101110面试时,哪些具体场景会引发MySQL索引失效?101111如何通过优化360搜索SEO,巧妙布局长尾关键词提升网站排名?101112如何将现学现忘Docker基础中的实战:自定义Tomcat9镜像改写为一个长尾词?101115如何通过优化外卖SEO,实现关键词布局和内容改写?101119如何通过Redis数据持久化技术提升系统可用性,构建长尾词策略?

本文共计529个文字,预计阅读时间需要3分钟。

如何通过重写HttpServletRequest参数获取方法有效预防XSS攻击?

java创建过滤器,处理异常和配置

如何通过重写HttpServletRequest参数获取方法有效预防XSS攻击?

java 过滤器

import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import com.soufun.wap.servlet.XSSRequestWrapper; public class SqlXssFilter implements Filter { private FilterConfig config = null; //配置文件(可以从 web中获取参数) @Override public void init(FilterConfig filterConfig) throws ServletException { this.config = filterConfig; } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; //对不是 get请求和post 请求 进行拦截 if(!(req.getMethod().equalsIgnoreCase("get")||req.getMethod().equalsIgnoreCase("post"))) { // return; } chain.doFilter(new XSSRequestWrapper(req), response); //放行 } public void destroy() { } /** * 获取敏感字 * 在 web.xml 中获取获取敏感字符所在的路径 * 在把它变为流 读进集合里面 */ private List getDirtyWords(){ List dirtyWords = new ArrayList (); String dirtyWordPath = config.getInitParameter("dirtyWord"); //获取参数值 InputStream inputStream = config.getServletContext().getResourceAsStream(dirtyWordPath); //传入路径变为流 InputStreamReader is = null; try { is = new InputStreamReader(inputStream,"UTF-8"); //把流转换为utf-8编码 } catch (UnsupportedEncodingException e2) { e2.printStackTrace(); } BufferedReader reader = new BufferedReader(is); String line; try { while ((line = reader.readLine())!= null) {//如果 line为空说明读完了 dirtyWords.add(line); //把敏感字符丢进集合里面 } } catch (IOException e) { e.printStackTrace(); } return dirtyWords; } } 装饰着模式 重写httpservlet中的方法

import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import org.apache.commons.lang.StringEscapeUtils; public class XSSRequestWrapper extends HttpServletRequestWrapper { public XSSRequestWrapper(HttpServletRequest servletRequest) { super(servletRequest); } /* *重写getParameterValues方法 */ @Override public String[] getParameterValues(String parameter) { String[] values = super.getParameterValues(parameter); //调用父类getParameterValues 获取原始值 if ("pageChildren".equals(parameter)) { //对原始值进行判断做出选择 return values; } if (values == null) { return null; } int count = values.length; String[] encodedValues = new String[count]; //创建一个字符数组 for (int i = 0; i < count; i++) { encodedValues[i] = stripXSS(values[i]); //循坏替换 值中的关键字 } return encodedValues; } /* *重写getParameter方法方法 */ @Override public String getParameter(String parameter) { String value = super.getParameter(parameter); //调用父类获取原始值 return stripXSS(value); //替换 } /* *对值中的关键字进行替换 */ private String stripXSS(String value) { if (null != value) { value = value.replaceAll("<", "<").replaceAll(">", ">"); value = value.replaceAll("\\(", "(").replaceAll("\\)", ")"); value = value.replaceAll("'", "'"); value = value.replaceAll("eval\\((.*)\\)", ""); value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\""); value = value.replaceAll("script", ""); value = StringEscapeUtils.escapeSql(value); } return value; } } web.xml

sqlXssFilter com.soufun.wap.filter.SqlXssFilter

dirtyWord

/WEB-INF/DirtyWord.txt sqlXssFilter /*

标签: