利用过滤器实现 论坛或留言板 上内容转义

最新推荐文章于 2019-05-09 12:30:28 发布
最新推荐文章于 2019-05-09 12:30:28 发布
阅读量584 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Servlet技术 文章标签: 转义 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qhwc2009/article/details/45542011
本文介绍如何通过过滤器(Filter)和装饰设计模式增强getParameter()方法,以确保从客户端提交的论坛或留言板内容中转义可能存在的恶意代码,确保输入与输出内容一致。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

***********注意此方法只能解决getParameter()方法取得参数转义,若要彻底解决getParameterMap()和getParameterValues()方法取得参数的转义,则需要使用“关于Filter 覆盖getParameterMap 来实现功能”这篇博文中的方法*******************************************************************************************************************



在客户端提交过来的text片段中,有可能会存在恶意代码。

利用Filter和装饰设计技术来增强getParameter()方法使代码片段进行转义,从而达到输入什么内容就输出什么内容。


建立过滤器类HtmlFilter

package filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * HTML转义
 * 
 * @author seawind
 * 
 */
public class HtmlFilter implements Filter {

	@Override
	public void destroy() {
		// TODO Auto-generated method stub

	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		chain.doFilter(new HtmlRequest((HttpServletRequest) request), response);
	}

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		// TODO Auto-generated method stub

	}

}

class HtmlRequest extends HttpServletRequestWrapper {
	private HttpServletRequest request;

	public HtmlRequest(HttpServletRequest request) {
		super(request);
		this.request = request;
	}

	@Override
	public String getParameter(String name) {
		String value = request.getParameter(name);
		return filter(value);
	}

	public static String filter(String message) {

		if (message == null)
			return (null);

		char content[] = new char[message.length()];
		message.getChars(0, message.length(), content, 0);
		StringBuffer result = new StringBuffer(content.length + 50);
		for (int i = 0; i < content.length; i++) {
			switch (content[i]) {
			case '<':
				result.append("<");
				break;
			case '>':
				result.append(">");
				break;
			case '&':
				result.append("&");
				break;
			case '"':
				result.append(""");
				break;
			default:
				result.append(content[i]);
			}
		}
		return (result.toString());

	}

}

然后再web.xml 中对 HtmlFilter 进行配置,在servlet中直接调用增强之后的request即可实现对提交内容的转义。

留言板过滤器权限,JDBC
02-24
留言板过滤器权限,JDBC 实战阶段的三大基础例子:留言板,CMS,商城 这个是三大实战项目之一,没有使用任何框架,短小精炼
Javaweb中过滤器的使用,并实现留言板的功能
谢先生的日记
07-06 1532
前端编写:index.jsp message.jsp index.jsp编写: <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>管理界面</title> <link h
过滤器】(4)过滤器的应用案例:留言板敏感词过滤技术(包装模式)
08-07 1107
一、包装设计模式1、对一个类的增强,一般采取三种方式(1)继承被增强的类,即实现一个子类。(2)使用动态代理处理需要增强的方法。(3)使用包装设计模式(Java中的IO基本上都是包装设计模式)2、以下是使用包装设计模式增强一个类的步骤(1)继承需要增强的类。(2)声明需要增强有的类为自己的成员变量。(3)书写一个构造方法接收需要增强的类。(4)实现需要增强的方法。(5)实现可扩展的其他方法。3、包装
带有过滤器的小型留言系统(非常小)
雏鹰
05-22 317
一个用户名和一个留言框的JSP页面: [code="java"] My JSP 'CommentLogin.jsp' starting page username: Comment: [/code] 非常挫...
带filter的留言板 参数读写
12-15
带filter的留言板处理过滤器的初始化参数读写和全局对象的读写
php实现简单论坛网站(留言板:phpstudy+phpstorm)
11-10
例如,通过过滤和转义用户输入,使用预编译的SQL语句,以及添加验证码等手段增强安全性。 6. **表单处理与验证**: 用户注册和登录时,需要处理和验证表单数据。PHP提供了一系列内置函数,如`filter_var`用于验证...
实现交互式留言板的JavaScript模块详解
- **DOM 操作**: JavaScript 实现留言板模块的基础是能够操作文档对象模型(DOM),通过 JavaScript 可以动态地添加、删除和修改页面上的元素。 - **事件处理**: 留言板上的各种交互,如发送留言、删除留言等,都...
Flex实现的PHP留言板程序教程
这对于留言板程序来说非常重要,因为留言信息往往需要存储在服务器上的文件中。 #### PHP与数据库交互 留言板程序常常需要存储用户提交的信息,这通常会用到数据库。PHP通过预定义的函数与数据库进行交互,如使用...
锋.NET简洁留言板.zip
06-19
锋.NET简洁留言板可能采取了防止SQL注入、XSS攻击等安全措施,例如使用参数化查询、对用户输入进行过滤转义等。同时,登录注册功能可能涉及会话管理,使用SessionCookie来跟踪用户状态,确保用户信息安全。 ...
thinkphp做的留言板
03-28
总结,利用ThinkPHP开发留言板系统,可以充分利用其MVC架构的优势,简化开发流程,提高代码质量。通过理解并掌握ThinkPHP的各个组件及其用法,我们可以快速构建出功能完备、安全可靠的留言板应用。
如何让在Html中特殊字符不被转义(如 等)
热门推荐
jercy的专栏
10-17 4万+
问题:之间包含有类似的这种转义字符的时候总会被解析,倒是可以把所有的"&"通过程序替换成"&",但是有些本来就是"&"的也会被转换,这就错了。如何让之间包含的文本原封不动的显示出来呢? (若是还有其他的方法,欢迎朋友们添加,一起学习)总结如下:解决方法有两种:第1种:body>     textarea   id=t   rows=20   cols
Java特殊字符转义(非常简单)
weixin_40584261的博客
03-23 3万+
需求: MongoDB后者Solr引擎在查询数据的时候,如果存在特殊字符【?$.[】等,查询不出数据者查询出来的数据是不准确的,这个时候就需要对特殊字符进行转义。 核心代码如下: /** * solr检索时,转换特殊字符 * * @param s 需要转义的字符串 * @return 返回转义后的字符串 */ public static String escapeQuer...
留言过滤(简单实现)-过滤字符串
蜗牛程序员
10-31 1229
1.过滤方法写法(简单过滤) filterStr=filterStr.replaceAll("(?:"+key+")", "*"); 2.过滤内容写法 sensiword.key=AV|hz|sm|PK|PX 3.补充 (?:  pattern)是非捕获型括号  匹配pattern,但不捕获匹配结果。 (pattern )是捕获型括号。  匹配pattern,匹配pattern并捕获结
用ASP+XML打造留言本
zhepu的专栏
08-08 1157
用ASP+XML打造留言本来源:www.yesky.com  一、读者指引  读者指引帮助你掌握本文的梗概。以免你看了大半才明白这编文章不适合你,给你造成视觉污染。  如果你正在用ASP+XML写一些程序,者你正在学XML那就值得一看。  阅读本文须具备的知识,对ASP有基本的了解,对XML和DOM有基本了解,如果你不了解那么你通过学习本文基本上能够撑握ASP+XML和DOM
filter过滤器利用HttpServletResponseWrapper操作Response对象
Aeroleo的博客
02-23 2408
有时我们希望在请求输出之前对response对象进行一些额外的操作,比如从response读出相应的数据,并持久化到数据库中,最后再发往客户端,但由于response输出流对象没有Buffer功能,且只能读取一次,幸好我们可以通过继承HttpServletResponseWrapper类来达到我们的需求。下面就具本通过实现此类来完成上面提到的功能。  HttpServletResponseWra
Servlet&Filter实现留言板
qq_15042311的博客
05-09 754
#代码如下: //web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http:...
Servlet filter 实现留言板留言过滤 实例源代码
qq_21967531的博客
08-06 959
note.jsp 页面 &amp;amp;lt;%@ page language=”java” import=”java.util.*” pageEncoding=”GB18030”%&amp;amp;gt; &amp;amp;lt;%@include file=”common.jsp”%&amp;amp;gt; 用户留言 ...
java使用Filter过滤器对Response返回值进行修改
Gogym的博客
08-18 4万+
有时候在开发过程中会有这样一个场景,有时需要对返回的数据进行处理。比如加密啊,添加某些标记啊等等。这种情况我们可以通过过滤器去处理。 过滤器是什么就不介绍了,百度一下,你就知道。 看看代码吧: 返回值输出代理类:这个类主要是为了吧Response里面的返回值获取到,因为直接Response没有提供直接拿到返回值的方法。所以要通过代理来取得返回值 package co
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值