防止常见XSS 过滤 SQL注入 JAVA过滤器filter(转载)

最新推荐文章于 2022-05-18 15:24:02 发布
最新推荐文章于 2022-05-18 15:24:02 发布
阅读量634 收藏 1
点赞数
文章标签: java 数据库 javascript ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wb284551926/article/details/84884616
版权

XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。

sql注入
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

1、首先配置web.xml,添加如下配置信息:

 

[html]  view plain  copy
 
  在CODE上查看代码片 派生到我的代码片
  1. <!-- 解决xss & sql漏洞 -->  
  2. <filter>  
  3.     <filter-name>xssAndSqlFilter</filter-name>  
  4.     <filter-class>com.cup.cms.web.framework.filter.XssAndSqlFilter</filter-class>  
  5. </filter>  
  6. <!-- 解决xss & sql漏洞 -->  
  7. <filter-mapping>  
  8.     <filter-name>xssAndSqlFilter</filter-name>  
  9.     <url-pattern>*</url-pattern>  
  10. </filter-mapping>  

2、编写过滤器

 

 

[java]  view plain  copy
 
  在CODE上查看代码片 派生到我的代码片
  1. /** 
  2.  *  
  3.  */  
  4. package com.cup.cms.web.framework.filter;  
  5.   
  6. import java.io.IOException;  
  7.   
  8. import javax.servlet.Filter;  
  9. import javax.servlet.FilterChain;  
  10. import javax.servlet.FilterConfig;  
  11. import javax.servlet.ServletException;  
  12. import javax.servlet.ServletRequest;  
  13. import javax.servlet.ServletResponse;  
  14. import javax.servlet.http.HttpServletRequest;  
  15.   
  16. /** 
  17.  * @Author hithedy 
  18.  * @Date 2016年2月2日 
  19.  * @Time 下午2:01:53 
  20.  */  
  21. public class XssAndSqlFilter implements Filter {  
  22.   
  23.     @Override  
  24.     public void destroy() {  
  25.         // TODO Auto-generated method stub  
  26.   
  27.     }  
  28.   
  29.     @Override  
  30.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {  
  31.         XssAndSqlHttpServletRequestWrapper xssRequest = new XssAndSqlHttpServletRequestWrapper((HttpServletRequest) request);  
  32.         chain.doFilter(xssRequest, response);  
  33.     }  
  34.   
  35.     @Override  
  36.     public void init(FilterConfig arg0) throws ServletException {  
  37.         // TODO Auto-generated method stub  
  38.   
  39.     }  
  40.   
  41. }  

3、包装器

 

 

[java]  view plain  copy
 
  在CODE上查看代码片 派生到我的代码片
  1. /** 
  2.  *  
  3.  */  
  4. package com.cup.cms.web.framework.filter;  
  5.   
  6. import java.util.regex.Pattern;  
  7.   
  8. import javax.servlet.http.HttpServletRequest;  
  9. import javax.servlet.http.HttpServletRequestWrapper;  
  10.   
  11. /** 
  12.  * @Author hithedy 
  13.  * @Date 2016年2月2日 
  14.  * @Time 下午2:03:19 
  15.  */  
  16. public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {  
  17.       
  18.     HttpServletRequest orgRequest = null;  
  19.       
  20.     public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {  
  21.         super(request);  
  22.         orgRequest = request;  
  23.     }  
  24.   
  25.     /** 
  26.      * 覆盖getParameter方法,将参数名和参数值都做xss & sql过滤。<br/> 
  27.      * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> 
  28.      * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
  29.      */  
  30.     @Override  
  31.     public String getParameter(String name) {  
  32.         String value = super.getParameter(xssEncode(name));  
  33.         if (value != null) {  
  34.             value = xssEncode(value);  
  35.         }  
  36.         return value;  
  37.     }  
  38.   
  39.     /** 
  40.      * 覆盖getHeader方法,将参数名和参数值都做xss & sql过滤。<br/> 
  41.      * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> 
  42.      * getHeaderNames 也可能需要覆盖 
  43.      */  
  44.     @Override  
  45.     public String getHeader(String name) {  
  46.   
  47.         String value = super.getHeader(xssEncode(name));  
  48.         if (value != null) {  
  49.             value = xssEncode(value);  
  50.         }  
  51.         return value;  
  52.     }  
  53.   
  54.     /** 
  55.      * 将容易引起xss & sql漏洞的半角字符直接替换成全角字符 
  56.      *  
  57.      * @param s 
  58.      * @return 
  59.      */  
  60.     private static String xssEncode(String s) {  
  61.         if (s == null || s.isEmpty()) {  
  62.             return s;  
  63.         }else{  
  64.             s = stripXSSAndSql(s);  
  65.         }  
  66.         StringBuilder sb = new StringBuilder(s.length() + 16);  
  67.         for (int i = 0; i < s.length(); i++) {  
  68.             char c = s.charAt(i);  
  69.             switch (c) {  
  70.             case '>':  
  71.                 sb.append(">");// 转义大于号  
  72.                 break;  
  73.             case '<':  
  74.                 sb.append("<");// 转义小于号  
  75.                 break;  
  76.             case '\'':  
  77.                 sb.append("'");// 转义单引号  
  78.                 break;  
  79.             case '\"':  
  80.                 sb.append(""");// 转义双引号  
  81.                 break;  
  82.             case '&':  
  83.                 sb.append("&");// 转义&  
  84.                 break;  
  85.             case '#':  
  86.                 sb.append("#");// 转义#  
  87.                 break;  
  88.             default:  
  89.                 sb.append(c);  
  90.                 break;  
  91.             }  
  92.         }  
  93.         return sb.toString();  
  94.     }  
  95.   
  96.     /** 
  97.      * 获取最原始的request 
  98.      *  
  99.      * @return 
  100.      */  
  101.     public HttpServletRequest getOrgRequest() {  
  102.         return orgRequest;  
  103.     }  
  104.   
  105.     /** 
  106.      * 获取最原始的request的静态方法 
  107.      *  
  108.      * @return 
  109.      */  
  110.     public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
  111.         if (req instanceof XssAndSqlHttpServletRequestWrapper) {  
  112.             return ((XssAndSqlHttpServletRequestWrapper) req).getOrgRequest();  
  113.         }  
  114.   
  115.         return req;  
  116.     }  
  117.   
  118.     /** 
  119.      *  
  120.      * 防止xss跨脚本攻击(替换,根据实际情况调整) 
  121.      */  
  122.   
  123.     public static String stripXSSAndSql(String value) {  
  124.         if (value != null) {  
  125.             // NOTE: It's highly recommended to use the ESAPI library and  
  126.             // uncomment the following line to  
  127.             // avoid encoded attacks.  
  128.             // value = ESAPI.encoder().canonicalize(value);  
  129.             // Avoid null characters  
  130. /**         value = value.replaceAll("", "");***/  
  131.             // Avoid anything between script tags  
  132.             Pattern scriptPattern = Pattern.compile("<[\r\n| | ]*script[\r\n| | ]*>(.*?)</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);  
  133.             value = scriptPattern.matcher(value).replaceAll("");  
  134.             // Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e-xpression  
  135.             scriptPattern = Pattern.compile("src[\r\n| | ]*=[\r\n| | ]*[\\\"|\\\'](.*?)[\\\"|\\\']", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  136.             value = scriptPattern.matcher(value).replaceAll("");  
  137.             // Remove any lonesome </script> tag  
  138.             scriptPattern = Pattern.compile("</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);  
  139.             value = scriptPattern.matcher(value).replaceAll("");  
  140.             // Remove any lonesome <script ...> tag  
  141.             scriptPattern = Pattern.compile("<[\r\n| | ]*script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  142.             value = scriptPattern.matcher(value).replaceAll("");  
  143.             // Avoid eval(...) expressions  
  144.             scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  145.             value = scriptPattern.matcher(value).replaceAll("");  
  146.             // Avoid e-xpression(...) expressions  
  147.             scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  148.             value = scriptPattern.matcher(value).replaceAll("");  
  149.             // Avoid javascript:... expressions  
  150.             scriptPattern = Pattern.compile("javascript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);  
  151.             value = scriptPattern.matcher(value).replaceAll("");  
  152.             // Avoid vbscript:... expressions  
  153.             scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);  
  154.             value = scriptPattern.matcher(value).replaceAll("");  
  155.             // Avoid οnlοad= expressions  
  156.             scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  157.             value = scriptPattern.matcher(value).replaceAll("");  
  158.         }  
  159.         return value;  
  160.     }  
  161.   
  162. }  

能够防止常见的XSS和SQL注入。

 

原文地址:http://blog.youkuaiyun.com/hithedy/article/details/50630109

wb284551926
关注
Java--Filter过滤器防止XSS SQL注入
JustinQin
11-17 3056
一、攻击说明 XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到...
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
java 防止xss攻击
笨鸟快飞的专栏
10-27 3511
关于xss的概念和解决方案网上很多,可以参考这个: http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escap
不用过滤器,不用拦截器,java预防xss攻击
cm_pq的博客
04-28 315
第一步:创建一个BaseController。 public class BaseController { /** * 重写方法 */ @InitBinder public void initBinder(WebDataBinder binder) { binder.registerCustomEditor(String.class, new StringEscapeEditor(true, false)); } 第二步,创建所需的St
java防止xss攻击 过滤_Java Web使用过滤器防止Xss攻击,解决Xss漏洞
weixin_42322782的博客
02-17 841
web.xml添加过滤器xssFiltercom.quickly.exception.common.filter.XssFilterxssFilter*过滤器代码package com.quickly.exception.common.filter;import javax.servlet.*;import javax.servlet.http.HttpServletRequest;import ...
javaXSS过滤处理过滤器
深望的博客
11-06 3132
防止XSS攻击的过滤器 import com.XX.utils.StringUtils; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.ArrayList; import java.util.List; import java.u
java web Xsssql注入过滤器.zip
04-22
本项目"java web Xsssql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
java 过滤器filtersql注入的实现代码
09-01
Java Web开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过恶意构造的SQL语句来操控数据库。为了防止这种攻击,开发者通常会使用过滤器Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害...
java过滤器防止XSSSQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting)SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
防止xsssql注入:JS特殊字符过滤正则
12-01
代码如下:function stripscript(s) { var pattern = new RegExp(“[%–`~!@#$^&*()=|{}’:;’,\\[\\].<>/?~!@#¥……&*()——|{}【】‘;:”“’。,、?]”)        //格式 RegExp(“[在中间定义特殊过滤字符]”)var rs = “”; for (var i = 0; i < s.length; i++) {  rs = rs+s.substr(i, 1).replace(pattern, ”); }return rs;}
防止sql注入的url过滤器
12-30
防止sql注入的url过滤器,这个平时用到过得、觉得不错、所以跟大家分享下、
防止sql注入的url过滤器java filter
01-14
防止sql注入的url过滤器,简单配置即可!
java filter防止sql注入攻击
johennes的专栏
07-31 1014
原理,过滤所有请求中含有非法的字符,例如:, & 黑客可以利用这些字符进行注入攻击,原理是后台实现使用拼接字符串,案例: 某个网站的登入验证的SQL查询代码为       strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');" 恶意填入       use
JAVA防止SQL注入攻击类的源代码
跑步走,到底是是跑还是走?
08-11 424
防止SQL注入Javascript代码:::: [code="java"]看到了一段防止SQL注入JavaScript代码,但是似乎在后台解决的话会更好。 function Check(theform) { if (theform.UserName.value=="") { alert("请输入用户名!") theform.UserName.focus()...
Java防止SQL注入(通过Filter过滤器功能进行拦截)
qq_37272886的博客
05-18 6935
前言 contentType=multipart/form-data的header以文件流的的形式上传文件时,如果代码中使用了Filter,会出现无法用Filter 中用ServletRequest.getParameter 方法取不到一并提交上来的参数 multipart/form-data格式: package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import java.
java 防止SQL注入 字符串过滤
mnshun的博客
11-03 4778
java 字符串过滤关键字符 防止sql注入
java 过滤敏感词和特殊字符 防止sql注入
热门推荐
梁哥|Time
06-04 1万+
前一段时间,被告知公司主页可以sql注入,所以就写了, 开始想一起过滤敏感词语和特殊字符,网上搜索一遍,感觉没有什么好的方法, 所以借鉴了网上部分思路,总体分2步走, 一是过滤敏感词语,我目前能想到的就这么多,可以自己加 二是过滤特殊字符 代码如下: String sqlValidate(String str) {          String str2 = str.toL
Java过滤器防御XSSSQL注入实战
"本文介绍了如何使用Java过滤器来防范XSS跨站脚本攻击和SQL注入攻击,通过在web.xml配置文件中定义过滤器,并编写相应的Filter实现类来拦截和处理恶意输入,保护Web应用程序的安全性。" 在Web开发中,安全性是至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值