• 什么是XSS攻击

    简单来说,XSS 攻击是页面被注入了恶意的代码,度娘一大堆的东西,不想说

  • 系统架构主要是SSM框架,服务层另外使用了DubboX.

     为啥说这个,因为SpringMVC对于Xss攻击需要特殊处理

  • 思路  

    其实XSS工具解决思路就是捕获客户端提交的参数进行捕获,然后对参数值进行过滤处理,去除那些非法的字符.

    但是请求通常分为GET请求与POST请求,针对不同的请求,处理方式是不一样的

  • 步骤:

    1.针对GET与非文件格式上传的post请求.(form 表单提交的时候 没有这个参数enctype="multipart/form-data"),JSON请求等

1) web.xml配置过滤器

 <!-- xxs过滤 -->

 <filter>

     <filter-name>XssSqlFilter</filter-name>

     <filter-class>cn.ffcs.web.filter.XssFilter</filter-class>

 </filter>

 <filter-mapping>

     <filter-name>XssSqlFilter</filter-name>

     <url-pattern>/*</url-pattern>

     <dispatcher>REQUEST</dispatcher>

 </filter-mapping>

2)过滤器实现 XssFilter.java,针对部分特殊请求,要求不走过滤的,可以在此过滤器中放行

 package cn.ffcs.web.filter;

 import java.io.IOException;

 import javax.servlet.FilterChain;

 import javax.servlet.ServletException;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletResponse;

 import org.slf4j.Logger;

 import org.slf4j.LoggerFactory;

 import org.springframework.web.filter.OncePerRequestFilter;

 public class XssFilter extends OncePerRequestFilter {

      private final Logger logger = LoggerFactory.getLogger(this.getClass());

      @Override

         protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)

                 throws ServletException, IOException {

             try {

                 String uri = request.getRequestURI();

                 //特殊url不走过滤器

                 if (uri.contains("receipt") || uri.contains("mobile/buildingMgr")

                          || uri.contains("bestPay") || uri.contains("backNotify") || uri.contains("frontNotify")

                          || uri.contains("queryOrder") || uri.contains("refundNotify") || uri.contains("refund")

                          || uri.contains("reverse")) {

                     chain.doFilter(request, response);

                 } else {

                     XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);

                     chain.doFilter(xssRequest, response);

                 }

             } catch (Exception e) {

                 logger.error("Xss过滤器,包装request对象失败");

                 chain.doFilter(request, response);

             }

         }

 }

3) XssHttpServletRequestWrapper

 package cn.ffcs.web.filter;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletRequestWrapper;

 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

     HttpServletRequest orgRequest = null;

     public XssHttpServletRequestWrapper(HttpServletRequest request) {

         super(request);

         orgRequest = request;

     }

     /**

      * 覆盖getParameter方法,将参数名和参数值都做xss过滤

      */

     @Override

     public String getParameter(String name) {

         String value = super.getParameter(xssEncode(name));

         if (value != null) {

             value = xssEncode(value);

         }

         return value;

     }

     /**

      * 覆盖getParameterValues方法,将参数名和参数值都做xss过滤

      */

     public String[] getParameterValues(String parameter) {

         String[] values = super.getParameterValues(parameter);

         if (values==null)  {

             return null;

         }

         int count = values.length;

         String[] encodedValues = new String[count];

         for (int i = 0; i < count; i++) {

             encodedValues[i] = xssEncode(values[i]);

         }

         return encodedValues;

     }

     /**

      * 获取request的属性时,做xss过滤

      */

      @Override

     public Object getAttribute(String name) {

         Object value = super.getAttribute(name);

         if (null != value && value instanceof String) {

             value = xssEncode((String) value);

         }

         return value;

     };

     /**

      * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>

      */

     @Override

     public String getHeader(String name) {

         String value = super.getHeader(xssEncode(name));

         if (value != null) {

             value = xssEncode(value);

         }

         return value;

     }

     /**

      * 将容易引起xss漏洞的半角字符直接替换成全角字符

      *

      * @param s

      * @return

      */

     private static String xssEncode(String s) {

         return XssEncode.xssEncode(s);

     }

     /**

      * 获取最原始的request

      *

      * @return

      */

     public HttpServletRequest getOrgRequest() {

         return orgRequest;

     }

     /**

      * 获取最原始的request的静态方法

      *

      * @return

      */

     public static HttpServletRequest getOrgRequest(HttpServletRequest req) {

         if (req instanceof XssHttpServletRequestWrapper) {

             return ((XssHttpServletRequestWrapper) req).getOrgRequest();

         }

         return req;

     }

 }

4) 使用到的编码工具,过滤参数使用了xss-html-filter工具,具体可以自行替换

 package cn.ffcs.web.filter;

 import net.sf.xsshtmlfilter.HTMLFilter;

 public class XssEncode {

     public static String xssEncode(String s) {

         if (s == null || s.isEmpty()) {

             return s;

         }

         try {

             HTMLFilter htmlFilter = new HTMLFilter();

             String clean = htmlFilter.filter(s);

             return clean;

         } catch (NullPointerException e) {

             return s;

         } catch (Exception ex) {

             ex.printStackTrace();

         }

         return null;

     }

 }

5) pom.xml 配置引用的jar

 <dependency>

        <groupId>net.sf.xss-html-filter</groupId>

        <artifactId>xss-html-filter</artifactId>

        <version>1.5</version>

 </dependency>

    2.针对enctype="multipart/form-data"格式的post提交

1) 更改springMVC默认Annotation适配器(org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter - ->    cn.ffcs.web.filter.XssAnnotationMethodHandlerAdapter),如果没有则添加

 <!-- annotation方法修饰器 -->

 <bean id="handlerAdapter" class="cn.ffcs.web.filter.XssAnnotationMethodHandlerAdapter">

 ....

 <bean>

2) 继承AnnotationMethodHandlerAdapter 并覆盖handle方法

 package cn.ffcs.web.filter;

 import java.util.Map;

 import java.util.Set;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletResponse;

 import net.sf.xsshtmlfilter.HTMLFilter;

 import org.apache.commons.lang.StringUtils;

 import org.springframework.web.servlet.ModelAndView;

 import org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter;

 @SuppressWarnings("deprecation")

 public class XssAnnotationMethodHandlerAdapter extends

         AnnotationMethodHandlerAdapter {

     @SuppressWarnings({ "rawtypes", "unchecked" })

     private void myXss(HttpServletRequest request){

         Map map = request.getParameterMap();

         Set<String> keySet = map.keySet();

         for(String key : keySet){

             String[] values = request.getParameterValues(key);

             if(values!=null&&values.length>0){

                 for(int i=0 ;i<values.length;i++){

                     if(!StringUtils.isBlank(values[i])){

                         values[i] = XssEncode.xssEncode(values[i]);

                     }

                 }

             }

         }

     }

     @Override

     public ModelAndView handle(HttpServletRequest request,

             HttpServletResponse response, Object handler) throws Exception {

         myXss(request);

         return super.handle(request, response, handler);

     }

 }

tip: 网上另外有说用反射实现带@Controller的控制器,感觉思路可以,但是没有成功.

记一次JAVA WEB项目解决XSS攻击的办法(亲测有效)的更多相关文章

  1. java 拦截器解决xss攻击

    一.xss攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序.这些恶意网页程序通常是JavaScript,但实际上也 ...

  2. maven的java web项目启动找不到Spring ContextLoaderListener的解决办法

    用maven搭建的java web项目,上传到git仓库后,当同事clone下来项目,部署到tomcat运行时,就报了如下错误,即启动web项目时,加载web.xml文件,找不到spring的监听器, ...

  3. 解决使用maven的java web项目导入后出现的有关问题 -cannot be read or is not a valid ZIP file

    解决使用maven的java web项目导入后出现的有关问题 -cannot be read or is not a valid ZIP file   错误问题:虽然查找repository目录下是有 ...

  4. Java web 开发填坑记 2 -如何正确的创建一个Java Web 项目

    转载请标明出处:http://blog.csdn.net/zhaoyanjun6/article/details/72566261 本文出自[赵彦军的博客] Java web 开发填坑记 1-如何正确 ...

  5. 记自己的第一个完整的java web项目

    我是从asp.net平台转到java平台的.基于asp.net平台开发网站的快速便捷性,工作几年来大小网站多少也写了6.7个.但是转到java后,因为是在一家大公司,而且做的功能也比较单一,局限于此, ...

  6. Java Web项目在Mac系统上启动时提示nodename nor servname provided的解决办法

    今天在Mac系统上启动Java Web项目的时候,提示了Java.net.UnknownHostException: yangxiaomindeMacBook-Pro.local nodename n ...

  7. JAVA WEB项目中各种路径的获取

    JAVA WEB项目中各种路径的获取 标签: java webpath文件路径 2014-02-14 15:04 1746人阅读 评论(0) 收藏 举报  分类: JAVA开发(41)  1.可以在s ...

  8. Java Web项目报错java.lang.NullPointerException at org.apache.jsp.front.index_jsp._jspInit(index_jsp.java:30)

    环境:myeclipse+tomcat6+jdk6 今天搭建了一个Java Web项目,访问index.jsp时报如下错误: 严重: Servlet.service() for servlet jsp ...

  9. Linux(Centos)之安装tomcat并且部署Java Web项目

    1.准备工作 a.下载tomcat linux的包,地址:http://tomcat.apache.org/download-80.cgi,我们下载的版本是8.0,下载方式如图:          b ...

随机推荐

  1. Git基本命令整理

    git help <command> # 显示command的help git show # 显示某次提交的内容 git show $id git co -- <file> # ...

  2. project euler做题记录

    ProjectEuler_做题记录 简单记录一下. problem 441 The inverse summation of coprime couples 神仙题.考虑答案为: \[\begin{a ...

  3. day 04 list,元祖

    1,作业讲解 # s = '132a4b5c' # s1 = s[0]+s[2]+s[1] # print(s1) index = 0 # while 1: # print(s[index]) # i ...

  4. GuavaCache本地缓存学习总结

    https://my.oschina.net/u/2270476/blog/1805749 http://www.cnblogs.com/parryyang/p/5777019.html https: ...

  5. list map to map

    Map<String, Object> merged = lists.stream() .map(Map::entrySet) .flatMap(Set::stream) .collect ...

  6. [NOIP2014D1]

    T1 Problem 洛谷 Solution 一道非常裸的模拟题.直接枚举每次猜拳就可以了. Code #include<cmath> #include<cstdio> #in ...

  7. maven生命周期和插件详解

    生命周期 什么是生命周期? maven的生命周期就是对所有的构建过程进行抽象和统一.maven从大量项目和构建工具中总结了一套高度完善的.易扩展的生命周期.这个生命周期包含项目的清理.初始化.编译.测 ...

  8. C语言采用socket实现http post方式上传json数据

    1.按照HTTP协议发送请求: http POST 报文格式 http 报文是面向文本的. 报文分为:请求报文和响应报文 请求报文由:请求行,请求头部,空行和请求数据四个部分组成. <1.请求行 ...

  9. MapReduce(二) MR的高级特性-序列化、排序、分区、合并

    一.序列化   (*) 核心接口:Writable接口.如果有一个类实现了Writable接口,就可以作为Map/Reduce的key和value.    举例: 读取员工数据,生成员工对象,直接存储 ...

  10. while循环与 for循环

    import turtle turtle.setup(600,400,0,0) turtle.bgcolor('red') turtle.color('yellow') turtle.fillcolo ...