Java Filter过滤xss注入非法参数的方法
http://blog.csdn.NET/feng_an_qi/article/details/45666813
web.xml:
- <filter>
- <filter-name>XSSFiler</filter-name>
- <filter-class>
- com.paic.mall.web.filter.XssSecurityFilter
- </filter-class>
- </filter>
- <filter-mapping>
- <filter-name>XSSFiler</filter-name>
- <url-pattern>*.jsp</url-pattern>
- </filter-mapping>
- <filter-mapping>
- <filter-name>XSSFiler</filter-name>
- <url-pattern>*.do</url-pattern>
- </filter-mapping>
- <filter-mapping>
- <filter-name>XSSFiler</filter-name>
- <url-pattern>*.screen</url-pattern>
- </filter-mapping>
- <filter-mapping>
- <filter-name>XSSFiler</filter-name>
- <url-pattern>*.shtml</url-pattern>
- </filter-mapping>
- <filter-mapping>
- <filter-name>XSSFiler</filter-name>
- <servlet-name>dispatcher</servlet-name>
- </filter-mapping>
XssSecurityFilter.Java
- public class XssSecurityFilter implements Filter {
- protected final Logger log = Logger.getLogger(this.getClass());
- public void init(FilterConfig config) throws ServletException {
- if(log.isInfoEnabled()){
- log.info("XSSSecurityFilter Initializing ");
- }
- }
- /**
- * 销毁操作
- */
- public void destroy() {
- if(log.isInfoEnabled()){
- log.info("XSSSecurityFilter destroy() end");
- }
- }
- public void doFilter(ServletRequest request, ServletResponse response,
- FilterChain chain) throws IOException, ServletException {
- HttpServletRequest httpRequest = (HttpServletRequest)request;
- XssHttpRequestWrapper xssRequest = new XssHttpRequestWrapper(httpRequest);
- httpRequest = XssSecurityManager.wrapRequest(xssRequest);
- chain.doFilter(xssRequest, response);
- }
- }
XssHttpRequestWrapper.Java
- /**
- * @author
- * @date
- * @describe 主要是对参数进行xss过滤,替换原始的request的getParameter相关功能
- * 线程不安全
- *
- */
- public class XssHttpRequestWrapper extends HttpServletRequestWrapper {
- protected Map parameters;
- /**
- * 封装http请求
- *
- * @param request
- */
- public XssHttpRequestWrapper(HttpServletRequest request) {
- super(request);
- }
- @Override
- public void setCharacterEncoding(String enc)
- throws UnsupportedEncodingException {
- super.setCharacterEncoding(enc);
- //当编码重新设置时,重新加载重新过滤缓存。
- refiltParams();
- }
- void refiltParams(){
- parameters=null;
- }
- @Override
- public String getParameter(String string) {
- String strList[] = getParameterValues(string);
- if (strList != null && strList.length > 0)
- return strList[0];
- else
- return null;
- }
- @Override
- public String[] getParameterValues(String string) {
- if (parameters == null) {
- paramXssFilter();
- }
- return (String[]) parameters.get(string);
- }
- @Override
- public Map getParameterMap() {
- if (parameters == null) {
- paramXssFilter();
- }
- return parameters;
- }
- /**
- *
- * 校验参数,若含xss漏洞的字符,进行替换
- */
- private void paramXssFilter() {
- parameters = getRequest().getParameterMap();
- XssSecurityManager.filtRequestParams(parameters, this.getServletPath());
- }
- }
XssSecurityManager.java
- /**
- * @author
- * @date
- * @describe 安全过滤配置管理类,统一替换可能造成XSS漏洞的字符为中文字符
- */
- public class XssSecurityManager {
- private static Logger log = Logger.getLogger(XssSecurityManager.class);
- // 危险的javascript:关键字j av a script
- private final static Pattern[] DANGEROUS_TOKENS = new Pattern[] { Pattern
- .compile("^j\\s*a\\s*v\\s*a\\s*s\\s*c\\s*r\\s*i\\s*p\\s*t\\s*:",
- Pattern.CASE_INSENSITIVE) };
- // javascript:替换字符串(全角中文字符)
- private final static String[] DANGEROUS_TOKEN_REPLACEMENTS = new String[] { "JAVASCRIPT:" };
- // 非法的字符集
- private static final char[] INVALID_CHARS = new char[] { '<', '>', '\'',
- '\"', '\\' };
- // 统一替换可能造成XSS漏洞的字符为全角中文字符
- private static final char[] VALID_CHARS = new char[] { '<', '>', '’', '“',
- '\' };
- // 开启xss过滤功能开关
- public static boolean enable=false;
- // url-patternMap(符合条件的url-param进行xss过滤)<String ArrayList>
- public static Map urlPatternMap = new HashMap();
- private static HashSet excludeUris=new HashSet();
- private XssSecurityManager() {
- // 不可被实例化
- }
- static {
- init();
- }
- private static void init() {
- try {
- String xssConfig = "/xss_security_config.xml";
- if(log.isDebugEnabled()){
- log.debug("XSS config file["+xssConfig+"] init...");
- }
- InputStream is = XssSecurityManager.class
- .getResourceAsStream(xssConfig);
- if (is == null) {
- log.warn("XSS config file["+xssConfig+"] not found.");
- }else{
- // 初始化过滤配置文件
- initConfig(is);
- log.info("XSS config file["+xssConfig+"] init completed.");
- }
- }
- catch (Exception e) {
- log.error("XSS config file init fail:"+e.getMessage(), e);
- }
- }
- private static void initConfig(InputStream is) throws Exception{
- DocumentBuilderFactory factory=DocumentBuilderFactory.newInstance();
- DocumentBuilder builder=factory.newDocumentBuilder();
- Element root = builder.parse(is).getDocumentElement();
- //-------------------
- NodeList nl=root.getElementsByTagName("enable");
- Node n=null;
- if(nl!=null && nl.getLength()>0){
- n=((org.w3c.dom.Element)nl.item(0)).getFirstChild();
- }
- if(n!=null){
- enable = new Boolean(n.getNodeValue().trim()).booleanValue();
- }
- log.info("XSS switch="+enable);
- //-------------------------
- nl=root.getElementsByTagName("filter-mapping");
- NodeList urlPatternNodes=null;
- if(nl!=null && nl.getLength()>0){
- Element el=(Element)nl.item(0);
- urlPatternNodes=el.getElementsByTagName("url-pattern");
- //-----------------------------------------------------
- NodeList nl2=el.getElementsByTagName("exclude-url");
- if(nl2!=null && nl2.getLength()>0){
- for(int i=0;i<nl2.getLength();i++){
- Element e=(Element)urlPatternNodes.item(i);
- Node paramNode=e.getFirstChild();
- if(paramNode!=null){
- String paramName=paramNode.getNodeValue().trim();
- if(paramName.length()>0){
- excludeUris.add(paramName.toLowerCase());
- }
- }
- }
- }
- }
- //----------------------
- if(urlPatternNodes!=null && urlPatternNodes.getLength()>0){
- for(int i=0;i<urlPatternNodes.getLength();i++){
- Element e=(Element)urlPatternNodes.item(i);
- String urlPattern=e.getAttribute("value");
- if(urlPattern!=null && (urlPattern=urlPattern.trim()).length()>0){
- List filtParamList = new ArrayList(2);
- if(log.isDebugEnabled()){
- log.debug("Xss filter mapping:"+urlPattern);
- }
- //-------------------------------
- NodeList temp=e.getElementsByTagName("include-param");
- if(temp!=null && temp.getLength()>0){
- for(int m=0;m<temp.getLength();m++){
- Node paramNode=(temp.item(m)).getFirstChild();
- if(paramNode!=null){
- String paramName=paramNode.getNodeValue().trim();
- if(paramName.length()>0){
- filtParamList.add(paramName);
- }
- }
- }
- }
- //一定得将url转换为小写
- urlPatternMap.put(urlPattern.toLowerCase(), filtParamList);
- }
- }
- }
- //----------------------
- }
- public static HttpServletRequest wrapRequest(HttpServletRequest httpRequest){
- if(httpRequest instanceof XssHttpRequestWrapper){
- // log.info("httpRequest instanceof XssHttpRequestWrapper");
- //include/forword指令会重新进入此Filter
- XssHttpRequestWrapper temp=(XssHttpRequestWrapper)httpRequest;
- //include指令会增加参数,这里需要清理掉缓存
- temp.refiltParams();
- return temp;
- }else{
- // log.info("httpRequest is not instanceof XssHttpRequestWrapper");
- return httpRequest;
- }
- }
- public static List getFiltParamNames(String url){
- //获取需要xss过滤的参数
- url = url.toLowerCase();
- List paramNameList = (ArrayList) urlPatternMap.get(url);
- if(paramNameList==null || paramNameList.size()==0){
- return null;
- }
- return paramNameList;
- }
- public static void filtRequestParams(Map params,String servletPath){
- long t1=System.currentTimeMillis();
- //得到需要过滤的参数名列表,如果列表是空的,则表示过滤所有参数
- List filtParamNames=XssSecurityManager.getFiltParamNames(servletPath);
- filtRequestParams(params, filtParamNames);
- }
- public static void filtRequestParams(Map params,List filtParamNames){
- // 获取当前参数集
- Set parameterNames = params.keySet();
- Iterator it = parameterNames.iterator();
- //得到需要过滤的参数名列表,如果列表是空的,则表示过滤所有参数
- while (it.hasNext()) {
- String paramName = (String) it.next();
- if(filtParamNames==null || filtParamNames.contains(paramName) ){
- String[] values = (String[])params.get(paramName);
- proceedXss(values);
- }
- }
- }
- /**
- * 对参数进行防止xss漏洞处理
- *
- * @param value
- * @return
- */
- private static void proceedXss(String[] values) {
- for (int i = 0; i < values.length; ++i) {
- String value = values[i];
- if (!isNullStr(value)) {
- values[i] = replaceSpecialChars(values[i]);
- }
- }
- }
- /**
- * 替换非法字符以及危险关键字
- *
- * @param str
- * @return
- */
- private static String replaceSpecialChars(String str) {
- for (int j = 0; j < INVALID_CHARS.length; ++j) {
- if (str.indexOf(INVALID_CHARS[j]) >= 0) {
- str = str.replace(INVALID_CHARS[j], VALID_CHARS[j]);
- }
- }
- str=str.trim();
- for (int i = 0; i < DANGEROUS_TOKENS.length; ++i) {
- str = DANGEROUS_TOKENS[i].matcher(str).replaceAll(
- DANGEROUS_TOKEN_REPLACEMENTS[i]);
- }
- return str;
- }
- /**
- * 判断是否为空串,建议放到某个工具类中
- *
- * @param value
- * @return
- */
- private static boolean isNullStr(String value) {
- return value == null || value.trim().length()==0;
- }
- public static void main(String args[]) throws Exception{
- Map datas=new HashMap();
- String paramName="test";
- datas.put(paramName,new String[]{ "Javascript:<script>alert('yes');</script>"});
- filtRequestParams(datas,"/test/sample.do");
- System.out.println(((String[])datas.get(paramName))[0]);
- }
- }
Java Filter过滤xss注入非法参数的方法的更多相关文章
- [改善Java代码]避免带有变长参数的方法重载
建议4: 避免带有变长参数的方法重载 在项目和系统的开发中,为了提高方法的灵活度和可复用性,我们经常要传递不确定数量的参数到方法中,在Java 5之前常用的设计技巧就是把形参定义成Collection ...
- Java Filter防止sql注入攻击
原理,过滤所有请求中含有非法的字符,例如:, & < select delete 等关键字,黑客可以利用这些字符进行注入攻击,原理是后台实现使用拼接字符串,案例:某个网站的登入验证的SQ ...
- Java正则表达式过滤并消除非法字符
package sd; import java.util.regex.Matcher; import java.util.regex.Pattern; /** * * @author 大汉 * */ ...
- 简单的xss注入和防御
什么是xss注入: xss通常就是通过巧妙的方法注入指令到指定页面,使用户加载执行的恶意的js(或者其他类型)的代码,攻击者会获取用户的一系列信息,如cookie等,从而进行其他用户信息的盗取 为什么 ...
- 网站mysql防止sql注入攻击 3种方法总结
mysql数据库一直以来都遭受到sql注入攻击的影响,很多网站,包括目前的PC端以及手机端都在使用php+mysql数据库这种架构,大多数网站受到的攻击都是与sql注入攻击有关,那么mysql数据库如 ...
- 防止常见XSS 过滤 SQL注入 JAVA过滤器filter
XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击者往W ...
- ASP.NET MVC 5使用Filter过滤Action参数防止sql注入,让你代码安全简洁
在开发程序的过程中,稍微不注意就会隐含有sql注入的危险.今天我就来说下,ASP.NET mvc 5使用Filter过滤Action参数防止sql注入,让你代码安全简洁.不用每下地方对参数的值都进行检 ...
- AOP实践—ASP.NET MVC5 使用Filter过滤Action参数防止sql注入,让你代码安全简洁
在开发程序的过程中,稍微不注意就会隐含有sql注入的危险.今天我就来说下,ASP.NET mvc 5使用Filter过滤Action参数防止sql注入,让你代码安全简洁.不用每下地方对参数的值都进行检 ...
- Spring Filter过滤表单中的非法字符
使用Spring Filter过滤表单中的非法字符 1 package test.filter; 2 3 import java.io.IOException; 4 import java.util. ...
随机推荐
- Python字符与ASCII码转换
有两个内置函数,记得以前在<Python Cookbook>里看到过. >>>print ord('a') 97 >>>print chr(97) a
- python学习笔记(7)--爬虫隐藏代理
说明: 1. 好像是这个网站的代理http://www.xicidaili.com/ 2. 第2,3行的模块不用导入,之前的忘删了.. 3. http://www.whatismyip.com.tw/ ...
- php7 安装扩展
安装mongodb扩展 前提:安装好php7,位置:/usr/local/php 方法一: /usr/local/php7/bin/pecl install mongodb service php-f ...
- 解决异常:Package should contain a content type part [M1.13]
http://blog.csdn.net/llwan/article/details/8890190 ————————————————————————————————————————————————— ...
- BI开发之——Mdx基础语法(2)(转至指尖流淌)
结合webcast中老师的讲解,现在把基础语法应用通过几个案例应用如下: 一.维度的概念 上图中一个维度(Dimension):Region 改为度下有四个级别(Levels):country.pro ...
- JavaScript重载
在Javascript 中,每个函数都有一个隐含的对象arguments,表示给函数 实际传给的参数 ,那么我们可以用 arguments来实现函数的重载 <!DOCTYPE html PUBL ...
- 一个线程可以拿到多个锁标记,一个对象最多只能将monitor给一个线程
当用Synchronized修饰某个方法的时候,表示该方法都对当前对象加锁. 给方法加Synchronized和用Synchronized修饰对象的效果是一致的. 一个线程可以拿到多个锁标记,一个对象 ...
- 一个try可以跟进多个catch语句,用于处理不同情况,当一个try只能匹配一个catch
一个try可以跟进多个catch语句,用于处理不同情况.当一个try只能匹配一个catch. 我们可以写多个catch语句,但是不能将父类型的exception的位置写在子类型的excepiton之前 ...
- 【BZOJ】1610: [Usaco2008 Feb]Line连线游戏(几何)
http://www.lydsy.com/JudgeOnline/problem.php?id=1610 两种做法,一种计算几何,一种解析几何,但是计算几何的复杂度远远搞出解析集合(虽然精度最高) 计 ...
- 【BZOJ】1642: [Usaco2007 Nov]Milking Time 挤奶时间(dp)
http://www.lydsy.com/JudgeOnline/problem.php?id=1642 果然没能仔细思考是不行的.. 以后要静下心来好好想,不要认为不可做..... 看了题解... ...