2. 程式人生 > >防止web端腳本攻擊的過濾器(可過濾大部分腳本攻擊)

防止web端腳本攻擊的過濾器(可過濾大部分腳本攻擊)

阿新 發佈:2017-10-25
bool 輸入 後臺 getmethod else 重復 servlet inpu pre

在後臺進行攻擊攔截是必要的,下面是我所使用的防止web端腳本攻擊的過濾器工具。

1.配置文件:

1 <!-- 請求攔截 -->
2 <mvc:interceptors>
3         <mvc:interceptor>
4             <mvc:mapping path="/**"/>
5             <bean class="com.demo.filter.UserAuthorityInterceptor"></bean>   
6         </mvc:interceptor>
 

7 </mvc:interceptors>

2.攔截器:

  1 package com.demo.filter;
  2 
  3 import java.io.BufferedReader;
  4 import java.io.InputStream;
  5 import java.io.InputStreamReader;
  6 import java.net.URLDecoder;
  7 import java.util.Enumeration;
  8 import java.util.HashMap;
  9 import java.util.Iterator;

 
 10 import java.util.LinkedHashMap;
 11 import java.util.List;
 12 import java.util.Map;
 13 
 14 import javax.annotation.Resource;
 15 import javax.servlet.http.HttpServletRequest;
 16 import javax.servlet.http.HttpServletResponse;
 17 import javax.servlet.http.HttpSession;
 18 
 19 import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
 
 25 
 31 public class UserAuthorityInterceptor extends HandlerInterceptorAdapter {
 32         
 33         @Override    
 34         public boolean preHandle(HttpServletRequest request,HttpServletResponse response, Object handler) throws Exception {  
 35             
 36             Map mapReg = new HashMap();
 37             mapReg.put("script", ".*<.*script.*>.*");
 38             mapReg.put("alert", ".*alert\\(.*?\\).*");
 39 //            mapReg.put("href=", ".*<.*href=.*>.*");
 40             mapReg.put("textarea", ".*<.*textarea.*>.*");
 41             mapReg.put("onmouseover", ".*onmouseover.*");
 42             mapReg.put("iframe", ".*<.*iframe.*>.*");
 43             mapReg.put("object data=data:text/html", ".*object data=data:text/html.*");
 44             Map<String, Object> map =getRequestParamMap(request);
 45             Iterator<String> itfilter=  mapReg.keySet().iterator();
 46             for(String key:map.keySet()){
 47                 Object parString=map.get(key);
 48                 if(parString==null){
 49                     return true;
 50                 }
 51                     String b=parString.toString();
 52                     itfilter=  mapReg.keySet().iterator();
 53                    while(itfilter.hasNext()){
 54                        String a=(String)mapReg.get(itfilter.next());
 55                        if(b.matches(a)){
 56                           System.out.println(a.toUpperCase());
 57                           System.out.println(b.toUpperCase());
 58                           response.setContentType("text/html;charset=UTF-8");
 59                           response.getWriter().write("<html><body><script type=\"text/javascript\">alert(‘請勿進行非法操作!非法的參數是:"+a+"‘)</script></body></html>");
 60                            return false;
 61                       } 
 62                    
 63                }
 64            }
 65             return true;
 66         }    
 67         
 68         /**
 69          * 從請求中獲取所有參數(當參數名重復時,用後者覆蓋前者)
 70          */
 71         public static Map<String, Object> getRequestParamMap(HttpServletRequest request) {
 72             Map<String, Object> paramMap = new LinkedHashMap<String, Object>();
 73             try {
 74                 String method = request.getMethod();
 75                 if (method.equalsIgnoreCase("put") || method.equalsIgnoreCase("delete")) {
 76                     String queryString = URLDecoder.decode(getString(request.getInputStream()),"UTF-8");
 77                     if ("".equals(queryString)) {
 78                         String[] qsArray = queryString.split("&") ;//StringUtil.splitString(queryString, "&");
 79                         if (qsArray.length>0) {
 80                             for (String qs : qsArray) {
 81                                 String[] array = queryString.split("=") ;//StringUtil.splitString(qs, "=");
 82                                 if (array.length>0 && array.length == 2) {
 83                                     String paramName = array[0].trim();
 84                                     String paramValue = array[1].trim();
 85                                     if (checkParamName(paramName)) {
 86                                         if (paramMap.containsKey(paramName)) {
 87                                             paramValue = paramMap.get(paramName) + String.valueOf((char) 29) + paramValue;
 88                                         }
 89                                         paramMap.put(paramName, paramValue);
 90                                     }
 91                                 }
 92                             }
 93                         }
 94                     }
 95                 } else {
 96                     Enumeration<String> paramNames = request.getParameterNames();
 97                     while (paramNames.hasMoreElements()) {
 98                         String paramName = paramNames.nextElement();
 99                         if (checkParamName(paramName)) {
100                             String[] paramValues = request.getParameterValues(paramName);
101                             if (paramValues.length>0) {
102                                 if (paramValues.length == 1) {
103                                     paramMap.put(paramName, paramValues[0]);
104                                 } else {
105                                     StringBuilder paramValue = new StringBuilder("");
106                                     for (int i = 0; i < paramValues.length; i++) {
107                                         paramValue.append(paramValues[i]);
108                                         if (i != paramValues.length - 1) {
109                                             paramValue.append(String.valueOf((char) 29));
110                                         }
111                                     }
112                                     paramMap.put(paramName, paramValue.toString());
113                                 }
114                             }
115                         }
116                     }
117                 }
118             } catch (Exception e) {
119                 throw new RuntimeException(e);
120             }
121             return paramMap;
122         }
123 
124         /**
125          * 從輸入流中獲取字符串
126          */
127         public static String getString(InputStream is) {
128             StringBuilder sb = new StringBuilder();
129             try {
130                 BufferedReader reader = new BufferedReader(new InputStreamReader(is));
131                 String line;
132                 while ((line = reader.readLine()) != null) {
133                     sb.append(line);
134                 }
135             } catch (Exception e) {
136                 e.printStackTrace();
137                 throw new RuntimeException(e);
138             }
139             return sb.toString();
140         }
141         private static boolean checkParamName(String paramName) {
142             return !paramName.equals("_"); // 忽略 jQuery 緩存參數
143         }
144         public static void main(String[] args) {
145             String a="88888 onmouseover=prompt(42873) bad=";
146             String b=".*onmouseover.*";
147             System.out.println(a.matches(b));
148             
149             
150         }
151 }

防止web端腳本攻擊的過濾器(可過濾大部分腳本攻擊)

相關推薦

防止web攻擊過濾器過濾大部分攻擊

bool 輸入 後臺 getmethod else 重復 servlet inpu pre 在後臺進行攻擊攔截是必要的,下面是我所使用的防止web端腳本攻擊的過濾器工具。 1.配置文件: 1 <!-- 請求攔截 --> 2 <mvc:intercepto

Django如何在啟動服務時自動運行設置定時運行

imp 裝飾 AR 自動運行 即使 模塊 urls.py文件 步驟 sta   Django搭建的服務器一般都用作WEB網站進行訪問,通常的形式是用戶訪問網站或點擊按鈕發送請求,Django檢測到請求後進行相應的試圖函數處理後返回頁面給用戶。   但是,我們有時會需要有一些

php 在web來播放amr語音如微信語音

說下整體思路 1、伺服器安裝ffmpeg 2、使用ffmpeg -i 指令來轉換amr為mp3格式(這個到時候寫在php程式碼中,使用system函式執行即可) 3、在網頁端使用html5的audio標籤來播放mp3檔案 下面是操作細節: 一、伺服器安裝ff

web 過濾器jsp+cookie+filter免登陸Tomcat使用記錄

注意:過濾器主要過濾request,response裡面的值。 *web.xml---- *登入action新增cookie------- *filter過濾器獲取cookie------ (不用從新輸入使用者名稱,密碼,直接讀取cookie通過查詢資料庫,獲取User 

【全網最高?】中綴表達式轉為後綴表達式以及求值用於負數,階乘

long pac pri rep += arch truct sin 必須 代碼裏有註釋。。。直接上代碼。。。 #include<bits/stdc++.h> #define rep(i,k,n) for(int i=k;i<=n;i++) #define

Web滲透測試3個要點資訊收集→漏洞發現→漏洞利用

現在,隨著企業資訊化建設的開展,越來越多的重要資料會以電子媒介的形式存放,這在方便企業辦公的同時,也造成了極大的安全隱患。近年來,隨著APT攻擊的蔓延,使得越來越多的企業遭受不可挽回的重大損失。一個偶然的機會,有幸邀請到了一家國外專門做web安全的公司來對自己的web系統做安全測試。4周下來,我與幾位安全專家

中秋福利 | 10技術圖書程式語言、資料分析等免費送

中秋將至,技術宅們有福利了,網易雲社群聯合博文視點為大家送來一大波技術圖書,內容涉及Kubernetes、Go語言、OpenResty、Python程式設計、Spark SQL、PyTorch等,話不多說,“十仁”乾貨陪你過中秋。參與規則:在知乎帖子評論回覆以下你最想看的一本

從零開始搭建django前後分離專案 系列五實戰之excel流式匯出

專案中有一處功能需求是:需要在歷史資料查詢頁面進行查詢欄位的選擇,然後由後臺資料庫動態生成對應的excel表格並下載到本地。 如果檔案較小,解決辦法是先將要傳送的內容全生成在記憶體中,然後再一次性傳入Response物件中; 如果檔案較大時,我們可以考慮向HttpResponse傳遞一個迭代器,流式的向客

hash雜湊長度擴充套件攻擊解析記錄一下,保證不忘

                起因這是 ISCC 上的一道題目,抄 PCTF 的,並且給予了簡化。在利用簡化過的方式通過後,突然想起利用雜湊長度擴充套件攻擊來進行通關。雜湊長度擴充套件攻擊是一個很有意思的東西,利用了 md5、sha1 等加密演算法的缺陷,可以在不知道原始金鑰的情況下來進行計算出一個對應的

web安全手工測試---瀏覽器使用實驗原理及思路更重要

1、火狐瀏覽器禁用JS:開啟火狐--->about:config--->javascript.enabled--->切換成false; 2、兩個例子 3、黑掉網站思路:發現漏洞、驗證漏洞、利用漏洞、獲取許可權            保護網站:發現漏洞、

Web前端第一階段筆記總結2018-8-14-2018-8-23

【學習內容,目標】 理解什麼是web,什麼是前端,軟體架構分類,以及網站的分類 專案開發的流程(一個完整的專案,並不是一個人的頁面) 簡單使用PS中切片,裁剪,摳圖等功能 使用XMind梳理網站業務流程 使用Axure進行原型圖的設計,目的瞭解網頁的基本

[TJOI2013]攻擊裝置網路流,最小割

前言 網路流被hbx吊起來打 Solution 考慮一下這個走法是不是和象棋中馬的走法一模一樣(廢話) 那麼顯然我每一次移動是走三次,如果將棋盤二分圖染色一下,不就是每一次只能走到另一個顏色的嗎? 然後我們題目中求的是最多可以放置多少個裝置,不能夠攻擊,也就是一個裸的二分圖最小割? 直接最大流求一下做個

Servlet編碼過濾器Post和get方式都支援

package com.pdsu.filter; import java.io.IOException; import java.io.UnsupportedEncodingException; import javax.servlet.Filter; import j

c# web介面呼叫使用者控制元件包括前臺呼叫和後臺呼叫

1)web介面前臺程式碼 <%@ Page Language="C#" AutoEventWireup="true" CodeBehind="Default.aspx.cs" Inherits=

java獲取機ip排除虛擬機器等一些ip

網上一個比較普遍的說法是InetAddress.getLocalHost().getHostAddress() 似乎很簡單,但忽略了一個問題,即IP地址在現在的網路環境更加複雜了,比如有Lan,WIFI,藍芽熱點,虛擬機器網絡卡… 即存在很多的網路介面(

基於web的kafka監控工具KafkaOffsetMonitor內部js和css已經本地化

KafkaOffsetMonitor是不錯的kafka監控的web工具,官方提供的版本需要線上下載js和css,其中angulajs的下載不了,在不聯網的內部環境下不能正常使用,所以本人將其所有到的js和css單獨下載整到當前這個jar包中,下載在內部環境可以直接使用,請移

【APACHE MINA2.0開發之二】自定義實現SERVER/CLIENT的編解碼工廠自定義編碼與解碼器

在上一篇博文中已經簡單介紹過“過濾器”的概念,那麼在Mina 中的協議編解碼器通過過濾器 ProtocolCodecFilter 構造,這個過濾器的構造方法需 要一個 ProtocolCodecFactory,這從前面註冊 TextLineCodecFactory 的程式碼就可以看出來。 Protoc

textarea高度自適應設置最大高度

換行 hid fun utf-8 cti html logs type att <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8">

[Luogu 3919]【模板】持久化數組持久化線段樹/平衡樹

ins eset blog sta -s ctime it is put tex Description 如題,你需要維護這樣的一個長度為 N 的數組,支持如下幾種操作 在某個歷史版本上修改某一個位置上的值 訪問某個歷史版本上的某一位置的值 此外,每

持久化數組持久化線段樹/平衡樹

space print align left 版本號 此外 cnblogs include 輸出格式 題目背景 UPDATE : 最後一個點時間空間已經放大 標題即題意 有了可持久化數組,便可以實現很多衍生的可持久化功能(例如:可持久化並查集) 題目描述 如題,你需要維護