2. 程式人生 > >防止常見XSS 過濾 SQL注入 JAVA過濾器filter

防止常見XSS 過濾 SQL注入 JAVA過濾器filter

阿新 發佈:2019-01-08

XSS : 跨站指令碼攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS。惡意攻擊者往Web頁面裡插入惡意html程式碼,當用戶瀏覽該頁之時,嵌入其中Web裡面的html程式碼會被執行,從而達到惡意攻擊使用者的特殊目的。

sql注入
所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令。具體來說,它是利用現有應用程式,將(惡意)的SQL命令注入到後臺資料庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網站上的資料庫,而不是按照設計者意圖去執行SQL語句。

1、首先配置web.xml,新增如下配置資訊:

<!-- 解決xss & sql漏洞 -->
<filter>
	<filter-name>xssAndSqlFilter</filter-name>
	<filter-class>com.cup.cms.web.framework.filter.XssAndSqlFilter</filter-class>
</filter>
<!-- 解決xss & sql漏洞 -->
<filter-mapping>
	<filter-name>xssAndSqlFilter</filter-name>
	<url-pattern>*</url-pattern>
</filter-mapping>
2、編寫過濾器 
/**
 * 
 */
package com.cup.cms.web.framework.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * @Author hithedy
 * @Date 2016年2月2日
 * @Time 下午2:01:53
 */
public class XssAndSqlFilter implements Filter {

	@Override
	public void destroy() {
		// TODO Auto-generated method stub

	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		XssAndSqlHttpServletRequestWrapper xssRequest = new XssAndSqlHttpServletRequestWrapper((HttpServletRequest) request);
		chain.doFilter(xssRequest, response);
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub

	}

}
3、包裝器 
/**
 * 
 */
package com.cup.cms.web.framework.filter;

import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * @Author hithedy
 * @Date 2016年2月2日
 * @Time 下午2:03:19
 */
public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {
	
	HttpServletRequest orgRequest = null;
	
	public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {
		super(request);
		orgRequest = request;
	}

	/**
	 * 覆蓋getParameter方法,將引數名和引數值都做xss & sql過濾。<br/>
	 * 如果需要獲得原始的值,則通過super.getParameterValues(name)來獲取<br/>
	 * getParameterNames,getParameterValues和getParameterMap也可能需要覆蓋
	 */
	@Override
	public String getParameter(String name) {
		String value = super.getParameter(xssEncode(name));
		if (value != null) {
			value = xssEncode(value);
		}
		return value;
	}

	/**
	 * 覆蓋getHeader方法,將引數名和引數值都做xss & sql過濾。<br/>
	 * 如果需要獲得原始的值,則通過super.getHeaders(name)來獲取<br/>
	 * getHeaderNames 也可能需要覆蓋
	 */
	@Override
	public String getHeader(String name) {

		String value = super.getHeader(xssEncode(name));
		if (value != null) {
			value = xssEncode(value);
		}
		return value;
	}

	/**
	 * 將容易引起xss & sql漏洞的半形字元直接替換成全形字元
	 * 
	 * @param s
	 * @return
	 */
	private static String xssEncode(String s) {
		if (s == null || s.isEmpty()) {
			return s;
		}else{
			s = stripXSSAndSql(s);
		}
		StringBuilder sb = new StringBuilder(s.length() + 16);
		for (int i = 0; i < s.length(); i++) {
			char c = s.charAt(i);
			switch (c) {
			case '>':
				sb.append(">");// 轉義大於號
				break;
			case '<':
				sb.append("<");// 轉義小於號
				break;
			case '\'':
				sb.append("'");// 轉義單引號
				break;
			case '\"':
				sb.append(""");// 轉義雙引號
				break;
			case '&':
				sb.append("&");// 轉義&
				break;
			case '#':
				sb.append("#");// 轉義#
				break;
			default:
				sb.append(c);
				break;
			}
		}
		return sb.toString();
	}

	/**
	 * 獲取最原始的request
	 * 
	 * @return
	 */
	public HttpServletRequest getOrgRequest() {
		return orgRequest;
	}

	/**
	 * 獲取最原始的request的靜態方法
	 * 
	 * @return
	 */
	public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
		if (req instanceof XssAndSqlHttpServletRequestWrapper) {
			return ((XssAndSqlHttpServletRequestWrapper) req).getOrgRequest();
		}

		return req;
	}

	/**
	 * 
	 * 防止xss跨指令碼攻擊(替換,根據實際情況調整)
	 */

	public static String stripXSSAndSql(String value) {
		if (value != null) {
			// NOTE: It's highly recommended to use the ESAPI library and
			// uncomment the following line to
			// avoid encoded attacks.
			// value = ESAPI.encoder().canonicalize(value);
			// Avoid null characters
/**			value = value.replaceAll("", "");***/
			// Avoid anything between script tags
			Pattern scriptPattern = Pattern.compile("<[\r\n| | ]*script[\r\n| | ]*>(.*?)</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
			// Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e-xpression
			scriptPattern = Pattern.compile("src[\r\n| | ]*=[\r\n| | ]*[\\\"|\\\'](.*?)[\\\"|\\\']", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
			// Remove any lonesome </script> tag
			scriptPattern = Pattern.compile("</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
			// Remove any lonesome <script ...> tag
			scriptPattern = Pattern.compile("<[\r\n| | ]*script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
			// Avoid eval(...) expressions
			scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
			// Avoid e-xpression(...) expressions
			scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
			// Avoid javascript:... expressions
			scriptPattern = Pattern.compile("javascript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
			// Avoid vbscript:... expressions
			scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
			// Avoid onload= expressions
			scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
		}
		return value;
	}

}
能夠防止常見的XSS和SQL注入。



相關推薦

防止常見XSS 過濾 SQL注入 JAVA過濾器filter

XSS : 跨站指令碼攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS。惡意攻擊者往Web頁面裡插入惡意html程式碼,當用戶瀏覽該頁之時,嵌入其中Web裡

使用過濾器防止簡單的頁面SQL注入

在之前寫的一個群博系統中,在上線一段時間後,被自己人發現了一個天大的漏洞——SQL注入,自己也是第一次遇到,真是難以置信,後來看到這樣一篇文章:java類過濾器,防止頁面SQL注入。自己修改了一下,可以解決一般的SQL注入了(最起碼使用sqlmap這種工具沒有造

PHP防止xsssql語句注入攻擊的方法(網站和app通用)

傳過來的引數 如果是整數型別 那就直接用intval函式轉化為整數 字串 那就要用函數了 注意輸入的內容htmlspecialchars過濾程式碼如下 // Anti_SQL Injection, escape quotes function filter($content

XSSSQl注入與防範

XSS攻擊全稱跨站指令碼攻擊(cross-site scripting ),是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS,XSS是一種在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使

Web攻防之XSS,CSRF,SQL注入

 copy to:https://www.cnblogs.com/drawwindows/archive/2013/03/11/2954259.html   摘要:對Web伺服器的攻擊也可以說是形形色色、種類繁多,常見的有掛馬、SQL注入、緩衝區溢位、嗅探、利用IIS等針對Webser

安全防禦之防xssSQL注入、與CSRF攻擊

XSS攻擊 個人理解,專案中最普通的就是通過輸入框表單,提交js程式碼,進行攻擊例如在輸入框中提交 <script>alert("我是xss攻擊");</script>,如果沒有防御措施的話,就會在表單提交之後,彈出彈窗 防禦措施,目前我主要是用一個過濾器,將特殊字元進行轉

Web常見安全漏洞-SQL注入

    SQL注入攻擊(SQL Injection),簡稱注入攻擊,是Web開發中最常見的一種安全漏洞。 可以用它來從資料庫獲取敏感資訊,或者利用資料庫的特性執行新增使用者,匯出檔案等一系列惡意操作, 甚至有可能獲取資料庫乃至系統使用者最高許可權。 而造成SQL注入的原

Spring 防禦CSRF、XSSSQL注入攻擊

對每個post請求的引數過濾一些關鍵字,替換成安全的,例如:< > ' " \ /  # & 方法是實現一個自定義的HttpServletRequestWrapper,然後在Filter裡面呼叫它,替換掉getParameter函式即可。 首先新增一個X

Spring MVC防禦CSRF、XSSSQL注入攻擊

說說CSRF 對CSRF來說,其實Spring3.1、ASP.NET MVC3、Rails、Django等都已經支援自動在涉及POST的地方新增Token(包括FORM表單和AJAX POST等),似乎是一個tag的事情,但如果瞭解一些實現原理,手工來處理,也是有好處的。因為其實很多人做web開

Web安全之XSSSQL注入

一、 前言 近幾年,伴隨網際網路的高速發展,對Web安全問題的重視也越來越高。Web應用所面臨的威脅來自很多方面,其中黑客的破壞是影響最大的,黑客利用Web應用程式存在的漏洞進行非法入侵,從而破壞Web應用服務,盜取使用者資料等,如何防範漏洞帶來的安全威脅是一

安全測試-- 告訴你什麼是XSSsql注入?POST和GET的區別

1、使用者許可權測試   (1) 使用者許可權控制   1) 使用者許可權控制主要是對一些有許可權控制的功能進行驗證   2) 使用者A才能進行的操作,B是否能夠進行操作(可通過竄session,將在下面介紹)   3)只能有A條件的使用者才能檢視的頁面,是否B能夠檢視(可

配置攔截器防xsssql注入

1. web.xml配置攔截器 自定義一個實現了Filter介面的類XssAndSqlFilter。這個類用來實現具體的引數替換邏輯。 <!-- 防XSS和sql注入漏洞 開始 --> <filter>

【白帽子講web安全】關於XSS,CSRF,SQL注入

1.XSS 分類:      1.反射型:給使用者傳送頁面或者連結,讓使用者點選來進行攻擊      2.儲存型:把攻擊存放在服務端,可能造成傳播(比如部落格系統,每個訪問該頁面的人都有可能被攻擊),主動性更強      3.DOM型:本質上是反射型,但是是通過使用者點

xss,csrf,SQL注入

一、Xss 1、定義:跨站腳步攻擊,過濾使用者表單提交的資料 2、防範措施:        a.使用PHP內建函式:htmlspecialchars(),strip_tags,trim,addslashes。         b.PHP所有列印的語句如echo,p

管中窺豹——框架下的SQL注入 Java

管中窺豹——框架下的SQL注入 Java篇 背景 SQL注入漏洞應該算是很有年代感的漏洞了,但是現在依然活躍在各大漏洞榜單中,究其原因還是資料和程式碼的問題。 SQL 語句在DBMS系統中作為表示式被解析,從儲存的內容中取出相應的資料, 而在應用系統中只能作為資料進行處理。 各個資料庫系統都或多或少的對標

Java過濾器Filter的原理及配置_學習筆記

ava .cn -1 求和 pattern 資源 分享 java過濾器 服務器 Filter中文意思為過濾器。顧名思義,過濾器可在瀏覽器以及目標資源之間起到一個過濾的作用。例如:水凈化器,可以看成是生活中的一個過濾器,他可以將汙水中的雜質過濾,從而使進入的汙水變成凈水。 對

java過濾器Filter筆記

意義 執行 cut rup 過濾器 sch www 內容 map 一、Filter簡介  Filter也稱之為過濾器,它是Servlet技術中最激動人心的技術之一,WEB開發人員通過Filter技術,對web服務器管理的所有web資源:例如Jsp,Servlet, 靜態圖片

Java過濾器Filter使用詳解(轉載自別人的文章,感覺很不錯,適合我這樣的小白)

Java過濾器Filter使用詳解    轉載請註明原文地址:http://www.cnblogs.com/ygj0930/p/6374212.html  在我的專案中有具體應用:https://github.com/ygj0930/CoupleSpace

java 過濾器(Filter)

java過濾器有很多用處比如:一些需要過濾器的情況:      (1)認證Filter     (2)日誌和稽核Filter     (3)圖片轉換Filter &nbs

Java過濾器Filter詳解

一、過濾器的定義: 過濾器是處於客戶端與伺服器資原始檔之間的一道過濾網,在訪問資原始檔之前,通過一系列的過濾器對請求進行修改、判斷等,把不符合規則的請求在中途攔截或修改。也可以對響應進行過濾,攔截或修改響應。 如圖,瀏覽器發出的請求先遞交給第一個filter進行過濾,符合規則則放行