Filter 防Xss攻击
2016-01-12 10:53
447 查看
1、Xss认识
xss表示XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。2、示例
最近看项目时看到的web.xml有一个filter的配置:<filter> <span style="white-space:pre"> </span><filter-name>xssFilter</filter-name> <span style="white-space:pre"> </span><filter-class>com.extong.filter.XSSFilter</filter-class> </filter> <filter-mapping> <span style="white-space:pre"> </span><filter-name>xssFilter</filter-name> <span style="white-space:pre"> </span><url-pattern>/*</url-pattern> </filter-mapping>
对应的com.extong.filter.XSSFilter类:
public class XSSFilter implements Filter { @Override public void destroy() { // TODO Auto-generated method stub } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request); chain.doFilter(xssRequest, response); } @Override public void init(FilterConfig arg0) throws ServletException { // TODO Auto-generated method stub } }
网上查了些资料,总结如下:
通过doFilter方法可知该Filter的作用是防止XSS攻击,通过将request强转成XssHttpServletRequestWrapper,该类为request的一个包装器,将页面中的非法html片段中的字符进行全角转换,以达到其失效的目的。
包装器源码:
/** * <code>{@link XssHttpServletRequestWrapper}</code> * * TODO : document me * * @author Administrator */ public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest orgRequest = null; public XssHttpServletRequestWrapper(HttpServletRequest request) { super(request); orgRequest = request; } /** * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/> * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 */ @Override public String getParameter(String name) { String value = super.getParameter(xssEncode(name)); if (value != null) { value = xssEncode(value); } return value; } /** * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/> * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> * getHeaderNames 也可能需要覆盖 */ @Override public String getHeader(String name) { String value = super.getHeader(xssEncode(name)); if (value != null) { value = xssEncode(value); } return value; } /** * 将容易引起xss漏洞的半角字符直接替换成全角字符 * * @param s * @return */ private static String xssEncode(String s) { if (s == null || "".equals(s)) { return s; } StringBuilder sb = new StringBuilder(s.length() + 16); for (int i = 0; i < s.length(); i++) { char c = s.charAt(i); switch (c) { case '>': sb.append('>');//全角大于号 break; case '<': sb.append('<');//全角小于号 break; case '\'': sb.append('‘');//全角单引号 break; case '\"': sb.append('“');//全角双引号 break; case '&': sb.append('&');//全角 break; case '\\': sb.append('\');//全角斜线 break; case '#': sb.append('#');//全角井号 break; default: sb.append(c); break; } } return sb.toString(); } /** * 获取最原始的request * * @return */ public HttpServletRequest getOrgRequest() { return orgRequest; } /** * 获取最原始的request的静态方法 * * @return */ public static HttpServletRequest getOrgRequest(HttpServletRequest req) { if (req instanceof XssHttpServletRequestWrapper) { return ((XssHttpServletRequestWrapper) req).getOrgRequest(); } return req; } }
有关XSS攻击演示可见:/article/1514730.html
相关文章推荐
- Burp Suite使用介绍——Proxy功能(六)
- WIN10 64bit python2.7 安装 numpy scipy matplotlib
- jQuery升级踩坑大全
- 深入java虚拟机(二)——类的生命周期(上)类的加载和连接
- 热血沙城-3.2移植-古月-cocos2dx源码
- scp复制文件
- 微信各种号的关系
- 高精度加法
- osg示例程序解析1----osganimate
- 服务器标记的格式不正确
- 深入理解require与require_once与include以及include_once的区别
- PowerDesigner 修改 MySQL数据库的 Table或DataBase的 ENGINE类型 为InnoDB 或 ISAM 等
- 模拟监控和真实用户体验监测,选哪个?
- OD-条件断点、条件记录断点
- Java中事务的处理
- Android中Parcelable接口用法
- 如何解决通过VNC远程登陆服务器,终端中Tab键自动补全的问题
- 服务器标记的格式不正确
- ActionBar点击弹出下拉框操作
- ASP.NET文件上传大小限制