Spring 防御CSRF、XSS和SQL注入攻击
来源:互联网 发布:淘宝pc端在哪里 编辑:程序博客网 时间:2024/04/29 11:47
对每个post请求的参数过滤一些关键字,替换成安全的,例如:< > ' " \ / # &
方法是实现一个自定义的HttpServletRequestWrapper,然后在Filter里面调用它,替换掉getParameter函数即可。
首先添加一个XssHttpServletRequestWrapper:
package com.ibm.web.beans;import java.util.Enumeration;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletRequestWrapper;public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) { super(servletRequest); } public String[] getParameterValues(String parameter) { String[] values = super.getParameterValues(parameter); if (values==null) { return null; } int count = values.length; String[] encodedValues = new String[count]; for (int i = 0; i < count; i++) { encodedValues[i] = cleanXSS(values[i]); } return encodedValues; } public String getParameter(String parameter) { String value = super.getParameter(parameter); if (value == null) { return null; } return cleanXSS(value); } public String getHeader(String name) { String value = super.getHeader(name); if (value == null) return null; return cleanXSS(value); } private String cleanXSS(String value) { //这里特意 加多个空格.... 方便 csdn显示 ,如 < ==> & lt; value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;"); value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;"); value = value.replaceAll("'", "& #39;"); value = value.replaceAll("eval\\((.*)\\)", ""); value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\""); value = value.replaceAll("script", ""); return value; }}
然后添加一个过滤器XssFilter :
最后在web.xml里面配置一下,所有的请求的getParameter会被替换,如果参数里面 含有敏感词会被替换掉:
<filter> <filter-name>XssSqlFilter</filter-name> <filter-class>com.ibm.web.beans.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssSqlFilter</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping>
0 0
- Spring MVC防御CSRF、XSS和SQL注入攻击
- Spring MVC防御CSRF、XSS和SQL注入攻击
- Spring MVC防御CSRF、XSS和SQL注入攻击
- Spring 防御CSRF、XSS和SQL注入攻击
- Spring MVC防御CSRF、XSS和SQL注入攻击 一
- Spring MVC防御CSRF、XSS和SQL注入攻击
- Spring MVC防御CSRF、XSS和SQL注入攻击
- Spring MVC防御CSRF、XSS和SQL注入攻击
- 网站安全 Spring MVC防御CSRF、XSS和SQL注入攻击
- 网站安全 Spring MVC防御CSRF、XSS和SQL注入攻击
- 每日一得--sql注入、xss攻击、csrf攻击防御
- 浅析:XSS攻击、SQL注入攻击和CSRF攻击
- 详解SQL 注入、XSS 攻击、CSRF 攻击
- SQL 注入、XSS 攻击、CSRF 攻击
- 浅析XSS和CSRF攻击及防御
- Spring MVC防御CSRF和XSS
- Spring MVC防御CSRF和XSS
- Spring MVC防御CSRF和XSS
- 微信H5时间倒计时
- 几种线程池的使用和区别
- js时间日期相加减
- Android 自定义View合集
- vsftp服务器,遇到匿名访问时提示需要输入用户名和密码的问题解决
- Spring 防御CSRF、XSS和SQL注入攻击
- matplotlib初探
- openlayers查询sfs发布服务
- vi的visual模式
- fastJson API 最快的Json和对象转换工具
- vim替换^m字符
- 个人承接微信H5制作设计,需要的联系我
- Ubuntu下的vim编辑器中汉字(中文)乱码解决方法
- sqlserver服务器未指定错误的解决