jsp过滤非法字符输入 防止XSS跨站攻击
来源:互联网 发布:网络分层的理解 编辑:程序博客网 时间:2024/05/17 22:04
一。写一个过滤器
代码如下:
package com.liufeng.sys.filter;
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class IllegalCharacterFilter implements Filter {
private String[] characterParams = null;
private boolean OK=true;
public void destroy() {
// TODO Auto-generated method stub
}
/**
* 此程序块主要用来解决参数带非法字符等过滤功能
*/
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain arg2) throws IOException, ServletException {
HttpServletRequest servletrequest = (HttpServletRequest) request;
HttpServletResponse servletresponse = (HttpServletResponse) response;
boolean status = false;
java.util.Enumeration params = request.getParameterNames();
String param="";
String paramValue = "";
servletresponse.setContentType("text/html");
servletresponse.setCharacterEncoding("utf-8");
while (params.hasMoreElements()) {
param = (String) params.nextElement();
String[] values = request.getParameterValues(param);
paramValue = "";
if(OK){//过滤字符串为0个时 不对字符过滤
for (int i = 0; i < values.length; i++)
paramValue=paramValue+values[i];
for(int i=0;i<characterParams.length;i++)
if (paramValue.indexOf(characterParams[i]) >= 0) {
status = true;
break; www.2cto.com
}
if(status)break;
}
}
// System.out.println(param+"="+paramValue+";");
if (status) {
PrintWriter out = servletresponse.getWriter();
out
.print("<script language='javascript'>alert(\"对不起!您输入内容含有非法字符。如:\\\"'\\\".等\");"
// + servletrequest.getRequestURL()
+ "window.history.go(-1);</script>");
}else
arg2.doFilter(request, response);
}
public void init(FilterConfig config) throws ServletException {
if(config.getInitParameter("characterParams").length()<1)
OK=false;
else
this.characterParams = config.getInitParameter("characterParams").split(",");
}
}
二。在web.xml文件中加入如下内容:
<!-- 非法字符过滤器 -->
<filter>
<filter-name>IllegalCharacterFilter</filter-name>
<filter-class>
com.liufeng.sys.filter.IllegalCharacterFilter
</filter-class>
<init-param>
<param-name>characterParams</param-name>
<param-value>',@</param-value><!-- 此处加入要过滤的字符或字符串,以逗号隔开 -->
</init-param>
</filter>
<filter-mapping>
<filter-name>IllegalCharacterFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
重启你的服务器就OK了。
这样,增加此过滤器后能提高网站的安全,防止SQL注入,防止跨站脚本XSS等。
转载 :http://www.2cto.com/article/201212/174976.html
0 0
- jsp过滤非法字符输入,防止XSS跨站攻击
- jsp过滤非法字符输入,防止XSS跨站攻击
- jsp过滤非法字符输入 防止XSS跨站攻击
- java过滤请求参数中的非法字符,防止XSS攻击、SQL盲注等
- 过滤非法字符,防止注入式攻击等
- 过滤非法字符,防止注入式攻击等
- 过滤非法字符,防止注入式攻击等
- HTMLPurifier laravel 过滤输入文本防止XSS攻击安装使用
- 防止XSS攻击,过滤代码
- jsp中防止xss攻击
- 过滤XSS(跨站脚本攻击)的函数和防止svn版本库被浏览
- 防止XSS攻击过滤工具类
- php 过滤数据内容,防止XSS攻击
- php:输入值/表单提交参数过滤,防止sql注入或非法攻击的方法
- 使用HTMLPurifier防止跨站攻击(XSS)
- HTMLPurifier防止跨站攻击(XSS)
- 使用HTMLPurifier防止跨站攻击(XSS)
- 使用HTMLPurifier防止跨站攻击(XSS)
- 高性能mysql第三版基础知识和基本优化总结
- Meshlab的基本使用
- Java JVM 运行机制及基本原理
- 矩阵快速幂优化的动态规划
- Selenium定位带输入框的下拉框
- jsp过滤非法字符输入 防止XSS跨站攻击
- poj2096——概率DP
- 如何有效制定企业信息化发展规划?
- 做移动APP开发,必需清楚这20个问题
- keil MDK if表达式优化问题
- alibaba fastjson(json序列化器)序列化部分源码解析- Java综合
- java中JVM的原理
- bzoj4321: queue2
- 我的编程经历与我所热爱的游戏服务端开发