吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3308|回复: 9
收起左侧

[Java 转载] Java程序抵御xss攻击

  [复制链接]
逸帅 发表于 2021-7-4 20:24
本帖最后由 逸帅 于 2021-7-4 20:26 编辑

Java程序抵御xss攻击

原理:将前端请求的所有数据,进行转义后再存入数据库

1.导入hutool-all包

<!--    数据转义,防止xss攻击-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.7.2</version>
        </dependency>

2.配置XssHttpServletRequestWrapper

/**
 * @description 对request请求的数据进行转义,防止xss攻击
 * @create 2021/7/4 10:05 上午
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 重写getParameter方法,用HtmlUtil转义后再返回
     */
    @Override
    public String getParameter(String name) {
        String value= super.getParameter(name);
        if(!StrUtil.hasEmpty(value)){
            value=HtmlUtil.filter(value);
        }
        return value;
    }

    /**
     * 重写getParameterValues方法,
     * 遍历每一个值,用HtmlUtil转义后再返回
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values= super.getParameterValues(name);
        if(values!=null){
            for (int i=0;i<values.length;i++){
                String value=values[i];
                if(!StrUtil.hasEmpty(value)){
                    value=HtmlUtil.filter(value);
                }
                values[i]=value;
            }
        }
        return values;
    }

    /**
     * 重写getParameterMap方法,
     * 拿到所有的k-v键值对,用LinkedHashMap接收,
     * key不变,value用HtmlUtil转义后再返回
     */
    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map=new LinkedHashMap();
        if(parameters!=null){
            for (String key:parameters.keySet()){
                String[] values=parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.filter(value);
                    }
                    values[i] = value;
                }
                map.put(key,values);
            }
        }
        return map;
    }

    /**
     * 重写getHeader方法,用HtmlUtil转义后再返回
     */
    @Override
    public String getHeader(String name) {
        String value= super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        /**
         * 拿到数据流,通过StringBuffer拼接,
         * 读取到line上,用StringBuffer是因为会有多个线程同时请求,要保证线程的安全
         */
        InputStream in= super.getInputStream();
        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer=new BufferedReader(reader);
        StringBuffer body=new StringBuffer();
        String line=buffer.readLine();
        while(line!=null){
            body.append(line);
            line=buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();

        /**
         * 将拿到的map,转移后存到另一个map中
         */
        Map<String,Object> map=JSONUtil.parseObj(body.toString());
        Map<String,Object> result=new LinkedHashMap<>();
        for(String key:map.keySet()){
            Object val=map.get(key);
            if(val instanceof String){
                if(!StrUtil.hasEmpty(val.toString())){
                    result.put(key,HtmlUtil.filter(val.toString()));
                }
            }else {
                result.put(key,val);
            }
        }
        String json=JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());
        //匿名内部类,只需要重写read方法,把转义后的值,创建成ServletInputStream对象
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
    }
}

3.配置XssFilter


/**
 * 拦截所有的请求,对所有请求转义
 */
@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    /**
     * 将获取到的数据,进行转义后再放行
     * @Param servletRequest 请求
     * @param servletResponse 响应
     * @param filterChain 拦截链
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request= (HttpServletRequest) servletRequest;
        XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);
        filterChain.doFilter(wrapper,servletResponse);
    }

    @Override
    public void destroy() {

    }
}

免费评分

参与人数 5吾爱币 +11 热心值 +5 收起 理由
wang145696 + 1 + 1 学习了
eoven8 + 1 + 1 用心讨论,共获提升!
woyucheng + 1 + 1 谢谢@Thanks!
Lucifer_BW + 1 + 1 热心回复!
苏紫方璇 + 7 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

key_user 发表于 2021-7-4 21:35
既然上了生活的贼船,就得做个快乐的小海盗
myb666 发表于 2021-7-5 09:10
52896009 发表于 2021-7-5 09:21
timeless646 发表于 2021-7-5 10:10
虽然写过很多次,但还是觉得很赞
 楼主| 逸帅 发表于 2021-7-5 11:53
key_user 发表于 2021-7-4 21:35
既然上了生活的贼船,就得做个快乐的小海盗

是的哈哈,既然都上贼船了,何不当个快乐的小海盗
1452079621 发表于 2021-9-17 09:04
Hutool这个工具类真心不错
wapjpmc 发表于 2021-9-20 16:34
还没用过hutool,感谢分享
qq15890517575 发表于 2021-9-30 08:26
hutool 学学
xmhz9527 发表于 2021-9-30 10:51
hutool 你值得拥有,欧也
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-25 11:58

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表