sql注入,XSS攻击可通过 继承HttpServletRequestWrapper重写request实现修改request请求

最新推荐文章于 2026-06-16 13:21:17 发布
原创 最新推荐文章于 2026-06-16 13:21:17 发布 · 1.3k 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#java
本文介绍了如何通过继承HttpServletRequestWrapper来重写request请求,以防御SQL注入和XSS攻击。首先,创建一个继承ServletRequestWrapper的类,接着实现过滤敏感内容的逻辑。然后,设置一个过滤器来应用这个自定义请求包装器。最后,在web.xml配置文件中配置该过滤器以拦截并处理所有请求。

首先创建一个类继承ServletRequestWrapper类,重写request请求

import java.io.StringReader;
import java.io.StringWriter;
import java.text.CharacterIterator;
import java.text.StringCharacterIterator;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import com.blogspot.radialmind.html.HTMLParser;
import com.blogspot.radialmind.xss.XSSFilter;

public class ServletRequestWrapper extends HttpServletRequestWrapper {

	HttpServletRequest orgRequest = null;
	private static String[] keywords ={"|","&",";","$","%","@","'","\'","\"","/>","<>","()","+","cr","lf","\\","ASCII",
			"../","./","*","=","char","sysopen","execute","exec","net user","/add"
			,"create","modify","union","join","select","insert", "update", "delete", "drop", "truncate"};
	public servletRequestWrapper(HttpServletRequest request) {
		super(request);
		orgRequest = request;
	}

	/**
	 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。
	 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
	 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
	 */
	@Override
	public String getParameter(String name) {
		String value = super.getParameter(xssEncode(name));
		if (value != null) {
				value = xssEncode(value);
				value = HTMLEncode(value);
				value=isSafe(value);//过滤sql注入字符
			}
		}
		return value;
	}
	
	
    /**
     * 过滤特殊字符
     * @param str
     * @return
     */
	private static String isSafe(String str) {

		if (null != str && str.length() > 0) {

			for (String s : keywords) {
				if (str.toLowerCase().contains(s)) {
					str=str.replaceAll(s,"");
				}
			}
		}
		return str;
	}
	
	
	/**
	 * 对一些特殊字符进行转义
	 * 
	 * 
	 */
	public static String HTMLEncode(String aText){
	     final StringBuilder result = new StringBuilder();
	     final StringCharacterIterator iterator = new StringCharacterIterator(aText);
	     char character =  iterator.current();
	     while (character != CharacterIterator.DONE ){
	       if (character == '<') {
	         result.append("&lt;");
	       }else if (character == '>') {
	         result.append("&gt;");
	       }else if (character == '&') {
	         result.append("&amp;");
	      }else if (character == '\"') {
	         result.append("&quot;");
	       }else {
	         //the char is not a special one
	         //add it to the result as is
	         result.append(character);
	       }
	       character = iterator.next();
	     }
	     return result.toString();
	  }
	/**
	 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。 如果需要获得原始的值,则通过super.getHeaders(name)来获取
	 * getHeaderNames 也可能需要覆盖
	 */
	@Override
	public String getHeader(String name) {

		String value = super.getHeader(xssEncode(name));
		if (value != null) {
			value = xssEncode(value);
		}
		return value;
	}

	/**
	 * 将容易引起xss漏洞的半角字符直接替换成全角字符
	 * 
	 * @param s
	 * @return
	 */
	private static String xssEncode(String s) {

		if (s == null || s.isEmpty()) {
			return s;
		}

		StringReader reader = new StringReader(s);
		StringWriter writer = new StringWriter();
		try {
			HTMLParser.process(reader, writer, new XSSFilter(), true);

			String result = writer.toString();

			/*System.out.println("xssEncode-------------------------" + s + " = "
					+ result);*/

			return result;
		} catch (NullPointerException e) {
			return s;
		} catch (Exception ex) {
			ex.printStackTrace();
		}

		return null;

	}

	/**
	 * 获取最原始的request
	 * 
	 * @return
	 */
	public HttpServletRequest getOrgRequest() {
		return orgRequest;
	}

	/**
	 * 获取最原始的request的静态方法
	 * 
	 * @return
	 */
	public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
		if (req instanceof XssHttpServletRequestWrapperNew) {
			return ((XssHttpServletRequestWrapperNew) req).getOrgRequest();
		}

		return req;
	}
	
}

然后创建一个过滤器,过滤相关内容

import java.io.IOException;
import java.util.Enumeration;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * <code>{@link CharLimitFilter}</code>
 *
 * 拦截防止sql注入和XSS攻击
 *
 * @author zc
 */
public class XssFilter implements Filter {

    FilterConfig filterConfig = null;
    private static String[] excludePaths={""};// 不进行拦截的url,逗号隔开
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    public void destroy() {
        this.filterConfig = null;
    }

    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
    	HttpServletRequest httprequest = (HttpServletRequest) request;
		HttpServletResponse httpresponse = (HttpServletResponse) response;
    	 String requestUrl = httprequest.getRequestURI();//请求url
    	 
    	 if (excludeUrl(requestUrl)) {//放开不需要过滤的请求地址
    		 chain.doFilter(request, response);
    	 }else{
    		 chain.doFilter(new XssHttpServletRequestWrapperNew((HttpServletRequest) request), response);
    	 }

    }
  
    
private boolean excludeUrl(String url) {
		if (excludePaths != null && excludePaths.length > 0) {
			for (String path : excludePaths) {
				if (url.contains(path)) {
					return true;
				}
			}

		}
		return false;
	}


}

最后在web.xml里配置拦截器

  <!-- 特殊字符过滤start -->
  <filter>
	    <filter-name>XssSqlFilter</filter-name>
	    <filter-class>com.wondersgroup.falcon.filter.XssFilter</filter-class>
 	</filter>
	 <filter-mapping>
	    <filter-name>XssSqlFilter</filter-name>
	    <url-pattern>/*</url-pattern>
	 </filter-mapping>	
<!-- 特殊字符过滤end -->

 

XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
过滤器防止xss攻击
yizhousai0662的博客
09-01 1674
将参数中有关xss攻击的非法字符全部处理掉。
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取参数的方法进行重写,对参数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
XSS漏洞通过HttpServletRequestWrapper实现
热门推荐
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper中实现参数的修改,然后用Http...
七、抵御即跨站脚本(XSS攻击
weixin_39309918的博客
10-20 1986
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网 页,使用户加载并执行攻击者恶意制造的网页程序。攻击成功后,攻击 者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie。攻击最有效的办法就是对用户输入的数据进行转义,然后存储到数据库里面。例如用户在发帖或者注册的时候,在文本框中输入。的形式保存在浏览器上。如果黑客在这个网页发帖的时候,填写的。于是只要有人在这个网站上浏览黑客发的帖子,那么视图层渲染。,黑客依然可以轻松的冒充已经登陆的用户。
HttpServletRequestWrapper的使用场景总结
张紫娃的博客
01-16 1389
是中的一个类,作为的包装器(Decorator)实现。该类设计为)的一部分,允许开发人员通过包装现有的来定制或修改请求行为。比如:过滤或修改请求参数转换请求体数据添加或删除请求头信息实现请求级的安全控制,如防止 XSS(跨站脚本攻击)或 SQL 注入等安全风险修改请求URI或其他请求属性。
Java Web安全实战:SQL注入XSS攻击的深度防御指南
最新发布
weixin_30458043的博客
06-16 348
在Web应用开发中,数据安全是保障系统稳定与用户信任的基石。其核心原理在于正确处理用户输入与系统指令的边界,防止非预期代码的执行。从技术价值看,有效的安全防护不仅能避免数据泄露、服务中断等直接风险,更是构建可靠软件架构的重要组成部分。应用场景广泛覆盖用户认证、数据展示、API交互等关键环节。本文聚焦Java Web领域,深入探讨SQL注入XSS(跨站脚本攻击)这两大常见威胁,通过参数化查询、输出编码等工程实践,结合Spring Boot框架示例,系统讲解如何从代码层面构建纵深防御体系,为开发者提供可落地的
关于XSS过滤
lanisa的专栏
10-30 1850
XSS攻击绕过过滤方法大全(约100种) XSS攻击绕过过滤方法大全(约100种) - 付杰博客 解决办法: 1.增加前端过滤 可参考:https://www.cnblogs.com/caizhenbo/p/6836390.html 【前端安全】JavaScript防XSS攻击 xss前端过滤工具:https://cdn.bootcdn.net/ajax/libs/js-xss/0.3.3/xss.min.js 使用方法:https://www.cnblogs.com/fyjz/p/11905.
Spring MVC防御CSRF、XSSSQL注入攻击
weixin_34378767的博客
11-07 90
解决CSRF的办法:客户端向服务器提交请求时,服务器一定要校验口令。客户端指定页面要有服务器端提供的口令 本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRF 对CSRF来说,其实Spring3.1、ASP.NET MVC...
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 4886
Springboot配置XSS过滤器XssFilter
XssHttpServletRequestWrapper过滤器
零落的尘土
12-24 7293
XssHttpServletRequestWrapper过滤器 先定义需要过滤的变量如下: private static final String EVENTS = "((?i)onclick|oncontextmenu|ondblclick|onmousedown|onmouseenter|onmouseleave|" + "onmousemove|onmouse...
HttpServletRequestWrapper通过filter做XSS
小松鼠米老鼠
06-26 3662
XSS的具体解释这里不多说,XSS简单的防注入其实就是字符的替换和屏蔽。这就需要我们在服务器接受数据对数据进行处理。Filter能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。但是不能修改HttpServletRequest对象,我们可以用HttpServletRequestW...
web抵御XSS攻击
市民景先生
07-09 918
目录1.概念2.解决办法3.覆盖Http请求方法XSS:Cross Site Script ,为了区分css改写成xss,通过注入“HTML注入”,篡改了网页,插入了恶意脚本。等到用户加载的时候就会自动执行恶意脚本,如果在浏览器上执行javacript就可以盗取Cookie或者Token1).设置过滤器编写过滤器,拦截请求,把请求里面的数据进行转义2).覆盖Http请求方法在请求里面获取数据的时候,调用HttpServletRequest类中getParameter()方法和getParameterValu
后端抵御XSS攻击,使用继承HttpServletRequestWrapper,对request的内容进行转义
wuyang1115998756的博客
12-04 1792
java 转义 request请求内容 低于XSS工具(继承HttpServletRequestWrapper) 踩雷 org.springframework.http.converter.HttpMessageNotReadableException: JSON parse error。。。。。。。。。。。。。。。。。。。。。。。
在spring boot中防止xss攻击实现方案
程序员记事本
02-22 2661
【代码】在spring boot中防止xss攻击实现方案。
HttpServletRequestWrapper的使用与原理
li12412414的博客
05-08 4291
HttpServletRequestWrapper 实现了 HttpServletRequest 接口,可以让开发人员很方便的改造发送给 Servlet 的请求.HttpServletRequest 对参数值的获取实际调的是org.apache.catalina.connector.Request没有提供对应的set方法修改属性所以不能对前端传来的参数进行修改,实际场所像过滤xss攻击,取认证token统一去除token前缀等需要进行请求参数的处理。
SpringBoot防Xss攻击
weixin_48040732的博客
11-11 6319
这里记录一下怎么防止Xss攻击的代码,等以后有需要用到的话,自己直接使用即可。里面有对application/json数据格式和非application/json数据格式做Xss攻击处理。
xssJava编写filter实现防止XSS攻击
qq_37634156的博客
04-08 5901
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
Web系统安全问题整理(XSS攻击
ThisLX的博客
01-25 1075
Web系统安全问题整理(XSS攻击)1. XSS介绍2. XSS分类2.1 反射型XSS2.1 存储型XSS3. 安全测试工具4. 代码过滤XSS攻击4.1. XSSSecurityManager 安全过滤配置管理类4.2. XSSSecurityConfig 开关配置类4.3. XssHttpServletRequestWrapper 自定义XSS过滤wrapper4.4. XssFilter...
Xss漏洞拦截处理
pshaoyi的专栏
02-17 6909
描述 XSS(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 思路 基于filter拦截,将特殊字符替换为html转意字符 (如: "<" 转意为 "&lt;") , 需要拦截的点如下: 请求头.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值