2. 程式人生 > >三十四、SpringBoot自定義過濾器

三十四、SpringBoot自定義過濾器

阿新 發佈:2018-11-29
  • XSS

跨站指令碼工具(cross 斯特scripting),為不和層疊樣式表(cascading style sheets,CSS)的縮寫混淆,
故將跨站指令碼攻擊縮寫為XSS。惡意攻擊者往web頁面裡插入惡意ScriptScript程式碼,當用戶瀏覽該頁之時,
嵌入其中Web裡面的Script程式碼會被執行,從而達到惡意攻擊使用者的目的。防止XSS攻擊簡單的預防就是對Request
請求中的一些引數去掉一些比較敏感的指令碼命令。

原本是打算通過SpringMVC的HandlerInterceptor機制來實現的,通過獲取request然後對request中的引數
進行修改,結果雖然值修改了,但在Controller中獲取的數值還是沒有修改的。沒辦法就是要Filter來完成。
簡單來說就是建立一個新的HttpRequest類XssHttpServletRequestWrapper,然後重寫一些get方法(獲取
引數時對引數進行XSS判斷預防)。

-流程梳理

包裝request->建立過濾器->新增過濾器

  1. 建立包裝request的類 XssHttpServletRequestWrapper
package cn.lyhxh.config;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;

/**
 * Created by Ran Han on 2017/12/22.
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values==null)  {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value != null) {
            return cleanXSS(value);
        }
        return null;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null)
            return null;
        return cleanXSS(value);
    }

    private static String cleanXSS(String value) {
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("%3C", "&lt;").replaceAll("%3E", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("%28", "&#40;").replaceAll("%29", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream bais = new ByteArrayInputStream(inputHandlers(super.getInputStream ()).getBytes ());

        return new ServletInputStream() {

            @Override
            public int read() throws IOException {
                return bais.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) { }
        };
    }

    public   String inputHandlers(ServletInputStream servletInputStream){
        StringBuilder sb = new StringBuilder();
        BufferedReader reader = null;
        try {
            reader = new BufferedReader(new InputStreamReader(servletInputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (servletInputStream != null) {
                try {
                    servletInputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        return  cleanXSS(sb.toString ());
    }

}

注意:
getInputStream()方法的流處理,註解方式獲取資料貌似是根據這個流取得的資料。
因為super.getInputStream()流只允許讀取一次,所以在getInputStream()方法中
處理完流資料後返回了一個新的ServletInputStream。另外替換方法裡的替換規則,
也可以根據實際業務需要進行調整。

  1. 建立過濾器 MyXssFilter
package cn.lyhxh.config;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 *  * 使用註解標註過濾器
 * @WebFilter將一個實現了javax.servlet.Filter介面的類定義為過濾器
 * 屬性filterName宣告過濾器的名稱,可選
 * 屬性urlPatterns指定要過濾 的URL模式,也可使用屬性value來宣告.(指定要過濾的URL模式是必選屬性)
 * Created by Ran Han on 2017/12/19.
 */
@WebFilter(filterName="myXssFilter", urlPatterns="/*")
public class MyXssFilter implements Filter {

    FilterConfig filterConfig = null;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("過濾器初始化");
        this.filterConfig = filterConfig;
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("執行過濾操作");

        filterChain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest)servletRequest), servletResponse);
    }

    @Override
    public void destroy() {
        System.out.println("過濾器銷燬");
        this.filterConfig = null;
    }

}

  1. 新增過濾器

    • 方式1(使用註解)

      • 在程式入口添加註解 @ServletComponentScan
      • 在過濾器上添加註解 @WebFilter(filterName="myXssFilter", urlPatterns="/*")

    • 方式2(使用Java Bean)

    public class WebInitializer implements WebApplicationInitializer {
    @Override
    public void onStartup(ServletContext servletContext) throws ServletException {
        servletContext.addListener(RequestContextListener.class);

        FilterRegistration.Dynamic XssfilterRegistration = servletContext.addFilter("XssSqlFilter",XssFilter.class);
        XssfilterRegistration.addMappingForUrlPatterns(EnumSet.of(
                DispatcherType.REQUEST, DispatcherType.FORWARD, DispatcherType.INCLUDE), false, "/*");

    }
}

    由於前面提到的本專案採用的是注入方式,雖然是web專案但並沒有web.xml檔案所以新增過濾器是實現了WebApplicationInitializer類的方法onStartup(),當然也可以新增攔截器。
     

相關推薦

SpringBoot定義過濾器

XSS 跨站指令碼工具(cross 斯特scripting),為不和層疊樣式表(cascading style sheets,CSS)的縮寫混淆, 故將跨站指令碼攻擊縮寫為XSS。惡意攻擊者往web頁面裡插入惡意ScriptScript程式碼,當用戶瀏覽該頁之時, 嵌入其中We

Springboot 自動裝配

(一)自動裝配介紹   在以前的Spring中,我們需要使用一個依賴,比如(Druid),那麼我們在引入這個依賴以後,還需要在XML配置檔案中配置一大堆類及其屬性。但是在Springboot中,我們只需要在application.yml中定義一些屬性就可以實現

【Android Studio安裝部署系列】將Eclipse項目導入到Android Studio中

png 規範 報錯 dsv 代碼 struct const 程序包 方法 版權聲明:本文為博主原創文章,未經博主允許不得轉載。 概述 我采用的是笨方法:新創建Android Studio項目,然後將Eclipse項目中的目錄一一復制到Android Studio項目中。

章 構建定義的同步工具

循環 信號 滿足 一段 定義 減少 我們 bject 再次 14.1 狀態依賴性管理    基於先檢查後執行的狀態依賴性操作在多線程下常常發生一些我們不希望的結果.因此有必要對狀態依賴操作進行管理, 構成前提條件的狀態變量必須有對象的鎖來保護,從而使他們在測試前提條

python學之Flask框架(六)資料庫:mysql資料庫及Flask-SQLAlchemy

一、資料庫知識回顧: 1.SQL:關係型資料庫,支援結構化查詢語言: 關係型資料庫:以表的形式儲存; 支援結構化查詢語言:SQL語句; 列數固定;行數可變,定義資料,主鍵、外來鍵,引用同表或不同表的主鍵,這種聯絡稱為關係. 2.關於正規化: 第一

ES6中箭頭函式的使用

1、單引數箭頭函式 ES6中允許使用“箭頭”(=>)定義函式: var f = v => v; 以上程式碼相當於: var f = function( v ) { return v; } “箭頭”(=>)後面是函式體,“箭頭”(=>

count查詢條數效能試驗

                     count查詢條數效能試驗 --

HDFS客戶端操作

                              HDFS客戶端操作 1、jar包準備 1)解壓hadoop-2.7.2.tar.gz(原始碼)到非中文目錄hadoop-2.7.2 2)建立_

SpringBoot之資料訪問整合MyBatis

pom.xml <!--引入mybatis--> <dependency> <groupId>org.myba

jquery練習 手機點餐demo

一、所用知識點: 1.jquery事件繫結方法: (1) bind():類似於js中事件的監聽方法;    語法:  $(selector).bind(event,data,function,map) selector:被選元素; event:新增

Springboot 配置

(一)配置的作用   Spring Boot 應用的外部配置資源,這些配置資源能夠與程式碼相互配合,避免硬編碼 方式,提供應用資料或行為變化的靈活性。 (二)型別 Properties 檔案 YAML 檔案 環境變數 Java 系統屬性 命令列 (三)載入順

《我學區塊鏈》—— 以太坊智慧合約靜態安全分析

三十四、以太坊智慧合約靜態安全分析        以太坊的智慧合約程式碼審計,筆者找到兩種方式:一是 CertiK,一個提供智慧合約安全服務的區塊鏈平臺,是一條公鏈系統,採用 PoP(proof-of-proof)共識機制,用來分析合約需要消耗該區塊鏈平臺的原生

SpringBoot定義過濾器filter

主要有兩種方式: 一、第一種 步驟:(1)先建立自定義filter   DefaultFilter 為本人建立的自定義過濾器。 public class DefaultFilter implements Filter{ private Logger logger

Linux 程序與訊號——訊號特點訊號集和訊號遮蔽函式

34.1 訊號特點 訊號的發生是隨機的,但訊號在何種條件下發生是可預測的 程序槓開始啟動時,所有訊號的處理方式要麼預設,要麼忽略;忽略是 SIGUSR1 和 SIGUSR2 兩個訊號,其他都採取預設方式(大多數是終止程序)。 程序在呼叫 exec 函式後,原有訊號的捕捉函式失效 子程序的誕

第二七章 SpringBoot定義Banner

在SpringBoot啟動時會有一個預設啟動圖案 . ____ _ __ _ _ /\\ / ___'_ __ _ _(_)_ __ __ _ \ \ \ \ ( ( )\___ | '_ | '_| |

第二九章 SpringBoot定義事件

SpringBoot自定義事件也是使用同樣的方式。 在需要釋出事件的地方載入ApplicationContext,然後進行事件釋出 package com.container.event; import org.springframework.bean

(六)SpringBoot 定義配置屬性,可以在application.properties中修改

可以前往第一篇部落格檢視目錄結構 --> 這裡一、自定義配置 (一些動態的資料:登入頁面地址 、接收資料格式等等)二、在core模組下建立properties目錄 : com.zeke.core.properties 。在properties目錄下建立SecurityP

SpringBoot定義過濾器

方法一1.新建一個TimeFilter類,public class TimeFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws Serv

Spring Boot教程:基於定義註解的AOP資料來源自動切換

上一篇文章講到了多資料來源的配置和手動切換,手動切換費時費力,下面我們改進一下,改成基於註解的AOP資料來源自動切換。 基礎知識不在贅述,直接上程式碼: public class DataSourceContextHolder { private static

SpringBoot定義過濾器的兩種方式及過濾器執行順序

第一種 @WebFilter + @ServletComponentScan 註解 1、首先自定義過濾器 如下自定義過濾器 ReqResFilter 必須實現  javax.servlet.Filter。然後添加註解 @WebFilter(javax.servlet