首页 > Java开发 > servlet过滤器防xss,sql注入.filter里修改parameter参数

servlet过滤器防xss,sql注入.filter里修改parameter参数

孤风一剑 12月 10, 2013 244 0

这中间起到最关键作用的就是HttpServletRequestWrapper

首先创建一个类继承HttpServletRequestWrapper。然后重写getAttribute,getParameter,getParameterValues,getParameterMap这几个方法。

 

[java][/java]

  1. public class OpRequestWrap extends HttpServletRequestWrapper {
  3.     public OpRequestWrap(HttpServletRequest request) {
  4.         super(request);
  5.     }
  7.     private String format(String name) {
  8.         return StringUtils.replaceEach(name,//
  9.                 new String[]{“\””,”‘”,”<“,”>”},             //
  10.                 new String[]{“””,”´”,”<“,”>”});
  11.         //return StringEscapeUtils.escapeHtml4(name);
  12.     }
  14.     /**
  15.      *
  16.      * @param name
  17.      * @return
  18.      */
  19.     public Object getAttribute(String name) {
  20.         Object value = super.getAttribute(name);
  21.         if (value instanceof String) {
  22.             value = format(String.valueOf(value));
  23.         }
  24.         return value;
  25.     }
  27.     /**
  28.      * 重写getParameter方法
  29.      *
  30.      * @param name
  31.      * @return
  32.      */
  33.     public String getParameter(String name) {
  34.         String value = super.getParameter(name);
  35.         if (value == null)
  36.             return null;
  37.         return format(value);
  38.     }
  40.     /**
  41.      *
  42.      * @param name
  43.      * @return
  44.      */
  45.     public String[] getParameterValues(String name) {
  46.         String[] values = super.getParameterValues(name);
  47.         if (values != null) {
  48.             for (int i = 0; i < values.length; i++) {
  49.                 values[i] = format(values[i]);
  50.             }
  51.         }
  52.         return values;
  53.     }
  55.     /**
  56.      * @return
  57.      */
  58.     public Map<String, String[]> getParameterMap() {
  60.         HashMap<String, String[]> paramMap = (HashMap<String, String[]>) super.getParameterMap();
  61.         paramMap = (HashMap<String, String[]>) paramMap.clone();
  63.         for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext(); ) {
  64.             Map.Entry<String,String[]> entry = (Map.Entry<String,String[]>) iterator.next();
  65.             String [] values = entry.getValue();
  66.             for (int i = 0; i < values.length; i++) {
  67.                 if(values[i] instanceof String){
  68.                     values[i] = format(values[i]);
  69.                 }
  70.             }
  71.             entry.setValue(values);
  72.         }
  73.         return paramMap;
  74.     }
  75. }

然后配置一个过滤器;

 

 

 

[java][/java]

  1. @Override
  2.  public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
  3.      filterChain.doFilter(new OpRequestWrap((HttpServletRequest) servletRequest),servletResponse);
  4.  }

请仔细看doFilter里面的request,这一步也很重要。它是对request进行包装,才能起到修改request中参数,属性的功能。

标签

相关推荐

标签

.NET (32) ActiveMQ (34) AJAX (29) android (463) android开发 (34) ASP.NET (58) C# (153) CSS (21) eclipse (50) Hadoop (23) Hibernate (51) HTML (30) html5 (29) IOS (48) JAVA (378) JavaScript (87) JQuery (85) js (53) json (26) jsp (28) Linux (70) ListView (28) mvc (28) myeclipse (25) MySQL (151) oracle (181) PHP (158) spring (84) SQL (62) SQL Server (28) string (20) Struts2 (39) Tomcat (39) Ubuntu (20) WEB (28) webservice (29) Windows (27) XML (36) 多线程 (21) 存储过程 (22) 实例 (24) 数据库 (89) 服务器 (31) 算法 (34) 设计模式 (23)

文章归档