XSS攻击拦截_struts拦截器作用

大家好，又见面了，我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

struts2拦截器添加及xss攻击的处理

先在struts2.xml中添加拦截路径。

<package name="base" extends="struts-default,json-default" >

<!-- 给文本编辑器配置的bean以及constant -->

   <!--拦截器-->
   <interceptors>
      <interceptor name="LoginInterceptor" class="com.spark.tempo.urm.web.interceptor.LoginInterceptor">
         <!--方法不拦截-->
         <param name="excludeMethods">login</param>
      </interceptor>
      <interceptor-stack name="myDefault">
         <interceptor-ref name="defaultStack"/>
         <interceptor-ref name="LoginInterceptor"/>
      </interceptor-stack>
   </interceptors>

   <default-interceptor-ref name="myDefault"/>
   <global-results>
      <result name="login">/mgrIndex.jsp</result>
   </global-results>
</package>

然后在需要拦截的action中添加注解：

@ParentPackage(value="base")

如果action中都有继续统一的BaseAction则可以在BaseAction中写入此注解如：

@ParentPackage(value="base")
public class BaseAction extends WebApplicationObjectSupport implements Action {
 
 

在添加拦截器类及方法：

我做这拦截添加了防止页面中传入的xss攻击代码

2、拦截器要继承MethodFilterInterceptor类这样xml中的<param name=”excludeMethods”>login</param>不拦截的方法才能生效不然不生效别怪我哟。

public class LoginInterceptor extends MethodFilterInterceptor {


    @Resource
    private IBaseService baseService;
    private HttpServletRequest request;

    @Override
    public String doIntercept(ActionInvocation acation) throws Exception {
        String actionName = acation.getInvocationContext().getName();//获取action方法名
        Map<String,Object> parameters = acation.getInvocationContext().getParameters();

        request = ServletActionContext.getRequest();

        ActionContext ac = acation.getInvocationContext();
        ValueStack stack = ac.getValueStack();
        for(Map.Entry<String,Object> map : parameters.entrySet()){
            Object[] obj = (Object[])map.getValue();//获取传入的参数值是否有非法，xss攻击

//            System.out.println("参数名："+map.getKey()+"   参数值："+obj[0].toString());
//            System.out.println("处理参数名："+map.getKey()+"   处理后参数值："+XssHttpServletRequestWrapper.xssEncode(obj[0].toString()));
            //action参数中添加处理后的值，防止xss攻击将处理后的参数重新set到action值中
            stack.setValue(map.getKey(), XssHttpServletRequestWrapper.xssEncode(obj[0].toString()));
        }

        User user = (User) ServletActionContext.getRequest().getSession().getAttribute(SysContextParam.SessionAttribute.SESSION_CURR_USER);
        //用户已登陆，添加操作日志
        if(user != null){
            //获取访问者ip
            String ip  = request.getHeader("x-forwarded-for");
            if (ip == null || ip.length() == 0) {
                ip = request.getRemoteAddr();
            }
            //添加日志：
            String logSql = "INSERT INTO t_custom_manager_log (id, operator, create_date, operate_url, ip,operate_project) VALUES(?, ?, ?, ?, ? ,?)";
            baseService.executeUpdateByOrigSQL(logSql, new Object[]{
  
  null,user.getName(),new Date(),request.getServletPath(),ip,"1"});
            return acation.invoke();
        }else{
            return "login";
        }
    }

}


添加防拦截的xss攻击类

public class XssHttpServletRequestWrapper {


    /**  * 将容易引起xss漏洞的半角字符直接替换成全角字符  *  * @param s  * @return  */  public static String xssEncode(String s) {
        if (s == null || s.isEmpty()) {
            return s;
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
                case '>':
                    sb.append('＞');// 全角大于号
                    break;
                case '<':
                    sb.append('＜');// 全角小于号
                    break;
//                case '\'':
//                    sb.append('‘');// 全角单引号
//                    break;
//                case '\"':
//                    sb.append('“');// 全角双引号
//                    break;
                case '(':
                    sb.append('（');// 全角
                    break;
                case ')':
                    sb.append('）');// 全角
                    break;
                case '&':
                    sb.append('＆');// 全角
                    break;
                case '\\':
                    sb.append('＼');// 全角斜线
                    break;
                case '#':
                    sb.append('＃');// 全角井号
                    break;
                case '%':    // < 字符的 URL 编码形式表示的 ASCII 字符（十六进制格式） 是: %3c
                    processUrlEncoder(sb, s, i);
                    break;
                default:
                    sb.append(c);
                    break;
            }
        }
        return sb.toString();
    }
    private static void processUrlEncoder(StringBuilder sb, String s, int index) {
        if (s.length() >= index + 2) {
            if (s.charAt(index + 1) == '3' && (s.charAt(index + 2) == 'c' || s.charAt(index + 2) == 'C')) {    // %3c, %3C
                sb.append('＜');
                return;
            }
            if (s.charAt(index + 1) == '6' && s.charAt(index + 2) == '0') {    // %3c (0x3c=60)
                sb.append('＜');
                return;
            }
            if (s.charAt(index + 1) == '3' && (s.charAt(index + 2) == 'e' || s.charAt(index + 2) == 'E')) {    // %3e, %3E
                sb.append('＞');
                return;
            }
            if (s.charAt(index + 1) == '6' && s.charAt(index + 2) == '2') {    // %3e (0x3e=62)
                sb.append('＞');
                return;
            }
        }
        sb.append(s.charAt(index));
    }
}
 
好，搞完收工。
还有就是拦截到返回的参数：login他会返回到struts2中xml

 <global-results>
      <result name="login">/mgrIndex.jsp</result>
   </global-results>
 获取返回的login到mgrIndex.jsp路径中，这我是jsp页面。也可以根据自己的需要添加 

 
 
 
 
 
 
 
                                                        
版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请联系我们举报，一经查实，本站将立刻删除。
发布者：全栈程序员-站长，转载请注明出处：https://javaforall.net/188793.html原文链接：https://javaforall.net