티스토리 뷰

Skill/spring

[springboot] filter 설정

진열사랑 2020. 6. 24. 15:35

출처: https://epthffh.tistory.com/entry/XSS-필터크로스-사이트-스크립트Encoding-필터 [물고기 개발자의 블로그]

 

package com.greatwebguy.filter;

 

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

 

 

public class CrossScriptingFilter implements Filter {

 

    public void init(FilterConfig filterConfig) throws ServletException {

        this.filterConfig = filterConfig;

    }

 

    public void destroy() {

        this.filterConfig = null;

    }

 

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

        throws IOException, ServletException {

 

        chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);

 

    }

}

 

 

package com.greatwebguy.filter;

 

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

 

public final class RequestWrapper extends HttpServletRequestWrapper {

 

    public RequestWrapper(HttpServletRequest servletRequest) {

        super(servletRequest);

    }

 

    public String[] getParameterValues(String parameter) {

 

      String[] values = super.getParameterValues(parameter);

      if (values==null)  {

                  return null;

          }

      int count = values.length;

      String[] encodedValues = new String[count];

      for (int i = 0; i < count; i++) {

                 encodedValues[i] = cleanXSS(values[i]);

       }

      return encodedValues;

    }

 

    public String getParameter(String parameter) {

          String value = super.getParameter(parameter);

          if (value == null) {

                 return null;

                  }

          return cleanXSS(value);

    }

 

    public String getHeader(String name) {

        String value = super.getHeader(name);

        if (value == null)

            return null;

        return cleanXSS(value);

 

    }

 

    private String cleanXSS(String value) {

                //You'll need to remove the spaces from the html entities below

        value = value.replaceAll("<""& lt;").replaceAll(">""& gt;");

        value = value.replaceAll("\\(""& #40;").replaceAll("\\)""& #41;");

        value = value.replaceAll("'""& #39;");

        value = value.replaceAll("eval\\((.*)\\)""");

        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("script", "");

        return value;

    }

}






댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
글 보관함