【IASK】防脚本注入及跨站脚本攻击-20080807-互联网Java组-姚纪伟.docVIP

关于网站防SQL注入及跨站脚本攻击 网站安全对于网站来说是非常重要的，一旦网站遭到攻击都必将受到或多或少的数据破坏，甚至更为严重的导致网站挂掉。鉴于奥运即将临近，结合平安奥运的主题，以及上海网络安全部门发布的公告。特对网站作出一些预防的相关处理。 关于网站防止SQL注入的处理： 添加过滤器去除一些关键字，以防黑客攻击。 具体过滤器写法如下： 功能实现 通过部署filter，验证网站所有webstie下面文件的参数值，如果发现包含有敏感字符串的，跳转至一个友好的提示页面。 Filter程序 package com.website.filter; import java.io.IOException; import java.util.Arrays; import java.util.Collection; import java.util.Enumeration; import java.util.Iterator; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import com.util.CTools; public class ParameterFilter extends HttpServlet implements Filter { private FilterConfig filterConfig; private String paraName; private String paraValue; public void init(FilterConfig filterConfig) throws ServletException { this.filterConfig = filterConfig; System.out.println(please come in !); } public void doFilter(ServletRequest request, ServletResponse response,FilterChain filterChain) { try { HttpServletRequest httpRequest = (HttpServletRequest)request; HttpServletResponse httpResponse = (HttpServletResponse)response; boolean isValid = true; String kw = filterConfig.getInitParameter(keywords); if(kw!=null!kw.equals()){ Collection col = Arrays.asList(kw.split(,)); Enumeration enu = httpRequest.getParameterNames(); label: while(enu.hasMoreElements()){ paraName = (String)enu.nextElement(); paraValue = CTools.dealString(httpRequest.getParameter(paraName)); paraValue.replaceAll(　, );//将全角空格替换为半角空格 Iterator it = col.iterator(); while(it.hasNext()){ //System.out.println((String)it.next()+******************+paraValue+