目录介绍：

• 1、eclipse启动tomcat时，报Exception starting filter xssFilter，求大神帮忙
• 2、为什么firefox浏览器一直没有xss filter
• 3、使用springboot怎么添加一个filter过滤器
• 4、net.sf.xsshtmlfilter.htmlfilter是哪一个包
• 5、php漏洞与代码审计过程中需要注意的几点

eclipse启动tomcat时，报Exception starting filter xssFilter，求大神帮忙

说明你的tomcat已经启动了（一般都是默认开机启动的，除非你在系统服务里面设为手动启动），不用在eclipse里面再启动了，如果要在eclipse里面启动，要先停止，再启动，不过这是多此一举的！

为什么firefox浏览器一直没有xss filter

每种浏览器采用的技术不一样，所以火狐没有xss filter也正常，火狐有自己的技术和优势，很多开发者就是喜欢火狐的开发者工具。

使用springboot怎么添加一个filter过滤器

在实际的web应用程序中，经常需要在请求（request）外面增加包装用于：记录调用日志、排除有XSS威胁的字符、执行权限验证等等。除了上述提到的之外，Spring Boot自动添加了OrderedCharacterEncodingFilter和HiddenHttpMethodFilter，并且我们在自己的项目中还可以增加别的过滤器。

Spring Boot、Spring Web和Spring MVC等其他框架，都提供了很多servlet 过滤器可使用，我们需要在配置文件中定义这些过滤器为bean对象。现在假设我们的应用程序运行在一台负载均衡代理服务器后方，因此需要将代理服务器发来的请求包含的IP地址转换成真正的用户IP。Tomcat 8 提供了对应的过滤器：RemoteIpFilter。通过将RemoteFilter这个过滤器加入过滤器调用链即可使用它。

How Do

一般在写简单的例子时，不需要单独定义配置文件，只需要将对应的bean对象定义在Application类中即可。正式的项目中一般会有单独的web配置文件，我们在项目的com.test.bookpub（与BookpubApplication.java同级）下建立WebConfiguration.java文件，并用@Configuration注解修饰。

package com.test.bookpub;

import org.apache.catalina.filters.RemoteIpFilter;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

@Configuration

public class WebApplication {

@Bean

public RemoteIpFilter remoteIpFilter() {

return new RemoteIpFilter();

}

}

通过mvn spring-boot:run启动项目，可以在终端中看到如下的输出信息，证明RemoteIPFilter已经添加成功。

RemoteIPFilter

分析

项目的主类——BookPubApplication，可以看到由@SpringBootApplication注解修饰，这包含了@ComponentScan、@Configuration和@EnableAutoConfiguration注解。在Spring Boot的自动配置、Command-line Runner一文中曾对这个三个注解做详细解释，@ComponentScan让Spring Boot扫描到WebConfiguration类并把它加入到程序上下文中，因此，我们在WebApplication中定义的Bean就跟在BookPubApplication中定义一样。

方法@Bean public RemoteIpFilter remoteIpFilter() { ... }返回一个RemoteIPFilter类的spring bean。当Spring Boot监测到有javax.servlet.Filter的bean时就会自动加入过滤器调用链。从上图中还可以看到，该Spring Boot项目一次加入了这几个过滤器：characterEncodingFilter（用于处理编码问题）、hiddenHttpMethodFilter（隐藏HTTP函数）、httpPutFormContentFilter、requestContextFilter（请求上下文），以及我们刚才自定义的RemoteIPFilter。

net.sf.xsshtmlfilter.htmlfilter是哪一个包

开源代码NHtmlFilter 帮你过滤Html危险脚本 防止XSS攻击

有示例代码，有rar压缩文件：

php漏洞与代码审计过程中需要注意的几点

1.xss + sql注入

其中占大头的自然是XSS与SQL注入，对于框架类型或者有公共文件的，建议在公共文件中统一做一次XSS和SQL注入的过滤。写个过滤函数，可由如下所示：

$_REQUEST = filter_xss（$_REQUEST）；

$_GET = filter_xss（$_GET）；

$_POST = filter_xss（$_POST）；

$_COOKIE = filter_xss（$_COOKIE）；

$_POST = filter_sql（$_POST）；

$_GET = filter_sql（$_GET）；

$_COOKIE = filter_sql（$_COOKIE）；

$_REQUEST = filter_sql（$_REQUEST）；

这里有一点需要说明，$_REQUEST虽然等于$_GET+$_POST,但他们是独立的数组，也就是说假设改变了$_GET的值，但$_REQUEST的值还是原来的值，所以过滤时都不能落下，至于其他的如$_FILE之类的就可忽略了。

最简单的filter_xss函数是htmlspecialchars（）

最简单的filter_sql函数是mysql_real_escape_string（）

当然，谁都知道这种过滤filter_sql只能过滤字符型和搜索型的注入，对于数字型是没有办法的，但也说明做了这层过滤后，只需在后面注意数字型的SQL语句就可以了，遇到了加intval过滤就可以了，这就变得容易多了。

2. 命令执行

对于命令执行，可以从关键字入手，总共可分为3类

（1） php代码执行 :eval等

（2）shell命令执行：exec、passthru、system、shell_exec等

（3） 文件处理：fwrite、fopen、mkdir等

对于这几类需要注意其参数是否用户可控。

3.上传漏洞

对于上传漏洞，也是重点关注的地方，要仔细分析它的处理流程，针对上传的绕过方式是很多的，最保险的方式：在保存文件是采用文件名随机命名和后缀白名单方式。其次要注意的一点是上传文件的地方可能不止一处，不要有遗漏，可能会碰到这样的情况，突然在某个目录里面包含了一个第三方的编辑器在里面。

文件包含漏洞涉及的函数如include（） 、include_once（）、require（）、require_once（）、file_get_contents（）等

最常见的还是出在下载文件功能函数，例如download.php?file=///etc/passwd 这种类型中。

4. 权限绕过

权限绕过可分为两类吧

（1）后台文件的未授权访问。后台的文件没有包含对session的验证，就容易出现这样的问题

（2）未作用户隔离，例如mail.php?id=23显示了你的信件，那么换个ID, mail.php?id=24就查看到了别人的信件，编写代码是方便，把信件都存在一个数据表里，id统一编号，前端展现时只需按id取出即可，但未作用户隔离，判定归属，容易造成越权访问。

这样的例子是很常见的，给某银行做评估是就经常发现这种漏洞。

5. 信息泄露

信息泄露算是比较低危的漏洞了，比如列目录这种就属于部署问题，而与代码审计无关了，而像暴路径、暴源码这种是需要防止的。曾经遇到这样的代码

?php if（empty（$_GET['a']）） {…} ?

表面上似乎没问题，可是当请求变为 xx.php?a[]=1时，即参数变为数组的时候，就会发生错误以致路径泄露，而用isset判断则不会，当然一个个防太麻烦，建议在配置文件中关闭错误提示，或者在公共文件中加入如下代码以关闭错误显示功能：

?php error_reporting（0）；?