[发明专利]Web安全防护方法

权利要求书

1.一种Web安全防护方法，其特征在于，包括以下步骤：

引入安全组件，其中，所述安全组件为Jar包，所述Jar包中包含LimitWordUtil脱敏工具类、WordBankUtil词库处理类、SecurityRequestWrapper类和SecurityFilter类，所述LimitWordUtil脱敏工具类中包含多个过滤方法，所述WordBankUtil词库处理类实现词库文件的读取，所述SecurityRequestWrapper类中包含多个获取请求对象的请求内容的方法，每个获取请求对象的请求内容的方法在返回结果前均先调用所述多个过滤方法；

在有外部请求时，通过所述SecurityFilter类拦截指定的请求，判定是否为白名单请求，如果为非白名单请求，则使用所述SecurityRequestWrapper类对请求对象进行重新包装；

将包装后的请求对象传回所述SecurityFilter类的过滤器链中。

2.根据权利要求1所述的Web安全防护方法，其特征在于，所述LimitWordUtil脱敏工具类还包含自定义词库的加载，所述LimitWordUtil脱敏工具类中包含的多个过滤方法包括Xss风险字符过滤方法、Sql注入风险字符过滤方法和敏感词过滤方法。

3.根据权利要求2所述的Web安全防护方法，其特征在于，在引入所述安全组件时，还引入相应的配置文件，所述配置文件包含风险字符库和敏感词库。

4.根据权利要求1所述的Web安全防护方法，其特征在于，所述SecurityRequestWrapper类是继承javax.servlet.http.HttpServletRequestWrapper自定义创建的，在自定义创建所述SecurityRequestWrapper类时重写多个获取请求对象的请求内容的方法。

5.根据权利要求4所述的Web安全防护方法，其特征在于，多个获取请求对象的请求内容的方法包括getParameter()、getHeader()和getInputStream()，其中，getInputStream()方法中自动鉴别是否为文件上传操作，忽略上传操作的文件流处理，以保证上传文件的完整性，防止文件的损坏。

6.根据权利要求1所述的Web安全防护方法，其特征在于，所述SecurityFilter类是继承javax.servlet.Filter自定义创建的。