Spring MVC过滤form表单为"multipart/form-data"时遇到问题

最新推荐文章于 2022-09-28 18:49:14 发布
最新推荐文章于 2022-09-28 18:49:14 发布
阅读量3.5k 收藏 5
点赞数 2
分类专栏: Spring MVC 文章标签: Spring MVC java过滤 Spring过滤form为"multipart/form-data" spring过滤问题 "multipart/form-data"表单提交
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_Runner/article/details/84285207
版权

“风不定,人初静,明月落红应满径”

起因

最初因为这样,我们系统被送去检测漏洞,发现了XSS攻击的漏洞。如下图:在这里插入图片描述
在产品描述的地方写上一些JS脚本,我们系统的过滤器不会过滤掉这些脚本。于是,开始了下面的寻找真相过程。

寻找真相

  1. 首先,上图中的form表中属性为:<form id="XXX" method="post" enctype="multipart/form-data"> 着重说明一下,这里的form表单用到了enctype="multipart/form-data" 属性,但是此表单并没有提交文件。

  2. 看下我们写的过滤器:在这里插入图片描述
    在这里插入图片描述

  3. 但是 但是 。带有enctype="multipart/form-data" 属性的form表单根本就不会进入上图中的getParameterValues 方法,也就不会替换危险字符了。

  4. 这个时候,你有两种方法可以选择。第一:把不需要上传文件的form表单中删掉enctype="multipart/form-data" 属性。那它即是默认的application/x-www-form-urlencoded 形式。在这里插入图片描述
    删掉enctype="multipart/form-data" 之后,就能正常进入上面过滤器的getParameterValues 方法,也就可以正常替换了。很明显,我选择的是第二种方法,即修改过滤器。

  5. 在过滤器中加个判断,如果是文件类型的提交,则把HttpServletRequest 换成MultipartHttpServletRequest 。就可以过滤了。

// 用于创建MultipartHttpServletRequest
	private MultipartResolver multipartResolver = null;

	public void init(FilterConfig filterConfig) throws ServletException {

		//获取multipartResolver 类
		WebApplicationContext webApplicationContext = ContextLoader.getCurrentWebApplicationContext();
		ServletContext context = webApplicationContext.getServletContext();
		WebApplicationContext ctx = WebApplicationContextUtils.getWebApplicationContext(context);
		multipartResolver = (MultipartResolver) ctx.getBean("multipartResolver");

	}
	public void doFilter(ServletRequest req, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest)req;

	    HttpSession session = request.getSession();
	    //判断在新增修改时,如果form表中的entype中有multipart/form-data,则把request换成MultipartHttpServletRequest,这样
		//才可以获取到form表中的值,并且进行过滤
		String enctype = req.getContentType();
		if (StringUtils.isNotBlank(enctype) && enctype.contains("multipart/form-data")){
			// 返回 MultipartHttpServletRequest 用于获取 multipart/form-data 方式提交的请求中 上传的参数
			chain.doFilter(new LocalXssHttpServletRequestWrapper(multipartResolver.resolveMultipart(request),filterChar,replaceChar,splitChar), response);
		}else {
			chain.doFilter(new LocalXssHttpServletRequestWrapper(request,filterChar,replaceChar,splitChar), response);
		}
	}
  1. 但是 但是 。又是一个大大的但是。这样改了之后,在form表单中如果是需要提交文件的时候,浏览器会报400的错误。但是控制台上又没有输出错的时候,这时候需要打开spring的日志:log4j.logger.org.springframework=debug 。这样才能看到错误是:Required MultipartFile parameter 'file' is not present 。为了解决这个问题,你需要把public Map<String,Object> XXX(HttpServletRequest request,@RequestParam("file") MultipartFile[] files,String state) {} 参数中的file改为required=false@RequestParam(value = "file",required = f ) MultipartFile[] files
  2. 这样之后,你就能正常提交form表单了,并且能够正常的过滤。
  3. 但是 但是 。问题又来了,文件提交不上去了。参数中的MultipartFile[] files 为null。。。望大神解答。
诺贝尔爱情奖
关注
专栏目录
关于使用multipart/form-data做文件上传的一点思考
03-18
NULL 博文链接:https://wese345.iteye.com/blog/686108
关于multipart/form-data类型请求,filter失效的处理办法
jason的博客
05-17 2630
这个是在java官网翻到的,需要特殊处理下: Example 7.9 MultipartEncodeFilter - Standard Filter Strategy public class MultipartEncodeFilter extends BaseEncodeFilter { public MultipartEncodeFilter() { }
web过滤器中获取请求的参数(content-type:multipart/form-data)
weixin_30297281的博客
12-21 597
1.前言:   1.1 在使用springMVC中,需要在过滤器中获取请求中的参数token,根据token判断请求是否合法;   1.2通过requst.getParameter(key)方法获得参数值;     这种方法有缺陷:它只能获取 POST 提交方式中的Content-Type: application/x-www-form-urlencoded;    Ht...
SpringBoot+Xss过滤(@RequestBody参数过滤Xss
Answer0902的博客
07-07 2781
记一次SpringBoot+Xss过滤 XssFilter过滤器 import org.springframework.stereotype.Component; import org.springframework.web.multipart.MultipartHttpServletRequest; import org.springframework.web.multipart.commons.CommonsMultipartResolver; import javax.servlet.*; im.
springMVC 过滤器获取bean 和 multipart/form-data请求参数
小立飞刀的博客
09-26 3576
springMVC 过滤器获取bean 和 multipart/form-data请求参数
spring mvc enctype=multipart/form-data 参数过滤
zhoucanji的博客
03-27 1055
当表单的enctype=multipart/form-data,一般的过滤器无法获取参数,所以在springmvc配置文件注解适配器把org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter改com.zcj.MyAnnotationMethodHandlerAdapter,这个类是继承spring的...
为了应对 Xss 跨站脚本攻击,新增 XssFilter 统一处理实践
starzxf的专栏
11-08 387
问题背景: 1、早期的软件产品,使用 spring mvc 2、jsp form 表单中要传附件,同有 input 字段要提交,因此表单 encType 必须是multipart/form-data, action="POST" 问题: 1、按照流转很广的方式 ,新建 XssFilterServletRequestWrapper extendsHttpServletRequestW...
java map转Multipart/form-data类型body实例
08-19
Java开发中,常需要将一些数据以表单形式上传到服务器,比如使用`multipart/form-data`编码类型。表单数据通常由一些文本字段和文件字段组成,而当我们想将Java中的`Map`对象转换为这种格式,就需要进行一系列...
java 页面上有ENCTYPE=&quot;multipart/form-data&quot; action方法或者控制层用request.getParameter()获取不到值的方法 ?
03-11
Java Web开发中,我们经常遇到表单提交数据的情况,特别是涉及到文件上传,`<form>`标签的`ENCTYPE`属性通常会被设置为`multipart/form-data`。这是因为`multipart/form-data`允许在请求中携带二进制数据,如...
详解Http请求中Content-Type讲解以及在Spring MVC中的应用
08-31
在文件上传场景中,通常使用`multipart/form-data`作为Content-Type,因为它允许在单个请求中传输多个部分数据,比如文件和表单数据。 Spring MVC是一个强大的Java Web框架,它允许开发者通过注解来处理HTTP请求。...
filter 过滤器 解释 MultipartHttpServletRequest表单
10-21
filter 过滤器 解释 MultipartHttpServletRequest表单
如何解决在jsp页面上导入.xls文件报错问题
01-20
这将确保浏览器在提交表单设置Content-Type为`multipart/form-data`。 2. **JSP处理**: 在JSP页面(如`upload_jsp.java`),确保你使用了适当的Servlet API来处理文件上传。例如,你可以使用`HttpServletRequest...
使用java过滤器filter备忘(post multipart/form-data
lin49940的专栏
08-12 2115
测试中间件是weblogic8.1.4,jdk 是weblogic 自带的1.42
Xss过滤器之文件上传特殊处理
qq_42585774的博客
11-11 4171
表单提交的enctype="multipart/form-data"且同一个页面中有附件上传功能xss过滤器需要做特殊处理 package com.ffcs.common.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import ...
XSS 存储漏洞修复
热门推荐
qq_26244285的博客
01-20 1万+
收到检查报告,说是有xss 存储型漏洞,百度看了很多资料总结两句话 1、保存数据库内容需要过滤 2、设置过滤器 思路:我们需要一个过滤前在Controller方法调用前对所有参数进行检查,过滤替换。 过滤》替换非法参数》继续Controller调用。 网上得思路基本是替换,没看到拒绝请求,因为过滤得检查很多很容易被拒绝非常不友好 做法spring拦截器:检查非法内容或特定内容拒绝请求,使用sprintboot得做法很简单,做一个aop切面定义一个定义一个拦截器 import javax..
Springboot使用过滤器中关于获取multipart/form-data表单数据问题记录
weixin_46106438的博客
09-28 4567
最近项目组因为token检验拿不到content-type=multipart/form-data表单数据产生疑惑,后翻查了网上的资料总结。 前端content-type=application/x-www-form-urlencoded传入后端,我们可以通过getParameter的方法获取到参数。 HttpServletRequest request = (HttpServletRequest)servletRequest; String value = request.getParam
过滤器中处理multipart/form-data头部的post请求只能获取一次参数的问题(记录一下)
@惊蛰的博客
12-23 1293
你可能很疑惑,为什么request对象中的InputStream或者Reader只能使用一次? 原理很简单,可以把流比喻成水,request里面的inputStream就好比杯子中的水。试问杯子中的水倒掉之后还能继续倒吗?当然不能滴!InputStream里面有做指针和同步处理,一旦指针到了末尾是不会回来的。那么我们怎么拷贝request body里面的数据呢,当然我们得找一种可以复制的存储方式了,比如String,可以先把request 的inputStream转成String,然后又把String转成b
springMvc 完美解决 multipart/form-data 方式提交请求 在 Filter 中 ServletRequest.getParameter方法 获取不到参数的问题
Aeroleo的博客
10-27 8358
问题:      继承上一篇使用contentType=multipart/form-data的header以文件流的的形式上传文件,如果代码中使用了filter,会出现无法用Filter 中用 ServletRequest.getParameter 方法取不到一并提交上来的 参数, 通过查看mvc的源码 果然 发现了两个类, 1.1.实现了、 ServletRequest的
springMVC如何设置Content-Type为multipart/form-data
最新发布
05-13
Spring MVC中,可以通过在`@RequestMapping`注解中使用`consumes`属性来设置`Content-Type`为`multipart/form-data`。具体实现步骤如下: 1. 在Controller中添加`@RequestMapping`注解,并设置`consumes`属性为`multipart/form-data`。 ```java @RestController public class UploadController { @RequestMapping(value = &quot;/upload&quot;, method = RequestMethod.POST, consumes = MediaType.MULTIPART_FORM_DATA_VALUE) public ResponseEntity<String> uploadFile(@RequestParam(&quot;file&quot;) MultipartFile file) { // 处理上传文件 } } ``` 2. 在前端表单中设置`enctype`属性为`multipart/form-data`。 ```html <form action=&quot;/upload&quot; method=&quot;post&quot; enctype=&quot;multipart/form-data&quot;> <input type=&quot;file&quot; name=&quot;file&quot;> <button type=&quot;submit&quot;>Upload</button> </form> ``` 这样就可以在Spring MVC中使用`multipart/form-data`方式上传文件了。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值