Java后台解决request请求体不能重复读取+解决XSS漏洞问题

最新推荐文章于 2024-02-16 10:30:00 发布
最新推荐文章于 2024-02-16 10:30:00 发布
阅读量1.8k 收藏 4
点赞数 2
分类专栏: Java进阶 2020.4—— 文章标签: java xss servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BHSZZY/article/details/126507678
版权

一、概述

本文使用了3个java类,原理是使用过滤器,封装一个自定义的HttpServletRequest对象,重写其中的getInputStream()getParameter()等方法,替换掉非法字符<>\等,使得从request中获得的key-value类型参数、header参数、请求体(包含json)参数是合法字符,以防止XSS漏洞;同时增加了request请求体可以重复读取的功能。

二、注意事项

1.springboot项目可直接用,spring项目可以自行修改后使用。

2.过滤器中,全局替换用的是switch,可以把<>\替换为全角符号;如果还需要替换其它非法字符,可以自行增加。(本人的项目中,好多字符都不能替换,会影响其它逻辑,因此只替换了<>\)

3.注意,由于会替换请求体中的<>\,因此,如果是上传文件接口,请单独配置,不要走这个过滤器,防止上传文件时、请求体被替换导致文件内容出错。

4.java中,int转char、char转int,直接强制转换就行。(不需要±’0’,用了反而不是想要的结果)

三、可用源码与使用方法

1.项目中可以创建一个filter文件夹,然后把下方3个java类放进去即可。

2.FilterConfig.java
这个类注册过滤器用,其中配置了过滤的路径为/*


import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;

@Configuration
public class FilterConfig {
    /**
     * 注册过滤器
     *
     * @return FilterRegistrationBean
     */
    @Bean
    public FilterRegistrationBean someFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(wrappedHttpServletRequestFilter());
        registration.addUrlPatterns("/*");
        registration.setName("someFilterRegistration");
        return registration;
    }

    /**
     * 实例化StreamFilter
     *
     * @return Filter
     */
    @Bean(name = "wrappedHttpServletRequestFilter")
    public Filter wrappedHttpServletRequestFilter() {
        return new WrappedHttpServletRequestFilter();
    }
}

3.WrappedHttpServletRequestFilter.java
这个类是过滤器实体类,其中配置了,某些特殊路径不走特殊处理逻辑。(例如文件上传url,不走特殊处理逻辑)


import javax.servlet.*;
import javax.servlet.FilterConfig;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * 解决request流只读取一次的问题
 */
public class WrappedHttpServletRequestFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        if( inWhiteList( (HttpServletRequest)request ) ){
            chain.doFilter(request, response);
        }else{
            ServletRequest wrappedHttpServletRequest = new WrappedHttpServletRequest((HttpServletRequest) request);
            chain.doFilter(wrappedHttpServletRequest, response);
        }
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void destroy() {

    }

    public static boolean inWhiteList(HttpServletRequest request){
        //当前请求的路径
        String requestURI = request.getRequestURI();
        //如果是上传文件的url,那就不走过滤器,直接放行
        //注意,如果走了过滤器,就会把上传内容中的><&\#等字符替换为><&\#,可能会有问题,所以不能走
        if(requestURI != null && requestURI.contains("/file/upload")){
            return true;
        }
        else {
            return false;
        }
    }
}

4.WrappedHttpServletRequest.java
这个是自定义的HttpServletRequest对象,让请求体可以重复读取替换非法字符解决XSS漏洞问题的逻辑在这里。


import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Map;

/**
 * 解决request流只读取一次的问题
 */
public class WrappedHttpServletRequest extends HttpServletRequestWrapper {
    private Logger log = LoggerFactory.getLogger(WrappedHttpServletRequest.class);

    /**
     * 存储body数据的容器
     */
    private final byte[] body;

    public WrappedHttpServletRequest(HttpServletRequest request) throws IOException {
        super(request);

        // 将body数据存储起来
        body = getBodyString(request).getBytes(Charset.defaultCharset());
    }

    /**
     * 获取请求Body
     *
     * @param request request
     * @return String
     */
    public String getBodyString(final ServletRequest request) {
        try {
            return inputStream2String(request.getInputStream());
        } catch (IOException e) {
            log.error("WrappedHttpServletRequest-getBodyString报错",e);
            throw new RuntimeException(e);
        }
    }

    /**
     * 获取请求Body
     *
     * @return String
     */
    public String getBodyString() {
        final InputStream inputStream = new ByteArrayInputStream(body);

        return inputStream2String(inputStream);
    }

    /**
     * 将inputStream里的数据读取出来并转换成字符串
     *
     * @param inputStream inputStream
     * @return String
     */
    private String inputStream2String(InputStream inputStream) {
        StringBuilder sb = new StringBuilder();
        BufferedReader reader = null;

        try {
            reader = new BufferedReader(new InputStreamReader(inputStream, Charset.defaultCharset()));
            String line;
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            log.error("WrappedHttpServletRequest-inputStream2String报错1", e);
            throw new RuntimeException(e);
        } finally {
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    log.error("WrappedHttpServletRequest-inputStream2String报错2", e);
                }
            }
        }

        return sb.toString();
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {

        final ByteArrayInputStream inputStream = new ByteArrayInputStream(body);

        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                //这里,防止xss漏洞
                int i = inputStream.read();
                //int转char,并过滤特殊字符
                char c = xssEncode((char)i);
                //char转int,返回
                i = (int)c;
                return i;

                // return inputStream.read();

            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {
            }
        };
    }
    //以上是解决无法重复读取请求体用的,也解决了json中包含<img src=n οnerrοr=alert(1)>等xss漏洞的问题/
    //以下是解决xss漏洞用的/

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String values[] = super.getParameterValues(name);
        if(values != null){
            for(int i=0; i<values.length; i++){
                values[i] = xssEncode(values[i]);
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        //旧map
        Map<String, String[]> parameterMap = super.getParameterMap();
        //新map
        Map<String, String[]> newParameterMap = new HashMap<String, String[]>();
        for (String key : parameterMap.keySet()) {
            newParameterMap.put(key, xssEncodes(parameterMap.get(key)));
        }
        return newParameterMap;
    }



    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {

        String value = super.getHeader(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }

    @Override
    public Enumeration<String> getHeaderNames() {
        return super.getHeaderNames();
    }

    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符
     *
     * @param s
     * @return
     */
    private static String xssEncode(String s) {
        if (s == null || s.isEmpty()) {
            return s;
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            //全局替换下,防止xss漏洞
            c = xssEncode(c);
            sb.append(c);
        }
        return sb.toString();
    }

    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符
     *
     * 结果,就是全局替换了一个 > < \   ,其它的本系统内不能换,换了会影响其它流程 .........
     *
     * 根据实际情况决定替换的内容吧
     */
    private static char xssEncode(char c) {
        char returnC;
        //其实,这里转换后,后续可能报错:com.fasterxml.jackson.databind.JsonMappingException
        //Illegal unquoted character ((CTRL-CHAR, code 30))
        //意思是,json中包含><&\#的话,转json会失败,就进不到controller了。
        //这里我没有继续处理了,报错就报错吧,本来json中包含这些字段就不应该继续处理了,报错了正好。
        switch (c) {
            case '>':
                returnC = '>';//全角大于号
                break;
            case '<':
                returnC = '<';//全角小于号
                break;
            //引号不能换,传json要用
            //case '\'':
            //    sb.append('‘');//全角单引号
            //    break;
            //case '\"':
            //    sb.append('“');//全角双引号
            //    break;
            //and符号也不能换,传url会用...
            //case '&':
            //    returnC = '&';//全角
            //   break;
            case '\\':
                returnC = '\';//全角斜线
                break;
            //#号也不能换,传url会用...
            //case '#':
            //    returnC = '#';//全角井号
            //    break;
            default:
                returnC = c;
                break;
        }
        return returnC;
    }

    private static String[] xssEncodes(String[] s) {
        if(s != null && s.length != 0){
            for(int i=0; i<s.length; i++){
                s[i] = xssEncode(s[i]);
            }
        }
        return s;
    }


}
追逐梦想永不停
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java版SQLXSS漏洞扫描平台网页版前端html + css jquery 后端springboot + java
04-28
JavaSQLXSS漏洞扫描平台网页版 前端html + css jquery 后端springboot + java + mysql + idea 前后端分离开发 http://localhost:8080/login.html 数字型 http://xxx.xxxx.com/?page=2 字符漏洞 https://xxxx.com&topicid=4 xss漏洞格式 https://xxxx.com&topicid= post格式 id=,name= 模块介绍 登录模块 首页扫描 扫描列表 关于系统 密码修改 扫描功能介绍 xss扫描 存储型xss 反射型xss sql扫描 字符型 数字型 联合型 数据库设计scanvulnerability admin管理员 scanresults扫描结果
WEB常见漏洞之文件上传(基础原理篇)
One-Fox安全团队的博客
07-01 493
由于开发者安全意识不足,或者编写代码时对上传文件的合法校验存在缺陷,导致上传漏洞的产生。上传漏洞经常出现于头像上传、相册上传、附件上传、新闻投稿等位置,产生的危害极大, 可直接导致web服务器权限被攻击者控制。如果WEB应用在文件上传过程中没有对 文件 的安全性进行 有效 的校验,攻击者可以通过上 传 WEBshell 等恶意文件对服务器进行攻击,这种情况下认为系统存在文件上传漏洞
java实战:Java处理XSS漏洞的四种方法及代码示例
最新发布
oandy0的博客
02-16 2818
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击。
xss文件页面内容读取(解决)
09-05
xss文件页面内容读取(解决),需要的朋友可以参考下。
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 4238
Java代码审计】XSS漏洞产生原理及其修复
JAVA Web应用常见漏洞与修复建议
qq_39560975的博客
07-27 5408
跨站脚本、输入验证、代码注入等常见漏洞解析和修改方案
java xss漏洞修复_全局存储型XSS漏洞修复
weixin_39916520的博客
02-24 1986
什么是XSS?人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而...
1-java安全——tomcat任意文件写入分析[CVE_2017-12615]
网络安全
07-03 923
tomcat8.0.45写入任意文件漏洞的编号为CVE_2017-12615,该漏洞的利用场景为当tomcat运行在windows下,允许PUT方式的http请求并且tomcat的web.xml配置文件中readonly值为false,攻击者就可以向服务器上传恶意jsp文件或webshell文件。
带你掌握java反序列化漏洞及其检测
华为云官方博客
10-20 2231
摘要:在本文中将先介绍java反序列化漏洞的原理,然后在此基础上介绍安全工具如何检测、扫描此类漏洞
java 复制request文件流不可重复读取
zjm123456780的博客
06-29 314
简单说一下原理,其实就是通过自定义的HttpServletRequestWrapper 备份一下流的数据,自定义HttpServletRequestWrapper 调用父类request.getInputStream()读取全部数据出来保存在一个byte数组内,当再次获取流数据的时候,自定义的HttpServletRequestWrapper 就会用byte数组重新生成一个新的流。参见:http://www.cnblogs.com/jiangxinnju/p/5709378.html。
java修复xss漏洞
weixin_43876557的博客
07-29 2782
JAVA修复XSS漏洞 方案一: 对于请求中是封装好的对象或者以属性名作为参数的都适用以下解决方案: 封装好的对象,如: 使用属性名作为参数,如: 以/updateRole和/addRole作为例子,这两个方法中都需要对前台输入的参数进行过滤。 1.添加过滤器 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConf
解决HttpServletRequest 流数据不可重复
thulium_kyg的博客
08-30 1525
https://www.cnblogs.com/Sinte-Beuve/p/13260249.html 前言 在某些业务中可能会需要多次读取 HTTP 请求中的参数,比如说前置的 API 签名校验。这个时候我们可能会在拦截器或者过滤器中实现这个逻辑,但是尝试之后就会发现,如果在拦截器中通过getInputStream()读取过参数后,在 Controller 中就无法重复读取了,会抛出以下几种异常: HttpMessageNotReadableException: Required reques..
JAVA开发运维(关于渗透测试与漏洞修复)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
04-11 1804
对于C端的网站,H5,小程序或者app都需要进行渗透测试。 渗透测试是模拟真实黑客的攻击手段,对目标网站或主机进行全面的安全评估。 与黑客攻击不同,渗透测试的目的是尽可能多地发现安全漏洞,而真正的黑客只需要找到一种入侵。 点击进入目标系统。一个好的渗透测试员也可以被认为是一个好的黑客,也可以称为白帽。
Java 防御XSS攻击实战与示例代码
oscar999的专栏
01-08 1561
本篇介绍在Java 项目中如何快速修复XSS 漏洞。本篇使用的是黑名单的方式, 对于非法字符进行转义。 黑名单的方式虽然不能完全的解决XSS漏洞, 但是能有效的减轻攻击, 对于使用类似Coverity等代码静态扫描攻击扫描的漏洞, 修复之后就不会再报相关的警报了。
xss漏洞原因以及如何应对
风烟
01-26 8643
场景一:获取URL参数含有脚本执行 比如我们需要获取URL中某个参数,然后输出到页面当中 比如链接是http://xxx?search="><script>alert('xss')</script>这种,我们解析search参数拼接html的之后直接用了这个参数,这个时候浏览器不知道是恶意代码,直接就执行了, <div> xxx: "><script>alert('xss')</script> </div> 这
java代码过滤xss 请求示例
06-08
以下是一个Java代码示例,可以使用Jsoup库对HTTP请求中的参数进行XSS过滤: ```java import org.jsoup.Jsoup; import org.jsoup.safety.Whitelist; public class XssUtils { public static String xssFilter(String input) { if (input == null || input.isEmpty()) { return input; } return Jsoup.clean(input, Whitelist.basic()); } } ``` 然后,在处理HTTP请求的代码中,可以使用上述的xssFilter()方法对请求中的参数进行XSS过滤。例如: ```java import javax.servlet.http.HttpServletRequest; public class MyController { @PostMapping("/submit") public String handleSubmit(HttpServletRequest request) { String name = XssUtils.xssFilter(request.getParameter("name")); String message = XssUtils.xssFilter(request.getParameter("message")); // ... return "success"; } } ``` 在上述示例代码中,我们使用了Jsoup的clean()方法对参数进行了基本的XSS过滤,防止了一些常见的攻击。但需要注意的是,XSS攻击是一种非常复杂的安全问题,单靠基本的过滤是不能完全保证安全的,还需要根据具场景进行更加细致的安全策略设计。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

追逐梦想永不停

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值