XssFilter过滤之后导致@RequestBody无法解析的参数的问题

最新推荐文章于 2024-04-13 14:55:27 发布
最新推荐文章于 2024-04-13 14:55:27 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: spring 文章标签: XssFilter HttpMessageConverter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SugarSunset/article/details/90340502
版权
  1. 问题: 我们遇到的问题是,使用XssFilter对请求参数过滤之后,接口无法再接受到请求参数。
  2. 原因:在工程中定义了处理请求的MessageConverter。而定义的Converter对编码有要求。
  3. 本质:(以下为个人理解)
    spring在处理消息时,先循环内部的messageConverter,找出可用的并且可读的。然后根据对应的解析类去解析对应的输入流。我们使用fastJsonMessageConverter解析,默认解码使用的是utf8编码。然后XssFilter最后一步在通过字符串获取字节数组时没有指定编码,默认成了gbk,导致解码失败,无法获取到参数。
补充:
在XssFilter 获取字符串,解码的时候,指定字符集为UTF8。
SugarSunset
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
关于过滤器使用了参数后,接口获取不到参数问题
小错的博客
11-22 2350
过滤器获取了前端传进来的参数,没有”归还”使得控制层获取不到参数。 解决:写一个参数归还类(LztHttpRequest)继承HttpServletRequestWrapper。public class LztHttpRequest extends HttpServletRequestWrapper { private final byte[] body; public FrontHt
对 Spring 中的 @RequestBody json 请求数据做 XSS 过滤
【欢迎关注公众号:冬瓜白】
11-17 2805
关于xss过滤,网上大都是是对 param的,这个很多文章了 定义过滤器。XSSFilter 不说了, 参考 https://blog.csdn.net/yucaifu1989/article/details/61616554 还有就是对所有@ResponseBody 返回内容做XSS过滤的方案: MappingJackson2HttpMessageConverter 的objectMapper 做设置 参考 百度 那么对 @RequestBody 的 json 数据怎么过滤呢: spring处
@RequestBody解析对象,对象属性包含数组时,解析不出。
最新发布
killer_abab的博客
04-13 287
注:this.SignData是你要发送的请求数据,JSON.stringify是将JavaScript 对象转换为 JSON 字符串。// 设置 Content-Type 为 application/json。前端载荷如下, 前端包包含数组,并且有值,但是后端@requestbody解析时候,发现ImageUrl=null。发现前后端其实字段名相同,但还是解析不到。这时候我们可以用自定义绑定规则,实例代码:@JsonProperty("ImageUrl")
xssfilter 导致后端没有获取josn中的字段内容
01-31 220
因为xss 把body请求体重含有script的字符串替换为空串,导致请求体中description字段被替换为deion,实体类属性匹配不是,所以获取不到。改为以下正则,^排除以A到z开头和结尾的字符串,以外的都吧script换回空串,但保留script前后的非字母(小括号内).如 ":"script"," 换位 ":"","
springboot拦截post请求后request没有body
lyf_ldh的博客
08-23 2750
定义过滤器,包装request import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.serv...
gateway网关局部过滤器获取前端请求body为空
永恩&猫咪的博客
04-22 3069
gateway网关获取请求body为空 最近在项目中,有一个业务需要就是对指定接口传的参数与redis缓存中的值做比较,我与网上大多数一样都是这样直接获取 @Component public class testGatewayFilterFactory extends AbstractGatewayFilterFactory { @Override public GatewayFilter apply(Object config) { return (exchange, chai
关于在Spring过滤器中修改request的参数值遇到的问题(一)
scl的博客
06-21 4188
关于在Spring过滤器中修改request的参数值遇到的问题 问题描述: 背景 项目上要对前台传输到后台的数据进行加密(二级等保什么的),于是想到前台使用JS进行RSA加密,后台解密。于是在Spring中添加过滤器,来解密request中传过来的参数值。 遇到问题 1.前台表单数据使用JS加密后,用jquery方法$.post()提交,后台登录成功,但是页面不跳转登录成功页面。 2
快速解决SpringMVC @RequestBody 用map接收请求参数问题
08-27
快速解决SpringMVC @RequestBody 用map接收请求参数问题 在 SpringMVC 中,使用 @RequestBody 注解可以将请求体中的数据转换为 Java 对象,但是在使用 map 接收请求参数时,经常会遇到一些问题。本文将讨论如何...
@RequestBody的使用详解
08-25
* 如果后端参数是一个对象,且该参数前是以@RequestBody修饰的,那么前端传递json参数时,必须满足以下要求:后端@RequestBody注解对应的类在将HTTP的输入流(含请求体)装配到目标类(即:@RequestBody后面的类)时...
@RequestBody与@Validated使用时校验失效.md
08-02
@RequestBody与@Validated使用时校验失效.md
Spring MVC打印@RequestBody、@Response日志的方法
08-26
为了解决这个问题,我们需要使用RequestBodyAdvisor和ResponseBodyAdvisor来实现对@RequestBody和@Response的日志输出。RequestBodyAdvisor可以获取到解析后的Controller方法参数对象,而ResponseBodyAdvisor可以...
解读@RequestBody的正确使用方法
08-28
主要介绍了解读@RequestBody的正确使用方法,具有一定借鉴价值
人人和若依处理Xss防御解析
qq_39007838的博客
09-16 1254
xss
SpringMVC 增加了一个 xss 过滤器,导致 Controller 上传的文件为空
qq_27319683的博客
05-07 1219
最近做的一个项目进行安全测试时测出了 SQL 注入问题,严重级别为高危,怎么办呢?我还是个雏,还没学会飞呢,挠挠头,硬上吧,然后把之前项目里的 xss 都弄过来修修改改,然后跑起来,震惊了,竟然全都过滤了,是的,全都过滤了,连上传的文件都给我过滤了,咋办?再百度,结果全是千篇一律的抄袭,没一个能用的,还是发个帖子大家帮我瞅瞅,看看怎么解决一下,头发都挠掉一大把了,听说植发一根二十块,听着都吓人。 ...
java xss漏洞Filter
走走停停的小码农的博客
05-18 9315
public class XssFilter implements Filter { private static final Logger logger = LogManager.getLogger(XssFilter.class); /** * 排除部分URL不做过滤 */ private List excludeUrls = new ArrayList(); /**
Springboot 在Fliter中读取Request请求流后,在Controller中为空的问题
u012977486的博客
03-26 1796
问题描述 A系统和B系统需要通讯,A系统对参数加密,B系统在Fliter拦截器中拦截后,读取流,解析参数做数据校验处理,正常读取解析后,发现流到达Controller层后,报错,请求流已经被读取,为空的问题。 解决办法 对于Request请求流只能被读取一次的问题,解决问题的主题思想,将Request请求流复制保存到一个final 字节数组中,这样,request请求流到达C...
SpringBoot使用Jsoup处理Xss攻击,包括RequestBody处理 (包括Jsoup的坑)
热门推荐
zzzgd_666的博客
09-27 1万+
一 Jsoup 在处理xss攻击的时候,以前都是自己将特殊字符和敏感属性进行转义或替换,代码十分繁杂,这几天在网上找到了一个比较好的框架:Jsoup, 它可以让java能对Html标签做各种各样的处理,其中就有处理非法标签和属性的api. Jsoup官网介绍如下: jsoup实现WHATWG HTML5规范,并将HTML解析为与现代浏览器相同的DOM。 从URL,文件或字符串中刮取和解析 HTM...
Spring拦截器和过滤器中读取body内容后Controller数据为空问题解决
MrLee的博客
04-20 5086
1,RequestBody只能读取一遍请求数据流 原因:那是因为流对应的是数据,数据放在内存中,有的是部分放在内存中。read 一次标记一次当前位置(mark position),第二次read就从标记位置继续读(从内存中copy)数据。 所以这就是为什么读了一次第二次是空了。 怎么让它不为空呢?只要inputstream 中的pos 变成0就可以重写读取当前内存中的数据。javaAPI中有一个...
SpringMVC在Controller类之前取出body参数导致@RequestBody值为空的解决方案
路上有个、坑的博客
10-16 2094
SpringMVC在Controller前取出body参数导致@RequestBody值为空的解决方案问题的产生环境问题的产生的原因解决方案 问题的产生环境 经常有需要需要在访问到具体的接口前需要对请求过来的参数做一些处理,比如用户权限校验,入参打印之类的。一般我们都会使用Filter,Interceptor里面的preHandle去操作。如果是url的话还好request.getParameter(“xxx”)就能取出想要的值,但是如果在body里面,那自然会想request.getInputStream
@RequestBody参数解析的原理是什么
06-02
在Spring框架中,@RequestBody注解用于将HTTP请求正文转换为Java对象。当客户端向服务器发送POST请求时,在请求的正文中可能会包含一些参数,这些参数需要被解析成Java对象。@RequestBody注解的作用就是将请求中的参数映射到一个Java对象中。 @RequestBody注解的底层原理是使用消息转换器(MessageConverter)实现的。Spring MVC框架中默认使用的消息转换器是Jackson,它可以将JSON格式的请求参数转换为Java对象。 当一个请求到达Spring MVC框架时,框架会根据请求头中的Content-Type来确定请求正文的类型。然后,框架会选择一个合适的消息转换器来将请求正文转换为Java对象。如果请求头中的Content-Type为application/json,则框架会选择Jackson消息转换器来将JSON格式的请求正文转换为Java对象。 最终,将Java对象作为方法的参数传递给Controller层的方法,供开发者使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值