HttpServletRequestWrapper通过filter做XSS

最新推荐文章于 2022-12-04 17:31:56 发布
最新推荐文章于 2022-12-04 17:31:56 发布
阅读量3.4k 收藏 2
点赞数 2
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a350301941/article/details/80811851
版权

XSS的具体解释这里不多说,XSS简单的防注入其实就是字符的替换和屏蔽。这就需要我们在服务器接受数据对数据进行处理。

Filter能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。

但是不能修改HttpServletRequest对象,我们可以用HttpServletRequestWrapper包装HttpServletRequest对象通过包装实现参数的修改。

这里简单介绍下ajax的请求在由HttpServletRequestWrapper拦截时获取参数的情况。

根据Servlet规范,如果同时满足下列条件,则请求体(Entity)中的表单数据,将被填充到request的parameter集合中(request.getParameter系列方法可以读取相关数据):
1 这是一个HTTP/HTTPS请求
2 请求方法是POST(querystring无论是否POST都将被设置到parameter中)
3 请求的类型(Content-Type头)是application/x-www-form-urlencoded

4 Servlet调用了getParameter系列方法

如果上述条件没有同时满足,则相关的表单数据不会被设置进request的parameter集合中,相关的数据可以通过request.getInputStream()来访问。反之,如果上述条件均满足,相关的表单数据将不能再通过request.getInputStream()来读取。

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.util.Map;

import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang3.StringEscapeUtils;

import com.alibaba.fastjson.JSON;
import com.fx.urthinkerManager.utils.StringUtil;

public class XSSRequestWrapper extends  HttpServletRequestWrapper {
	private String body;
	
	//private Map<String, String[]> parameterMap; // 所有参数的Map集合
	public XSSRequestWrapper(HttpServletRequest request) {
		super(request);
		body = HttpGetBody.getBodyString(request);   
		
		//parameterMap = request.getParameterMap();
		 
	}

	@Override  
    public String getQueryString() {  
        return StringEscapeUtils.escapeHtml4(super.getQueryString());  
    }  
	
	
	@Override
	public Object getAttribute(String name) {
		return super.getAttribute(name);
	}

	@Override
    public String getHeader(String name) {
        return StringEscapeUtils.escapeHtml4(super.getHeader(name));
    }

	@Override
	public String getParameter(String name) {
		System.out.println(super.getParameter(name));
		return 	StringEscapeUtils.escapeHtml4(super.getParameter(name));
	}


	@Override  
    public String[] getParameterValues(String name) {  
        String[] values = super.getParameterValues(name);  
        if(values != null) {  
            int length = values.length;  
            String[] escapseValues = new String[length];  
            for(int i = 0; i < length; i++){  
                escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);  
            }  
            return escapseValues;  
        }  
        return super.getParameterValues(name);  
    }
	@Override
    public ServletInputStream getInputStream() throws IOException {
        ServletInputStream inputStream = null;
        if(StringUtil.isNotEmpty(body)){
        	Map<String, Object> paramMap = JSON.parseObject(body);
        	for (Map.Entry<String, Object> entry : paramMap.entrySet()) {
        	      paramMap.put(StringEscapeUtils.escapeHtml4(entry.getKey()),
        	    		  StringEscapeUtils.escapeHtml4(entry.getValue().toString()));
        	    }
        	body = JSON.toJSONString(paramMap);
            inputStream =  new PostServletInputStream(body);
        }
        return inputStream;
    }
	

	@Override
	public BufferedReader getReader() throws IOException {
		  String enc = getCharacterEncoding();
	        if(enc == null) enc = "UTF-8";
	        return new BufferedReader(new InputStreamReader(getInputStream()));
	}


辅助类1:由数据流过去body参数

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.nio.charset.Charset;

import javax.servlet.ServletRequest;

public class HttpGetBody {
	/**  
     * 获取请求Body  
     * @param request  
     * @return  
     */    
    public static String getBodyString(ServletRequest request) {    
       //StringBuilder sb = new StringBuilder(); 
        StringBuffer sb = new StringBuffer();
        InputStream inputStream = null;    
        BufferedReader reader = null;    
        try {    
            inputStream = request.getInputStream();    
            reader = new BufferedReader(new InputStreamReader(inputStream, Charset.forName("UTF-8")));    
            String line = "";    
            while ((line = reader.readLine()) != null) {    
                sb.append(line);    
            }    
        } catch (IOException e) {    
            e.printStackTrace();    
        } finally {    
            if (inputStream != null) {    
                try {    
                    inputStream.close();    
                } catch (IOException e) {    
                    e.printStackTrace();    
                }    
            }    
            if (reader != null) {    
                try {    
                    reader.close();    
                } catch (IOException e) {    
                    e.printStackTrace();    
                }    
            }    
        }    
        return sb.toString();    
    }

辅助类2:包装数据流,用于后续的controller 获取参数

import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.nio.charset.Charset;

import javax.servlet.ServletInputStream;

public class PostServletInputStream extends  ServletInputStream {
	  private InputStream inputStream;
	  private String body ;//解析json之后的文本
	  
	  public PostServletInputStream(String body) throws IOException {
	        this.body=body;
	        inputStream = null;
	    }
	  
	  
	  private InputStream acquireInputStream() throws IOException {
	        if(inputStream == null) {
	            inputStream = new ByteArrayInputStream(body.getBytes(Charset.forName("UTF-8")));  
	            //通过解析之后传入的文本生成inputStream以便后面control调用
	        }   

	        return inputStream;
	    }
	  
	  public void close() throws IOException {
	        try {
	            if(inputStream != null) {
	                inputStream.close();
	            }
	        }
	        catch(IOException e) {
	            throw e;
	        }
	        finally {
	            inputStream = null;
	        }
	    }
	  public boolean markSupported() {
	        return false;
	    }

	    public synchronized void mark(int i) {
	        throw new UnsupportedOperationException("mark not supported");
	    }


	    public synchronized void reset() throws IOException {
	        throw new IOException(new UnsupportedOperationException("reset not supported"));
	    }
	  
	@Override
	public int read() throws IOException {
		 return acquireInputStream().read();
    
	}

}

filter

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.fx.urthinkerManager.XSSRequest.XSSRequestWrapper;

public class XSSpringFilter implements Filter{

	@Override
	public void destroy() {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		 	HttpServletRequest req = (HttpServletRequest) request;  
			
	        chain.doFilter(new XSSRequestWrapper(req), response);
		
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub
		
	}

在web.xml配置 

<filter>  
        <filter-name>XSSFilter</filter-name>  
        <filter-class>com.123.XSSpringFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>XSSFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>
好了,代码贴完了。 惊恐 尴尬 惊恐 尴尬我也不知道自己写了个啥。。




小松鼠米老鼠
关注
专栏目录
HttpServletRequestWrapper 实现xss注入
mid120的博客
12-27 6826
自定义一个wapper 实现 HttpServletRequestWrapperpackage cn.baozun.crm.task.filter;import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;/** * * <p>xss过滤</p> * @au
spring利用filter进行xss过滤(包含post请求)以及请求入参日志输出
六年级的叔叔
04-20 5083
背景:过滤xss攻击,同时将过滤后的日志输出到指定文件。(指定文件输出请看上篇博文) 前景:利用filter进行xss攻击过滤,需要应对不同请求不同的过滤处理,若是post请求的json格式数据,需要重写getinputstream方法(因为流读取一次后,下层controller无法再次进行读取。原理可自行百度) 因此需要重写两个wrapper(继承HttpServletRequestWra...
XSS漏洞通过HttpServletRequestWrapper实现
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper中实现参数的修改,然后用Http...
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
XssHttpServletRequestWrapper过滤器
零落的尘土
12-24 7058
XssHttpServletRequestWrapper过滤器 先定义需要过滤的变量如下: private static final String EVENTS = "((?i)onclick|oncontextmenu|ondblclick|onmousedown|onmouseenter|onmouseleave|" + "onmousemove|onmouse...
使用HttpServletRequestWrapperfilter修改request参数
04-12
NULL 博文链接:https://rensanning.iteye.com/blog/1706208
JSP spring boot / cloud 使用filter防止XSS
10-19
通过创建一个自定义的FilterXssFilter,在其doFilter方法中,我们可以对请求进行如下处理: 1. 获取请求中的数据,包括请求头(requestHeader)、请求体(requestBody)和请求参数(requestParameter)。 2. 利用...
XSSFilter源码
06-03
XSSFilter是一种有效的防御XSS攻击的手段,通过对请求参数进行过滤处理,可以有效减少因XSS攻击导致的安全风险。通过上述分析可以看出,XSSFilter的设计思路清晰,逻辑简单易懂,易于集成到现有的Web应用中。开发者...
使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper...
SpringBoot2.1.x,集成POI,用HttpServletRequestWrapper实现XSS攻击拦截,用HttpServletResponseWrapper实现通用excel导出功能
p812438109的专栏
08-07 1440
该案例是用Filter拦截器实现excel通用导出功能,并在实现的过程中,加入了XSS攻击拦截功能。 局限性: 1、excel通用导出,只能用于一种导出模板,列头+数据格式 2、不适合数据超大导出 导出excel通用模板格式效果图: 第一步:创建一个maven项目,引入springboot的jar,并引入POI导出excel需要的jar <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http:/..
HttpServletRequestWrapper 用法
05-26
NULL 博文链接:https://fishhappy365.iteye.com/blog/484185
【转】HttpServletRequestWrapper 实现xss注入
weixin_30888413的博客
09-15 188
  这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。 解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。 其中,输入...
HttpServletRequestWrapper 实现xss注入 跨站点脚本编制
neusoft-mengxiaoming的专栏
07-23 1109
主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法 web.xml配置filter &lt;filter&gt; &lt;filter-name&gt;XssEscape&lt;/filter-name&gt; ...
cas HttpServletRequestWrapperFilter
weixin_34004750的博客
04-13 1264
HttpServletRequestWrapperFilter 作用其实很简单就是 在HttpServletRequest对象在包装一次,让其支持getUserPrincipal,getRemoteUser方法来获取登录的用户信息。 public void doFilter(ServletRequest servletRequest, ServletResponse servletRespon...
SpringMVC XSSHttpServletRequestWrapper使用风险与应对方案
爱旅行的攻城狮
09-01 5870
问题描述: 一看到XSS【URL跨站请求】或者SQL注入,大家立马都会上网去搜索对应的解决方法,但是搜索到的几乎都是千篇一律的答案。 那就是写一个自定义的RequestWrapper并继承与HttpServletRequestWrapper,然后重构里面的getParameter……等相关方法。在重构 的方法中加上我们的自定义过滤函数。但是在实践的过程中,偶然发现一个问题。当我们的表单数据包
后端抵御XSS攻击,使用继承HttpServletRequestWrapper,对request的内容进行转义
wuyang1115998756的博客
12-04 1385
java 转义 request请求内容 低于XSS工具(继承HttpServletRequestWrapper) 踩雷 org.springframework.http.converter.HttpMessageNotReadableException: JSON parse error。。。。。。。。。。。。。。。。。。。。。。。
继承HttpServletRequestWrapper以实现在Filter中修改HttpServletRequest的参数
lawliet的博客
02-17 1万+
一 简介 如题所示,有时候我们需要在一个请求到达Controller之前能够截获其请求,并且根据其具体情况对 HttpServletRequest 中的参数进行过滤或者修改。这时,有的同学可能会想:我们是否可以在一个Filter中将 HttpServletRequest 里的所有参数都取出来分别进行过滤然后再放回到该HttpServletRequest 中呢? 很显然,在 HttpServle
Filter过滤器及HttpServletRequestWrapper使用
热门推荐
进修的CODER
05-07 1万+
Filter过滤器是一种比较实用的东西,可以过滤不良信息,对提交来的信息进行处理。是Request和Response之间的传输纽带。 具有重要作用,下面用一个Filter过滤器的程序来熟悉过滤器的使用。在提交的数据信息中,有一些信息需要过滤掉。例如, 一些暴力情色信息,我们可以通过过滤器来过滤掉这些信息,过滤器功能代码如下: public class WordFilter im...
java 代码实现xssFilter
最新发布
03-28
以下是一个基本的Java代码实现XSS过滤器的示例: ``` import java.util.regex.Pattern; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XSSFilterRequestWrapper extends HttpServletRequestWrapper { public XSSFilterRequestWrapper(HttpServletRequest servletRequest) { super(servletRequest); } @Override public String[] getParameterValues(String parameter) { String[] values = super.getParameterValues(parameter); if (values == null) { return null; } int count = values.length; String[] encodedValues = new String[count]; for (int i = 0; i < count; i++) { encodedValues[i] = xssClean(values[i]); } return encodedValues; } @Override public String getParameter(String parameter) { String value = super.getParameter(parameter); return xssClean(value); } @Override public String getHeader(String name) { String value = super.getHeader(name); return xssClean(value); } private String xssClean(String value) { if (value != null) { // 防止脚本注入 Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); // 防止表单重定向 scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // 防止脚本注入 scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // 防止HTML标签注入 scriptPattern = Pattern.compile("<", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll("<"); scriptPattern = Pattern.compile(">", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(">"); } return value; } } ``` 这个过滤器实现了`javax.servlet.http.HttpServletRequestWrapper`接口,重写了三个方法: - `getParameterValues`:过滤所有参数值并返回过滤后的结果数组。 - `getParameter`:过滤单个参数值并返回过滤后的结果。 - `getHeader`:过滤HTTP头部并返回过滤后的结果。 它使用正则表达式来替换所有可能的XSS攻击代码,并将结果返回给调用者。使用该过滤器可以大大提高应用程序的安全性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值