tomcat 全局参数过滤

最新推荐文章于 2024-02-22 13:14:16 发布
最新推荐文章于 2024-02-22 13:14:16 发布
阅读量1.4k 收藏
点赞数
文章标签: tomcat javascript servlet web 百度
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/buptisc_txy/article/details/5643575
版权
通过Tomcat Valve实现全局参数过滤,如BadInputFilterValve.java源代码所示,用于防止XSS攻击。但该方法对特殊字符的转义可能不完全,存在局限性和潜在逻辑隐患。
摘要由CSDN通过智能技术生成

因为输入参数的多样性,我一直怀疑能否做全局性的参数过滤。没想到看tomcat的安全防护时竟然有这个建议。这本书可以在百度文库中搜到。

该书说道:Tomcat Valve可将程序代码插入Tomcat 中,并让该程序代码在不同的请求及响应处理阶段执行,而Web应用程序的内容则在中间阶段执行(即,在处理请求之后,处理响应之前)。Valve 不是Web 应用程序的一部分,而是可以当成Tomcat servlet container 的一部分来执行的程序模块。Valve 的另一项优点是,Tomcat 的系统管理员可以设定Valve 在所有部署的Web 应用程序或特定的Web 应用程序中执行—— 无论所需的范围为何。附录四中含有BadInputFilterValve.java 的完整源代码。

我看了下BadInputFilterValve.java源代码,主要的部分如下:

quotesHashMap.put("/"", """);

quotesHashMap.put("/'", "'");

quotesHashMap.put("`", "`");

angleBracketsHashMap.put("<", "<");

angleBracketsHashMap.put(">", ">");

javaScriptHashMap.put("document(.*)//.(.*)cookie", "document.cookie");

javaScriptHashMap.put("eval(//s*)//(", "eval(");

javaScriptH

最低0.47元/天 解锁文章
buptisc_txy
关注
Tomcat内核、集群、参数及性能
seaboat——a free boat on the sea.(公众号:远洋号)
01-24 2295
主题简介: 内核实现原理 分布式集群 生产部署关键参数 性能监控和分析 一、内核实现原理 HTTP Web服务器与浏览器之间以HTTP协议通信,浏览器要访问服务器即向服务器发送HTTP请求报文。 如图,此处用get方法访问了localhost的8080端口的Web、Index、JSP,服务器返回200状态码并将一些HTTP报文返回到客户端。 HTTP报文 从图中可以看到
SpringCloud学习7(Spring Cloud Alibaba)服务网关GateWay、网关(局部、全局过滤
Huathy的博客
04-05 1312
Nginx + Lua :nginx支持lua脚本。使用nginx负载均衡可以实现对api服务器的负载均衡高可用。Kong : 基于Nginx+Lua开发,高性能、稳定,插件,开箱即用。仅支持http协议。二开产品,扩展困难。缺乏易用的管控、配置方式。Zuul :Netflix开源网关,功能丰富,易于二开。但缺乏管控,无法动态配置,依赖组件较多。处理http请求依赖web容器,性能不及nginx和Spring Cloud Gateway。底层是Servlet
Tomcat:为Filter过滤器设置参数
weixin_33850890的博客
01-18 388
2019独角兽企业重金招聘Python工程师标准>>> ...
tomcat全局过滤
weixin_34026484的博客
07-05 602
为什么80%的码农都做不了架构师?>>> ...
利用过滤器,修改前端请求参数。后面添加了,修改后端返回参数
liuno0的博客
08-15 3192
项目上用的这个过滤器,主要流程是。前端请求所带的参数是全部加密的。我用过滤器截获到请求携带的数据,解密,放行 理论上请求request是不能被修改的。可以继承HttpServletRequestWrapper,重写父类方法,来实现。 启动类 @SpringBootApplication @ServletComponentScan(basePackages = "com.example....
tomcat访问(access)日志配置、记录Post请求参数
热门推荐
qq_30121245的博客
10-19 3万+
tomcat访问日志格式配置,在config/server.xml里Host标签下加上                prefix="localhost_access_log." suffix=".txt"                pattern="%h %l %u %t "%r" [%{postdata}r] %s %{Referer}i %{User-Agen
基于Tomcat实现登录过滤、分页、以及servlet增删改查 ——一套完整流程
qq_54145732的博客
07-28 435
本内容基于Tomcat运用了servlet,ajax来实现前端对后台数据的传输,以及过滤filter来实现没有登录成功之前,不能访问我们要增删改查的信息。必须注册用户登录成功之后,才能正常访问我们的数据页面。适合刚学习servlet的小伙伴。该文章上传了核心代码,部分类的的定义以及接口没有上传,可以从实现类中看出小编也是小白,如有错误,请提出意见,互相进步。有问题请评论哦!......
STRUTS ActionForm乱码,servlet全局过滤器转义编码。
09-17
Struts框架中的ActionForm乱码问题以及Servlet全局过滤器的转义编码处理是Java Web开发中常见的字符编码问题。在开发基于Struts的Web应用时,乱码主要出现在三个方面:页面显示乱码、参数传递乱码以及国际化资源文件...
apache-tomcat-9.0.12.zip
07-23
解决这些问题通常需要检查配置文件、调整服务器的启动参数或者修改操作系统设置。 总的来说,Apache Tomcat 9.0.12是一个强大的Java Web应用服务器,它的灵活性、易用性和社区支持使得它成为开发者和企业的理想选择...
Tomcat 学习之 Filter 过滤
最新发布
zjs246813的博客
02-22 2278
Tomcat 中,Filter 是一种用于拦截请求和响应的组件,可以在请求到达 Servlet 之前或响应离开 Servlet 之后对其进行处理。权限控制:可以使用 Filter 来检查请求的用户是否具有访问特定资源的权限日志记录:可以使用 Filter 来记录请求和响应的信息,以便进行监控和故障排除性能监控:可以使用 Filter 来测量请求的处理时间和响应时间,以便进行性能优化数据加密和解密:可以使用 Filter 来对请求和响应进行加密和解密,以保护敏感信息的安全。
Tomcat过滤诀窍
Mogin的专栏
04-10 2498
Tomcat过滤诀窍 过滤Tomcat 4 的新功能。(如想了解 Tomcat 的简要历史,请参阅 Tomcat 的故事)。它是 Servlet 2.3 规范的一部分,并且最终将为所有支持此标准的 J2EE 容器的厂商所采用执行。开发人员将能够用过滤器来实现以前使用不便的或难以实现的功能,这些功能包括: 资源访问(Web 页、JSP 页、servlet)的定制身
tomcat过滤
beijing20120926的专栏
02-18 1403
过滤Tomcat 4 的新功能。它是Servlet 2.3 规范的一部分,并且最终将为所有支持此标准的 J2EE容器的厂商所采用执行。开发人员将能够用过滤器来实现以前使用不便的或难以实现的功能,这些功能包括: 资源访问(Web 页、JSP 页、servlet)的定制身份认证应用程序级的访问资源的审核和记录应用程序范围内对资源的加密访问,它建立在定制的加密方案基础上对被访问资源的及时转
tomcat中的过滤
weixin_44023129的博客
09-04 2147
过滤器 1、简单介绍 过滤器是在服务器上的一项技术,实现了特定的接口,优先于请求资源到达之前进行执行。达到的效果是能够对请求的资源起到过滤的作用 需要满足了要求,则通过;否则,过滤掉这个请求。 2、过滤器的作用 对目标资源进行过滤,请求的servlet、jsp等等。 使用场景:权限管理、请求参数乱码、过滤敏感字符等 3、快速入门 ①创建一个类,实现接口Filter public class MyFilter implements Filter { // 销毁方法 public void de
Tomcat服务器过滤指定IP或主机属性
张波的技术积累
07-08 2931
这些Valves允许您用主机名或IP地址来过滤请求,并允许或拒绝匹配的主机。其功用类似于 Apache httpd中基于目录的Allow/Deny指令。如果执行Tomcat管理Web应用程序(如Lambda Probe),您可能希望只从localhost来访问它,如下所示:
Tomcat中文乱码解决方案
首先,我们可以通过修改Tomcat的配置文件来设置全局编码。在`server.xml`文件中的`<Connector>`标签内,可以添加`URIEncoding`属性,并将其值设为"UTF-8",例如: ```xml URIEncoding="UTF-8" connectionTimeout=...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值