servlet过滤器防xss,sql注入.filter里修改parameter参数

最新推荐文章于 2024-07-10 15:30:25 发布
最新推荐文章于 2024-07-10 15:30:25 发布
阅读量3.2k 收藏
点赞数
分类专栏: Java 文章标签: filter servlet java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sc_jelly/article/details/17242535
版权

这中间起到最关键作用的就是HttpServletRequestWrapper

首先创建一个类继承HttpServletRequestWrapper。然后重写getAttribute,getParameter,getParameterValues,getParameterMap这几个方法。

public class OpRequestWrap extends HttpServletRequestWrapper {

    public OpRequestWrap(HttpServletRequest request) {
        super(request);
    }

    private String format(String name) {
        return StringUtils.replaceEach(name,//
                new String[]{"\"","'","<",">"},             //
                new String[]{""","´","<",">"});
        //return StringEscapeUtils.escapeHtml4(name);
    }

    /**
     *
     * @param name
     * @return
     */
    public Object getAttribute(String name) {
        Object value = super.getAttribute(name);
        if (value instanceof String) {
            value = format(String.valueOf(value));
        }
        return value;
    }

    /**
     * 重写getParameter方法
     *
     * @param name
     * @return
     */
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (value == null)
            return null;
        return format(value);
    }

    /**
     *
     * @param name
     * @return
     */
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                values[i] = format(values[i]);
            }
        }
        return values;
    }

    /**
     * @return
     */
    public Map<String, String[]> getParameterMap() {

        HashMap<String, String[]> paramMap = (HashMap<String, String[]>) super.getParameterMap();
        paramMap = (HashMap<String, String[]>) paramMap.clone();

        for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext(); ) {
            Map.Entry<String,String[]> entry = (Map.Entry<String,String[]>) iterator.next();
            String [] values = entry.getValue();
            for (int i = 0; i < values.length; i++) {
                if(values[i] instanceof String){
                    values[i] = format(values[i]);
                }
            }
            entry.setValue(values);
        }
        return paramMap;
    }
}

然后配置一个过滤器; 


   @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        filterChain.doFilter(new OpRequestWrap((HttpServletRequest) servletRequest),servletResponse);
    }

请仔细看doFilter里面的request,这一步也很重要。它是对request进行包装,才能起到修改request中参数,属性的功能。








凉粉zzz
关注
专栏目录
绝对好用的安全Filter(过滤SQL和XSS)
傻根她弟
09-12 1464
最近被安保测评搞得头疼,本来网站上有XSS处理,代码也是参考网络,结果发现不好使。此处呵呵了。。。。 一般情况下百度出来的结果都是不好用的例子,虽然代码还挺全面,就是拦不住你说气人不气人。 下面发一个经过我实际应用好使的XSS过滤器,帮大家节省时间 /** * 安全的Filter(过滤SQL和XSS) * * * <!-- 解决xss & sql漏洞 -...
xsssql注入及csrf
qq_36173194的博客
04-12 396
简单总结一下: xss:跨站脚本攻击,通过前端input将js脚本注入到后台 sql注入:将恶意的sql命令注入到后台数据库引擎执行 csrf:跨站请求伪造,以用户身份在攻击页面对目标网站发起伪造用户操作的请求 其中xsssql注入可以通过拦截请求并进行特殊字符过滤来御,而csrf需要进行referer检测和token校验进行御,如果只做了referer检测,在实际的第三方机构检测中...
java过滤器或者拦截器中Request.parameter参数进行添加或修改
dmlcq的博客
05-24 7383
在讲解这个问题之前,我先讲讲我的需求。 我的需求就是处理前台传来的请求,在过滤器面给表达式的值赋值为系统的值。然后传到具体方法中。 过滤器是这么写的: if(StringUtils.isNotEmpty(userId)&&userId.equals(":userId")){ //获取用户id userId=loginUserInfo.getUserId(); //
使用Servlet FilterSQL注入的方法
felixsyan的专栏
08-28 329
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 filter功能.它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够 在一个request到达servlet之前预处理request,也可以...
struts2如何XSS脚本攻击(XSS跨站脚本攻击过滤器
最新发布
qq_37996327的博客
07-10 492
struts2如何XSS脚本攻击(XSS跨站脚本攻击过滤器
Servlet Filter 技术XSS攻击的过滤器例子
lhever_的博客
03-01 1382
java servletfilter技术xss攻击的例子
javax.servlet.Filter设置Paramter
一羽的专栏
02-17 217
今天碰到一个冷僻的需求,需要在Filter增加request的parameter,类似于 [code="java"]public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) { ... req.setParameter(paramName, paramValue); ...
filter修改request参数
yhbfirst001的专栏
08-26 4156
最近有个项目,客户端发送的参数格式为jsondata={},我的服务端需要的其中的参数值,所以做了一个filter统一解析。问题来了,直接修改req.getParameterMap().put(key, ob.get(key));  会报错java.lang.IllegalSta
网站安全 Spring MVC御CSRF、XSSSQL注入攻击
maikelsong的专栏
08-14 449
本文说一下SpringMVC如何御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRF 对CSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,...
java XssSQL注入攻击
湖人•总冠军
01-17 1万+
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。  1.1.XSS攻击的危害      1、盗取用户资料,比如:登录帐号、...
springboot-sql注入xss攻击,cros恶意访问
热门推荐
2010yhh
11-25 4万+
springboot-sql注入xss攻击,cros恶意访问 文章目录springboot-sql注入xss攻击,cros恶意访问1.sql注入2.xss攻击3.csrf/cros 完整代码下载链接: https://github.com/2010yhh/springBoot-demos.git 环境 idea2018,jdk1.8, springboot版本:springboot1...
filter对request请求拦截,对请求参数进行修改
10-08
对request请求进行拦截,对请求参数修改。常用于前台提交表单参数关键字的过滤。此工具可以对参数拦截并转义后提交到对应的处理类。 除了添加两个JsFilter.java和GetHttpServletRequestWrapper.java之外,需要在web.xml添加对应的配置。 sqlFilter weixin.idea.waiting.cq.controller.JsFilter sqlFilter /*
springboot xss 和sql 注入 改写 http 请求 getParameter,getParameterValues,getHeader等方法 有点东西
银河系天城知识宝库_技术专家蒋浩宇
06-12 1849
1.springboot 启动类 引入 过滤器配置 package com.superman; import java.util.HashMap; import java.util.Map; import org.apache.log4j.BasicConfigurator; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplic
记一次存储型XSS漏洞,但其实重点是解决HttpServletRequest用流读取一次后不能再读取的问题
jiejiaohupo的博客
02-26 1071
记一次存储型XSS漏洞: 网上有很多存储型漏洞处理办法,我们这个特殊之处在于从客户端提交的数据是加密的,所以XSSFilter不能识别处理含脚本的参数值。所以得先得将HttpServletRequest面的加密数据解密,再遍历处理面的字符,但是处理完还得加密塞到HttpServletRequest去,因为后面的逻辑层还要从HttpServletRequest读出来解密做逻辑处理,我们的客户端提交数据都只有值没有参数名,也就是没有key,所以没法用getParameter()方法,只能用流读,但是.
sql server参数嗅探(parameter sniffing)
zhengyuepo的专栏
11-20 681
参数嗅探 Parameter Sniffing
xssJava编写filter实现XSS攻击
qq_37634156的博客
04-08 4938
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
过滤器 java_java中的过滤器
weixin_36105745的博客
02-12 338
过滤器过滤器是处于客户端与服务器资源文件之间的一道过滤网,在访问资源文件之前,通过一系列的过滤器对请求进行修改、判断等,把不符合规则的请求在中途拦截或修改。也可以对响应进行过滤,拦截或修改响应。如图,浏览器发出的请求先递交给第一个filter进行过滤,符合规则则放行,递交给filter链中的下一个过滤器进行过滤。过滤器在链中的顺序与它在web.xml中配置的顺序有关,配置在前的则位于链的前端。当请...
基于Servlet的web应用如何XSS攻击
Cloud-Future的博客
07-31 1121
Servlet 使用jsp作为视图模板,jsp本身存在XSS漏洞,如果Web应用是基于Servlet技术并且使用jsp作为视图模板,也没有引入任何安全框架,那么你的应用就存在XSS漏洞。 本文主要介绍了基于Servlet的web应用如何XSS攻击。 1. XSS漏洞的类型 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:<持久化> 代码是存储在服务
Java代码审计7之XSS
划水的小白白
07-29 442
1、漏洞代码 2、修复XSS 2.1、单个文件修复 2.2、通用过滤 3、一些补充 之前的文章, php代码审计14之XSS
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值