JAVA跨域脚本攻击,filter中拦截不到数据

最新推荐文章于 2022-11-10 13:24:03 发布
最新推荐文章于 2022-11-10 13:24:03 发布
阅读量403 收藏
点赞数
分类专栏: java杂文 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cnhnslhs/article/details/84604492
版权
最近项目在做安全扫描,扫出来“跨域脚本攻击”的安全漏洞,修复这个漏洞的时候发现了一个问题:
当FORM 表单中设置encType="multipart/form-data",filter中将拦截不到此表单数据,查看了一些源码发现此数据都是封装到multipartServeletRequest中的,但是能拿到这些数据,但是过滤之后,这些数据无法放回去。
导致此问题无法解决,问过公司架构师,貌似他们也没有好的方法。只能建议,有上传功能时,单独上传,跟数据上传分开做。

对于普通的form表单,修复此漏洞,只需将request.getParameterMap()中的数据迭代替换。
由于项目保密问题,以下是关键代码: 

public class aaa implements Filter {
	public void doFilter(ServletRequest request, ServletResponse response,FilterChain filterChain) throws IOException, ServletException {
		setReplaceStr(filterConfig.getInitParameter("replaceStr"));//replaceStr变量 get和set方法
			setExcludeParamName(filterConfig
					.getInitParameter("excludeParamName"));//excludeParamName变量 get和set方法

cleanParameters(request.getParameterMap());
		filterChain.doFilter(req, response);
	}
private void cleanParameters(Map original) {
		for (Object key : original.keySet()) {

			Object value = original.get(key);
			if (value instanceof String[]) {
				// 不需要过滤的参数名
				if (getExcludeParamNames() != null
						&& getExcludeParamNames().contains(key)) {
					parameterMap.put(key, (String[]) value);
				} else {
					parameterMap.put(key, clean((String[]) value));
				}
			} else {
				parameterMap.put(key, value);
			}
		}
	}
private String[] clean(String[] values) {
		List<SensitiveKeyFilterKey> keys = null;
		String[] clean = new String[values.length];
		for (int i = 0; i < clean.length; i++) {
			// 清理xss攻击
			clean[i] = Jsoup.clean(values[i], TagWhitelist.defaultWhitelist());
					}
		return clean;
	}
}


其中Jsoup是一个开源的jar包,网上可以搜索到,在此不上传了。
cnhnslhs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用java filter 实现业务异常拦截源码
10-15
利用java filter 实现业务异常拦截 跳转到错误信息提示页面 我们在做项目肯定都会遇到自定义业务异常 ,然后将业务异常信息跳转的统一的信息提示页面的情况,比如我们在struts的时候我们会用到struts的异常处理机制,我们在业务层会跑出我们遇到业务处理异常 ,然后交由struts处理将提示信息到一个页面进行显示,来提示用户的相关操作,这里我们会根据以上情景设计一下怎么来显示该功能
filter为什么不能过滤请求?
weixin_46577715的博客
11-29 402
filter过滤器只能过滤Post请求,对get请求不起作用。
如何处理Filter的异常
weixin_49648855的博客
11-10 1865
shiro解决 无法捕捉异常
SSH框架Filter过滤拦截不生效的原因
qq_25740665的博客
10-19 3116
昨天在我的ssh项目写的一个登录过滤器不生效,该类已经实现了filter接口,然后在web.xml里也配置了,但是始终不生效。 解决方法:在web.xml将该过滤器顺序写到struts2核心过滤器前面就生效了。
关于filter无法统一异常拦截的处理
qq_44365786的博客
11-24 625
网上找了很久,很多方法都试了,没有啥用 后来看到一个大佬很有意思的想法,直接在filter将报错信息返回,太秀了!! try { executeLogin(request, response); return true; } catch (Exception e) { Map<String, String> map = new HashMap<>(); map.put("
java filter 是否能拦截到form表单的所有数据_Java修行第073天---SpringMVC(下)
weixin_39768645的博客
11-28 325
9. 文件上传(注册mvc注解驱动、文件上传解析器,导入相关jar包) (1)上传单个文件首先,导入两个架包然后,在index.jsp写一个from表单 注意:这里的一个新添加属性:enctype表单enctype=”multipart/form-data”的意思,是设置表单的MIME编码。默认情况,这个编码格式是application/x-www-form-urlencoded,不能用于文件...
JAVA通过Filter实现允许服务跨域请求的方法
08-26
里的域指的是这样的一个概念:我们认为若协议 + 域名 + 端口号均相同,那么就是同域即我们常说的浏览器请求的同源策略。这篇文章主要介绍了JAVA通过Filter实现允许服务跨域请求,需要的朋友可以参考下
Java跨域问题的处理详解
08-31
Java 处理跨域问题是一个常见的问题,究其根源是由于浏览器的同源策略限制。所谓的同源策略是指三个方面的“相同”:域名相同、协议相同、端口相同。如果不满足这三个条件,浏览器将禁止数据的交换。那么,如何...
java解决请求跨域的两种方法
08-25
使用拦截器实现 CORS 需要实现 javax.servlet.Filter 接口,并在 Filter 设置响应头,允许跨域请求访问。下面是一个简单的示例代码: ```java import javax.servlet.Filter; import javax.servlet.FilterChain; ...
Java开发解决Js的跨域问题过程解析
10-15
主要介绍了Java开发解决Js的跨域问题过程解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
基于iframe实现ajax跨域请求 获取网页ajax数据
10-22
主要介绍了基于iframe实现ajax跨域请求,并获取网页ajax数据,如何利用网页ajax请求暴露出来的接口去抓取网页数据?需要的朋友可以参考下
java filter 是否能拦截到form表单的所有数据_Spring Boot使用过滤器和拦截器分别实现REST接口简易安全认证...
weixin_39999536的博客
11-26 409
本文通过一个简易安全认证示例的开发实践,理解过滤器和拦截器的工作原理。很多文章都将过滤器(Filter)、拦截器(Interceptor)和监听器(Listener)这三者和Spring关联起来讲解,并认为过滤器(Filter)、拦截器(Interceptor)和监听器(Listener)是Spring提供的应用广泛的组件功能。但是严格来说,过滤器和监听器属于Servlet范畴的API,和Spri...
SpringMVC的Filter拦截操作未执行
不积跬步,无以至千里
11-17 660
问题:用户在执行某个接口时, 系统未拦截目标链接执行Filter 解决办法:在启动类添加扫描注解 @ServletComponentScan //扫描servlet
Spring Boot ,Spring Security的Filter在Tomcat正常,部署在Weblogic 12c Filter顺序出错,导致拦截权限不生效问题
记录工作的常用技术、技能技巧
11-27 3493
Spring Boot使用main函数启动或在tomcat启动时,Filter是按照正常的顺序执行拦截,将工程打包为war包,部署到weblogic上时,Filter执行顺序错乱,导致权限拦截出错。 最近公司的一个项目使用Spring Boot开发,前期也做了技术评估,打包成war到Tomcat和Weblogic 12c上运行,静态资源和RequestMapping访问均正常,以为万事大吉,就
springboot 拦截器 及 可能失效原因
wkNote
01-02 8020
  拦截器handleInterceptor是一个类似于filter的东西,不过他的拦截filter更加精准,可以到达方法级别,拦截器的执行时间是filter之后,可以和filter同时使用,但是handleInterceptor是springMVC的内容,离开了springMVC就不好用了,建议使用filter,更具通用性。   filter在doFilter里,可以在chain.doFli...
解决springmvc在multipart/form-data方式提交请求在过滤器Filter获取不到参数的问题...
weixin_34198453的博客
03-12 2215
这两天在项目遇到这样一种情况,通过过滤器filter获取参数token去验证是否登录,始终获取不到,一直是null,而通过拦截器(interceptor)可以,百度一番,终于明白其缘由.... 我们只需要理解两点: 1)一个请求到达过滤器filter时还未经过spring的请求解析,到达拦截器(interceptor)时请求已经经过spring的解...
spring mvc enctype=multipart/form-data 参数过滤
zhoucanji的博客
03-27 1047
当表单的enctype=multipart/form-data时,一般的过滤器无法获取参数,所以在springmvc配置文件注解适配器把org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter改com.zcj.MyAnnotationMethodHandlerAdapter,这个类是继承spring的...
Spring MVC过滤form表单为"multipart/form-data"时遇到问题
A_Runner的博客
11-20 3516
“风不定,人初静,明月落红应满径” 起因 最初因为这样,我们系统被送去检测漏洞,发现了XSS攻击的漏洞。如下图: 在产品描述的地方写上一些JS脚本,我们系统的过滤器不会过滤掉这些脚本。于是,开始了下面的寻找真相过程。 寻找真相 首先,上图的form表属性为:&amp;lt;form id=&quot;XXX&quot; method=&quot;post&quot; enctype=&quot;multipart/form-data&quot;
spring mvc当表单请求为application/json或enctype="multipart/form-data 过滤请求值参数,取不到请求参数问题
zhangxitab的博客
07-07 1974
1,此种情况form 非application/x-www-form-urlencoded类型 2,在spring-mvc.xml里        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"        xmlns:p="http://www.springframework.org/schema/p"       
Java解决了跨域为什么拦截器用不了
最新发布
06-03
Java通过CORS(跨域资源共享)机制来解决跨域问题,这种机制可以在前后端之间进行通信,允许客户端访问不同源的服务器资源。而拦截器是在后端应用使用的,它可以对请求进行拦截和处理,但是它并不能解决跨域问题。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值