前台RequestPayload传值 后台RequestBody 接收不到

最新推荐文章于 2023-11-07 11:23:20 发布
最新推荐文章于 2023-11-07 11:23:20 发布
阅读量1.3k 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cx9977/article/details/124688803
版权
本文档描述了一个前端RequestPayload传递数据到后台RequestBody时,由于后台的XSS过滤机制过滤了'and'字符,导致参数standard_model接收为null的问题。问题定位在XSS拦截过滤器,该过滤器对特定字符进行了替换。解决方案在于调整XSS过滤规则,确保不影响正常参数的传递。在后续的漏洞修复中,需要注意避免对合法参数的误过滤。
摘要由CSDN通过智能技术生成

前台RequestPayload传值 后台RequestBody 接收不到

问题描述 字段值为standard_model的药具规格 后台接受值为null

问题定位:xss拦截

scriptPattern = Pattern.compile("and", Pattern.CASE_INSENSITIVE);
        input = scriptPattern.matcher(input).replaceAll("");
        
        
后台进行了xss拦截 过滤器的原因 对and字符进行了过滤 导致参数standard_model变成了stard_model
由此后台取值出现问题

此类问题在之后漏洞修复的时候要注意

附:正确解决方法
/**
 * xss请求处理类
 * */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
	HttpServletRequest orgRequest = null;
	private boolean isIncludeRichText = false;

	public static Pattern pattern_select = Pattern.compile("select",Pattern.CASE_INSENSITIVE);
	public static Pattern pattern_insert = Pattern.compile("insert",Pattern.CASE_INSENSITIVE);
	public static Pattern pattern_update = Pattern.compile("update",Pattern.CASE_INSENSITIVE);
	public static Pattern pattern_drop = Pattern.compile("drop",Pattern.CASE_INSENSITIVE);
	public static Pattern pattern_delete = Pattern.compile("delete",Pattern.CASE_INSENSITIVE);
	public static Pattern pattern_truncate = Pattern.compile("truncate",Pattern.CASE_INSENSITIVE);
	public static Pattern pattern_or = Pattern.compile("or",Pattern.CASE_INSENSITIVE);
	public static Pattern pattern_and = Pattern.compile("and",Pattern.CASE_INSENSITIVE);

	// 将<script>进行置换
	public static Pattern pattern_script = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
	// 将<src>进行置换
	public static Pattern pattern_src =  Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

	public XssHttpServletRequestWrapper(HttpServletRequest request, boolean isIncludeRichText) {
		super(request);
		orgRequest = request;
		this.isIncludeRichText = isIncludeRichText;
	}

	@Override
	public ServletInputStream getInputStream() throws IOException {
		// 非json类型,直接返回
		if (!super.getHeader("Content-Type").equalsIgnoreCase(MediaType.APPLICATION_JSON_VALUE)) {
			return super.getInputStream();
		}
		// 为空,直接返回
		String json = IOUtils.toString(super.getInputStream(), "utf-8");
		if (StringUtils.isBlank(json)) {
			return super.getInputStream();
		}
		// xss过滤
		json = xssEncode(json,0);
		final ByteArrayInputStream bis = new ByteArrayInputStream(json.getBytes());
		return new ServletInputStream() {
			@Override
			public boolean isFinished() {
				return true;
			}

			@Override
			public boolean isReady() {
				return true;
			}

			@Override
			public void setReadListener(ReadListener readListener) {

			}

			@Override
			public int read() throws IOException {
				return bis.read();
			}
		};
	}

	/**
	 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
	 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
	 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
	 */
	@Override
	public String getParameter(String name) {
		Boolean flag = ("content".equals(name) || name.endsWith("WithHtml"));
		if (flag && !isIncludeRichText) {
			return super.getParameter(name);
		}
		name = JsoupUtil.clean(name);
		String value = super.getParameter(name);
		if (StringUtils.isNotBlank(value)) {
			value = xssEncode(value,1);
		}
		return value;
	}

	@Override
	public String[] getParameterValues(String name) {
		String[] arr = super.getParameterValues(name);
		if (arr != null) {
			for (int i = 0; i < arr.length; i++) {
				arr[i] = xssEncode(arr[i],1);
			}
		}
		return arr;
	}

	/**
	 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
	 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
	 * getHeaderNames 也可能需要覆盖
	 */
	@Override
	public String getHeader(String name) {
		name = JsoupUtil.clean(name);
		String value = super.getHeader(name);
		if (StringUtils.isNotBlank(value)) {
			value = xssEncode(value,0);
		}
		return value;
	}

	private String xssEncode(String input,Integer type) {

		input = pattern_script.matcher(input).replaceAll("");
		// 避免src形式的表达式
        input = pattern_src.matcher(input).replaceAll("");
		Pattern  scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        input = scriptPattern.matcher(input).replaceAll("");
        // 删除单个的 </script> 标签
        scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
        input = scriptPattern.matcher(input).replaceAll("");
        // 删除单个的<script ...> 标签
        scriptPattern = Pattern.compile("<script(.*?)>",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        input = scriptPattern.matcher(input).replaceAll("");
		// 避免 eval(...) 形式表达式
        scriptPattern = Pattern.compile("eval\\((.*?)\\)",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        input = scriptPattern.matcher(input).replaceAll("");
        // 避免 expression(...) 表达式
        scriptPattern = Pattern.compile("expression\\((.*?)\\)",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        input = scriptPattern.matcher(input).replaceAll("");
        // 避免 javascript: 表达式
        scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
        input = scriptPattern.matcher(input).replaceAll("");
        // 避免 vbscript:表达式
        scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
        input = scriptPattern.matcher(input).replaceAll("");
        // 避免 οnlοad= 表达式
        scriptPattern = Pattern.compile("onload(.*?)=",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        input = scriptPattern.matcher(input).replaceAll("");
        //将<svg>进行置换
        scriptPattern = Pattern.compile("<svg(.*?)>",Pattern.CASE_INSENSITIVE);
        input = scriptPattern.matcher(input).replaceAll("");
        // 避免 οnerrοr= 表达式
        scriptPattern = Pattern.compile("onerror(.*?)=",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        input = scriptPattern.matcher(input).replaceAll("");
        // 避免 alert(...) 形式表达式
        scriptPattern = Pattern.compile("alert\\((.*?)\\)",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        input = scriptPattern.matcher(input).replaceAll("");
		// 避免 prompt(...) 形式表达式
		scriptPattern = Pattern.compile("prompt\\((.*?)\\)",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
		input = scriptPattern.matcher(input).replaceAll("");

		// 避免过滤特殊字符
		if(type==1){
			scriptPattern = Pattern.compile("[`~!@#$%^&*()+=|''\\\\[\\\\]<>/?~!@#¥%……&*()——+|‘;:”“’。,、?]",Pattern.CASE_INSENSITIVE | Pattern.DOTALL);
			input = scriptPattern.matcher(input).replaceAll("");
			input = pattern_and.matcher(input).replaceAll("");
			input = pattern_or.matcher(input).replaceAll("");
			input = pattern_delete.matcher(input).replaceAll("");
			input = pattern_drop.matcher(input).replaceAll("");
			input = pattern_select.matcher(input).replaceAll("");
			input = pattern_insert.matcher(input).replaceAll("");
			input = pattern_update.matcher(input).replaceAll("");
			//去除执行SQL语句的命令关键字
		}

		return input;
	}

	/**
	 * 获取最原始的request
	 * 
	 * @return
	 */
	public HttpServletRequest getOrgRequest() {
		return orgRequest;
	}

	/**
	 * 获取最原始的request的静态方法
	 * 
	 * @return
	 */
	public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
		if (req instanceof XssHttpServletRequestWrapper) {
			return ((XssHttpServletRequestWrapper) req).getOrgRequest();
		}

		return req;
	}
}
弎屲
关注
后台获取request payload传过来的数据
weixin_44266361的博客
07-04 2518
后台获取request payload传过来的数据 在后台的处理中对这三种格式的处理是不相同的。 1. GET格式都在URL后面,以key1=value1&key2=value2的KV格式存在,且不会很长(协议规定为1024个字节,但现在浏览器都会适当加长一些)。后台可以使用同步处理处理这种参数时。 2. POST时参数也可以使用上面的KV格式存在,但是会放在报文体中。数据量不大时会和报文头一起收到。数据量大时会被拆分到多个报文中。因此必须使用异步方式收取,收全后处理同GET相同。 3. 对于mu
application/x-www-form-urlencoded与application/json
weixin_43543882的博客
05-25 2657
关于SpringBoot Controller接收前端参数的问题,以及如何配置@Api、@ApiImplicitParam等参数写出一个漂亮的swagger。 总结如下: 1、前端使用application/json发送数据时: 1)请求类型为GET 后端可用@RequestParam接收,@RequestParam可设置多个。 此种方式接收可灵活拓展参数个数,无需另写类进行接收。 @ApiOperation(value = "我的信息", notes = "我的信息") @ApiImplicitParam
前端传来的数据后端接收不到,network显示的信息为:request payload
zyxWebRoad的博客
04-30 3712
前端传来的信息后端接收不到,点开network我们可以看到这里的传值方式是request payload 这时需要加上@RequestBody注解 接收到的值的格式为: 我的处理方法: Map<String,String> idMap = (Map)JSONUtils.parse(couponId); String id = idMap.get("c...
使用axios post 提交数据,后台获取不到提交的数据解决方案
weixin_30443075的博客
01-30 451
一、问题发现 前后端分离使用vue开发,结合axios进行前后端交互数据,一开始使用 get 请求,获取数据,没有发现任何问题,当使用 post请求 传参时,发现,数据明明已经提交,在打开F12 开发者工具,点击 network 里面的确有数据已经传过去,只是后台那里 打印日志确实没有获取到传过去的参数。 二、解决方案 1. 原因:传参方式是requestp...
request payload数据请求方式(原生AJAX POST请求)后端获取参数错误
热门推荐
whb3299065的博客
04-26 1万+
首先我先说明一下request payload请求时怎么发生的 我们如果从一个from中去提交post请求时,数据是以Form Data方式去提交的,即:提交的数据被封装在一个叫Form Data的请求中,后端如果是SpringMVC的话直接写一个对象接收就好了。付一个简单截图 但是最近前端更换ajax请求代码了导致后端全部参数接收不到,我仔细看请求来的参数发现,所有的参数都放在了reques...
post请求后台无法通过实体类接受请求问题
qq_42338293的博客
05-04 642
发现前端是通过Request Plylod发送的, 后端加上RequestBody就可以了
开发错误记录---前端向后端发送JSON数据不使用@RequestBody注解无法获取或报400错误
weixin_45787495的博客
12-09 975
前端向后端发送JSON数据不使用@RequestBody注解无法获取或报400错误 在开发过程中想通过前端以json的格式将数据发送到后端,但是数据一直获取不到,或报404错误,后来经过查资料解决了问题,总结如下 @requestBody注解常用来处理content-type不是默认的application/x-www-form-urlcoded编码的内容,也就是说前端向后端发送json数据的时候contentType: “application/json”,此时需要在参数位置标识@requestBody
@RequestBody 接收不到
dx的博客
03-30 2426
实体属性跟传参不一样也就算了,一样为什么还是接收不到?这是道德的沦丧还是人性的扭曲?,扯这些没用, 加个艾特JsonProperty(value="xxx")吧,好像就是命名不规的样子 @RequestBodyGeneralParam generalParam转存失败重新上传取消转存失败重新上传取消 ...
Vue中axios PUT传参问题
有幸添砖java
09-22 3578
问题 this.putRequest('/updatePassword',{newpassword:this.form.newpassword}).then(resp => { console.log('值是:' + resp.message) }) export const putRequest=(url,parms)=>{ return axios({ method: 'put',
@RequestBody,@RequestParam请求数据接收不到
枝间博客
05-13 1万+
一. @RequestBody 注解 @RequestBody是用于解析body中的json内容,对于我们使用时候我们需要指定Content-Type参数为application/json,标识我们需要解析的是json内容格式 二. @RequestParam注解 @RequestParam直接用于读取http请求中带的参数,或者使用表单提交的参数,就相当于我们通过request.getPa...
webmagic采集CSDN的Java_WebDevelop页面
hepanlaurence的专栏
05-23 1万+
使用webmagic采集博客类的网站示例
request Payload 提交数据,php无法接收到参数
寻找09之夏的博客
09-11 3483
最近 再做一个项目的时候,使用thinkphp框架,发现$_REQUEST无法提交前端提交的参数,以下是解决方法。 if (isset($GLOBALS['HTTP_RAW_POST_DATA'])) { $requestParam = $GLOBALS['HTTP_RAW_POST_DATA']; } else { $requestParam = file_get_con...
requestbody无法接收到参数
chedanquestion的博客
08-07 4854
这是一次神奇的错误,昨天还好好的,今天某个controller类的postmapping突然接收不到参数了。这个基础的问题激怒了我,愤怒的修改了一个多小时后发现还是解决不了问题。。。 这种基础的问题最难改,网上搜到的都是初学者写的一些方法,没用。 于是我仔细的思考了一下,我早上过来的时候习惯性的更新了一下代码。于是我打开了更新日志,没错,这个类果然被改过。多了下面这么一行东西。 import io.swagger.v3.oas.annotations.parameters.RequestBody; req
axios 发 post 请求,后端接收不到参数的解决方案
zk86547462的博客
09-22 2119
一、问题发现 前后端分离使用vue开发,结合axios进行前后端交互数据,一开始使用 get 请求,获取数据,没有发现任何问题,当使用 post请求 传参时,发现,数据明明已经提交,在打开F12 开发者工具,点击 network 里面的确有数据已经传过去,只是后台那里 打印日志确实没有获取到传过去的参数。 二、解决方案 1. 原因: 传参方式是request payload,参数格式是json,而并非用的是form传参,所以在后台接收form数据的方式接收参数就接收不到了。 POST表单请求提交时
关于ssm的Controller形参接受不到HttpServletRequest的问题
最新发布
weixin_45555153的博客
11-07 173
原因是HttpServletRequest必须是javax.servlet.http.HttpServletRequest下的类,否则@RequestMapping映射不了。
Form Data 和 Request Payload 有什么区别?为什么后台不到参数报400错误?
比特桃
06-30 851
引言 请求后台的一个新接口突然报错400 (Bad Request),但在 YAPI 中却可以正常使用,这是因为啥呢? 经过和其他类似的接口对比发现,问题出现在Content-Type上面,正常的接口是用的application/x-www-form-urlencoded; charset=utf-8",请求体为:Form Data格式;而错误的这个接口用的是application/json;charset=UTF-8,请求体为:Request Payload。 x-www-form-ulencoded和
@RequestBody接收不到前端传递过来的json数据
weixin_47617631的博客
07-03 2951
再就是实体类的属性名不符合java规范问题:我刚开始是car_lincese这样命名,都需要改为驼峰式命名,carLinces。我刚开始只是写@RequestBody ParkingRecord parkingRecord。也有人说是因为lombok的问题,自己用idea的快捷键生成,但也没有解决,有人说是前后端参数名称不一致:在实体类的属性上加一个注解。直到用了Map标签才终于获取到参数了。获取到map的key,就可以获取值了。一直获取的都是null,然而这个没有解决我的问题。
开发知识点-Thinkphp框架
aming小老弟
10-11 509
作为一个整体开发解决方案,ThinkPHP能够解决应用开发中的大多数需要,因为其自身包含了底层架构、兼容处理、基类库、数据库访问层、模板引擎、缓存机制、插件机制、角色认证、表单处理等常用的组件,并且对于跨版本、跨平台和跨数据库移植都比较方便。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,ThinkPHP框架本身没有什么特别模块要求,具体的应用系统运行环境要求视开发所涉及的模块。
Cocos XMLHttpRequest open方法method报错和后端接收不到request body问题
maonickbob的博客
07-19 876
项目场景: Cocos 编译native代码的时候,用cocos自带的xhr对象发送post请求一直不成功 问题描述: 编译的Web代码是可以直接请求的,一点问题没有,用postman请求也没问题。一开始一直报错,报的是调用C# 的lib文件的时候,在一段请求method判断的地方报了个错,没有具体原因, 报错如下 E/assert: function:open line:274 另外一个问题是,解决了之前报错后一直无法请求通 function httpPostCall(requsetUrl: stri
使用SSM框架做项目,修改对象的信息,传不进去值(@ResponseBody和@RequestBody
qq_41166135的博客
11-08 1529
今天写信息更新,传入一个对象,明明赋值了,但是传不进去参数。 最后解决的办法是,在对象前面加一个@RequestBody注解,或者直接返回到前端页面,这时候什么也不用加就可以返回对象。 下面我说一下@RequestBody和@ResponseBody的区别 @ResponseBody @Responsebody 注解表示该方法的返回的结果直接写入 HTTP 响应正文(ResponseBody)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值