关于接口入参问题

最新推荐文章于 2023-01-30 15:09:25 发布
最新推荐文章于 2023-01-30 15:09:25 发布
阅读量2w 收藏
点赞数 1
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gu1079358530/article/details/120697327
版权

XSS攻击 Jsoup HTML解析 数据丢失 接口处理
关键词由CSDN通过智能技术生成

防xss攻击的引发的问题

为了防止xss,我们使用了 jsoup 的 clean方式处理参数 但这种方式对入参有一定要求,否则将出现类似以下这种情况;

参数:{"coldContNo":"HT-20210927-0002","companyNo":"C002914","customerScore":5.15,"detailList":[{"id":114,"coldContNo":"HT-20210927-0002","item":"商务","itemIndex":"经营年限(年)","proportion":"5%","score":"【1】10<br/>【2】 5<br/>【3】 0","standard":"【1】>5 年<br/>【2】≤5 年 并且≥ 2 年<br/>【3】< 2 年","actualScore":"0","finalScore":"0.0","rater":null,"version":null,"sort":1,"isDel":0,"createTime":null,"createUser":null,"updateTime":null,"updateUser":null,"editable":1,"scoringOptions":"10,5,0","tempWeight":0.05,"tempOption":["10","5","0"]},{"id":115,"coldContNo":"HT-20210927-0002","item":"商务","itemIndex":"注册资本","proportion":"10%","score":"【1】10<br/>【2】 5<br/>【3】 0","standard":"【1】>RMB5百万<br/>【2】≤RMB5百万 并且≥RMB3百万<br/>【3】<RMB3百万","actualScore":"0","finalScore":"0.0","rater":null,"version":null,"sort":2,"isDel":0,"createTime":null,"createUser":null,"updateTime":null,"updateUser":null,"editable":1,"scoringOptions":"10,5,0","tempWeight":0.1,"tempOption":["10","5","0"]},{"id":116,"coldContNo":"HT-20210927-0002","item":"管理","itemIndex":"公司类型","proportion":"5%","score":"【1】10<br/>【2】 5<br/>【3】 0","standard":"【1】上市公司<br/>【2】股份有限公司<br/>【3】其他","actualScore":"0","finalScore":"0.0","rater":null,"version":null,"sort":3,"isDel":0,"createTime":null,"createUser":null,"updateTime":null,"updateUser":null,"editable":1,"scoringOptions":"10,5,0","tempWeight":0.05,"tempOption":["10","5","0"]},{"id":117,"coldContNo":"HT-20210927-0002","item":"管理","itemIndex":"与万科的关系","proportion":"10%","score":"【1】10<br/>【2】 5<br/>【3】 0","standard":"【1】至少2年<br/>【2】至少1年<br/>【3】其他","actualScore":"10","finalScore":1,"rater":null,"version":null,"sort":4,"isDel":0,"createTime":null,"createUser":null,"updateTime":null,"updateUser":null,"editable":0,"scoringOptions":"10,5,0","tempWeight":0.1,"tempOption":["10","5","0"]},{"id":118,"coldContNo":"HT-20210927-0002","item":"财务","itemIndex":"过去支付记录","proportion":"15%","score":"【1】10<br/>【2】 5<br/>【3】 0","standard":"【1】准时付款<br/>【2】超期但得到特殊审批<br/>【3】超期加催收函","actualScore":"5","finalScore":0.75,"rater":null,"version":null,"sort":5,"isDel":0,"createTime":null,"createUser":null,"updateTime":null,"updateUser":null,"editable":0,"scoringOptions":"10,5,0","tempWeight":0.15,"tempOption":["10","5","0"]},{"id":119,"coldContNo":"HT-20210927-0002","item":"财务","itemIndex":"企业征信报告","proportion":"10%","score":"【1】10<br/>【3】 0","standard":"【1】提供<br/>【3】未提供","actualScore":"10","finalScore":1,"rater":null,"version":null,"sort":6,"isDel":0,"createTime":null,"createUser":null,"updateTime":null,"updateUser":null,"editable":0,"scoringOptions":"10,0","tempWeight":0.1,"tempOption":["10","0"]},{"id":120,"coldContNo":"HT-20210927-0002","item":"行业前景","itemIndex":"外部识别","proportion":"10%","score":"【1】10<br/>【2】 5<br/>【3】 0","standard":"【1】生产制造及快销行业等<br/>【2】贸易公司<br/>【3】第三方代理","actualScore":"10","finalScore":1,"rater":null,"version":null,"sort":7,"isDel":0,"createTime":null,"createUser":null,"updateTime":null,"updateUser":null,"editable":0,"scoringOptions":"10,5,0","tempWeight":0.1,"tempOption":["10","5","0"]},{"id":121,"coldContNo":"HT-20210927-0002","item":"收入","itemIndex":"估计年收入","proportion":"15%","score":"【1】10<br/>【2】 6<br/>【3】 3","standard":"【1】>RMB1百万<br/>【2】RMB12万<X≤RMB1百万<br/>【3】≤RMB12万","actualScore":"6","finalScore":"0.9","rater":null,"version":null,"sort":8,"isDel":0,"createTime":null,"createUser":null,"updateTime":null,"updateUser":null,"editable":1,"scoringOptions":"10,6,3","tempWeight":0.15,"tempOption":["10","6","3"]},{"id":122,"coldContNo":"HT-20210927-0002","item":"收入","itemIndex":"报价分析","proportion":"20%","score":"【1】10<br/>【2】 6<br/>【3】 3","standard":"【1】EBIT>0<br/>【2】EBITDA>0<br/>【3】GP>0","actualScore":"10","finalScore":"2.0","rater":null,"version":null,"sort":9,"isDel":0,"createTime":null,"createUser":null,"updateTime":null,"updateUser":null,"editable":1,"scoringOptions":"10,6,3","tempWeight":0.2,"tempOption":["10","6","3"]},{"id":123,"coldContNo":"HT-20210927-0002","item":"扣分项","itemIndex":"过去3年的应收相关诉","proportion":"15%","score":"【1】-10<br/>【2】 -6<br/>【3】 -3<br/>【4】 0","standard":"【1】≥5<br/>【2】2≤X<5<br/>【3】1<br/>【4】0","actualScore":"-10","finalScore":-1.5,"rater":null,"version":null,"sort":10,"isDel":0,"createTime":null,"createUser":null,"updateTime":null,"updateUser":null,"editable":0,"scoringOptions":"-10,-6,-3,0","tempWeight":0.15,"tempOption":["-10","-6","-3","0"]}]}

当接口对象接收这份入参时,detailList 会发生条目缺失,明明10条后台对象属性接收数据变成了9条 ,翻看源码发现 代码里写了个 XssHttpServletRequestWrapper 里面会把入参用 jsoup的clean 策略处理;jsoup 的clean 会把参数变成 jsoup封装的Document 对象 问题就来了,上面参数中的 < (小于符号) 会被当成 html 标签进行解析 例如 <xxx  会被当成 一个html 标签 ,但是 也发现如果当< 后面加个空格,就不会被解析成标签  例如 < xxx ;

吉魔灵
关注
接口测试到底怎么做,看完这篇文章彻底搞清楚
Testfan_zhou的博客
10-18 4942
接口测试
java对外接口 入参实体命名,Java接口命名约定
weixin_42161450的博客
02-28 1169
I work on a Java web-app that uses Spring for dependency injection and JMock for mocking out these dependencies in our unit tests.Currently our team is at a point were we have a few different opinions...
接口入参保护的含义
weixin_30512043的博客
05-25 374
最近学习《阿里巴巴java开发手册》 第七章控制语句中,第6点提到了入参保护,原文如下: 6. 【推荐】接口入参保护,这种场景最常见的是用于做批量操作的接口。 工作中很少提到“入参保护”这个词,更多的是“参数校验”的说法;谈下个人对接口入参保护的理解: 1、接口入参保护,“保护”的是服务端应用,即接口提供方,最常见的做法就是校验入参的有效值范围和设置批量操作白名单; ...
接口入参--注解
aidixun1626的博客
12-22 635
注解使用:@RequestParam("前端的名称") 加了如果参数没传就报参数错误。没加就都可以访问。 @RequestMapping("/list") public String test(@RequestParam Long parentId) { }@RequestMapping("/list") public String test( Long parentId) { ...
接口入参保护
轰鸣
05-27 4166
最近学习《阿里巴巴java开发手册》第七章控制语句中,第6点提到了入参保护,原文如下:6. 【推荐】接口入参保护,这种场景最常见的是用于做批量操作的接口。 工作中很少提到“入参保护”这个词,更多的是“参数校验”的说法;谈下个人对接口入参保护的理解: 1、接口入参保护,“保护”的是服务端应用,即接口提供方,最常见的做法就是入参的范围或者边界;  比如,接口定义时明确校验入参的请求日期是N天内的记录,...
11.接口的作用:接口的作用是什么???
ADbyCool的博客
06-16 668
跟汤老师学Java笔记:接口的作用 完成:第一遍 1.接口的作用是什么? (1).间接实现多继承(Java不支持多继承,但可以实现多个接口) (2).通过接口定义规范和标准 (3).将标准的制定和实现分开 (4).建议面向接口编程,提高扩展性 package season9; public class FunctionOfInterface { public static void main(String[] args) { Computer computer = new Computer()
Jmeter对接口测试入参实现MD5加密
08-18
本文主要探讨了如何在JMeter中实现对接口测试入参的MD5加密,这对于提升测试的严谨性和保护敏感数据有着积极作用。 JMeter是Apache组织开发的一款强大的性能测试工具,它支持多种类型的测试场景,包括接口测试。在...
GP接口函数描述和入参解析
05-04
GP接口函数描述和入参解析(持续完善中)。 目前已经涵盖:安全存储相关API,基础API和key相关的API正在完善,后续会补录上去,有需要的同学可以通过CSDN 私信我,单独发你。 函数分析:主要基于optee-os GP相关...
aop 获取方法入参出参_Spring AOP 记录接口信息(获取接口入参,出参)
weixin_39611008的博客
12-23 1840
需求:为系统中所有的提交,修改,删除等等操作做日志记录,记录的内容包括:请求参数,返回参数,如果报错就存储报错信息。日志要添加一个日志类型。因为有用到工具类,先放工具类吧import java.util.List;import com.fasterxml.jackson.core.JsonProcessingException;import com.fasterxml.jackson.databi...
java对外接口 入参实体命名_支付中心接口设计之参数命名
weixin_42356844的博客
02-28 1365
目前,java版支付中心处在研发阶段。下午,特有钻研精神的云龙同学饶有兴趣的问我“战哥,你觉得表字段用哪种命名方式比较好呢?”所用的db是mysql,他是想征求一下我的看法,是用驼峰式命名还是小写加下划线方式。我直截了当地说用驼峰式。为什么? 我认为,像java语言或.net语言,实体类的属性一般是遵从驼峰式命名的(稍有不同的是java一般首字母小写,而.net是首字母大写)。我们的程序里的数据访...
架构篇--接口设计--入参校验
小达的博客
07-30 2340
注解校验入参 注解校验提高开发速度,减少校验代码。 注解校验入参内容,提高代码整洁度,增强代码可读性,使代码结构更加优雅。 pom.xml &amp;amp;amp;lt;dependency&amp;amp;amp;gt; &amp;amp;amp;lt;groupId&amp;amp;amp;gt;javax.validation&amp;amp;am
关于接口设计的思考--我们真的需要这么多入参
子月生的博客
07-04 595
最近,我改造一个旧接口时发现,这个接口有 30 多个入参,而事实上并不需要那么多,而且,这个接口还存在比较大的安全隐患。所以,关于如何设计接口入参,我想谈谈自己的一些想法。 当然,只是一家之言,不一定就是对的。
数据安全:后台接口中一些看似多余的参数
测试0901-1
05-26 295
【IT老五】数据安全:后台接口中一些看似多余的参数 后台接口开发与前端开发有不少不同,在并发、性能、容错、安全等方面都需要有一定的考虑......而且由于后台接口往往是直接或者间接的对数据库进行操作,所以在提供一个接口时,往往要考虑数据库数据是否有可能被人通过该接口恶意拷贝、修改甚至删除...... 接口 我这里就最近碰到的一种现象来吐槽下...
定义接口入参规范
Eric_web的博客
01-30 1440
接口规范定义、前后端约束
从原理上认识跨域, 以及如何解决跨域问题
tiechui1994的博客
08-04 404
跨域资源共享 跨域资源共享(CORS) 跨域资源共享(CORS)是一种机制, 它使用额外的 HTTP头 来告诉浏览器让运行在一个origin(domain)上的Web应用被准许访问来 自不同源服务器上的指定的资源. 当一个资源从 与该资源本身所在的服务器不同的域,协议或端口 请求另外一个资源时, 该资源 会发起一个跨域 HTTP 请求. 例如: 前端主机: www.fontend.com, 后端主机: www.backend.com. 当 前端 向 后端 发送API请求的时候, 由于域名不同, 导致该请求是
接口传参的三种形式
qq_36359324的博客
09-14 4641
新建文件夹,在文件夹中打开cmd进行初始化操作( npm init --yes )生成package.json 在终端输入命令分别安装express (npm i express)和multer (npm i multer) 创建sever.js 和index.html文件 index.html文件代码: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF...
接口入参处理上
zhh的博客
09-24 664
python通过JPype调用java.jar包中的MD5加密方法,对入参进行MD5加密 import jpype import os.path import requests class MyJPypeClass: """ describe:启动jvm """ @staticmethod def start_api_helper_jvm(): ...
【Lilishop商城】No4-6.业务逻辑的代码开发,涉及到:接口入参、出参开发逻辑,及POJO的各种总结
键上艺术家
01-09 1997
在前面的 No4 里面没有讲过这个,是因为前面重点是登录逻辑,比较散,所以就放到这一篇单独记录接口入参出参,后面的商品模块会用到。【有遗漏的,后面随时修改记录~~~】 接口基本就是四种:增、删、改、查。我们也从这四种分析。
接口测试入参data常见问题之“\“使用
weixin_41955664的博客
08-23 408
接口测试
postman接口入参
最新发布
08-16
在Postman中,可以通过以下几种方式传递接口入参: 1. 查询参数(Query Parameters):将参数附加在URL的末尾,使用“?参数名=参数值”形式。例如:http://example.com/api?param1=value1&param2=value2。 2. 路径...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值