request payload 和 form data 过滤器filter设置,防xss

最新推荐文章于 2023-06-29 15:15:33 发布
最新推荐文章于 2023-06-29 15:15:33 发布
阅读量1.9k 收藏 1
点赞数 1
分类专栏: javaweb 文章标签: filter java-web xss http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keygod1/article/details/50847555
版权

今天做了一个防xss攻击的filter,原理是利用继承HttpServletRequestWrapper类,来替换http请求的参数,,
因为项目中需要上传文件,所以涉及到了payload和formdata的区别,这两者的区别就不多说了,用Content-Type属性可用区分出,,,

需要两个类继承自HttpServletRequestWrapper

FormDataXssRequest.java


 public class FormDataXssRequest extends HttpServletRequestWrapper {
    /**
     * Constructs a request object wrapping the given request.
     *
     * @param request
     * @throws IllegalArgumentException if the request is null
     */
    public FormDataXssRequest(HttpServletRequest request) {
        super(request);
    }
    //替换非法字符
    private String clean(String s){
        System.out.println("do xss");
        s=s.replaceAll("<","&lt;").replaceAll("script","").replaceAll("eval\\((.*)\\)","");
        return s;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if(values==null){
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for(int i= 0;i<count;i++){
            encodedValues[i] = clean(values[i]);

        }
        return encodedValues;
    }

}

PayloadXssRequest .java

public class PayloadXssRequest extends HttpServletRequestWrapper {

    private final String body;

    /**
     * Constructs a request object wrapping the given request.
     *
     * @param request
     * @throws IllegalArgumentException if the request is null
     */
    public PayloadXssRequest(HttpServletRequest request) throws IOException {
        super(request);
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        try {
            InputStream inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
                char[] charBuffer = new char[1024];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {
            throw ex;
        } finally {
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                } catch (IOException ex) {
                    throw ex;
                }
            }
        }
        body = stringBuilder.toString();
    }


    //替换非法字符
    private String clean(String s) {
        System.out.println("do xss :"+s);
        s = s.replaceAll("script", "").replaceAll("eval\\((.*)\\)", "");

        return s;
    }




    /**
     * Read Request Body payload  in Filter
     * 读取输入流,,文件post时采用这种方式
     *
     * @return
     * @throws IOException
     */
    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }


    /**
     * Read Request Body payload  in Filter
     * 读取输入流,,文件post时采用这种方式
     *
     * @return
     * @throws IOException
     */
    @Override
    public ServletInputStream getInputStream() throws IOException {
        System.out.println("getInputStream");
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(clean(body).getBytes());//在这里过滤非法字符
        ServletInputStream servletInputStream = new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }

            public int read() throws IOException {
                return byteArrayInputStream.read();
            }
        };
        return servletInputStream;
    }

}

下面是Filter,,

public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    //替换了request
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;

        String currentURL = req.getRequestURI();//截取当前文件名用于比较
        String head = req.getHeader("Content-Type");

        if(currentURL.contains(".jsp")||currentURL.contains(".do")||currentURL.equals("/")){
            System.out.println(head);
            if(head!=null){
                if(!head.contains("application/x-www-form-urlencoded")){//payload
                    chain.doFilter(new PayloadXssRequest(req),res);//核心,替换了request
                    System.out.println("payload");
                }else {//form data
                    System.out.println("form data");
                    chain.doFilter(new FormDataXssRequest(req),res);
                }
            }else {
                chain.doFilter(req,res);
            }
        }else {
            chain.doFilter(req,res);
        }

    }

    @Override
    public void destroy() {

    }
}

最后在web-xml加上这个过滤器就可以了

keygod1
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python爬虫:Request PayloadForm Data的简单区别说明
09-16
在Python爬虫开发中,了解网络请求的细节至关重要,尤其是HTTP请求中的`Request Payload`和`Form Data`。这两者都是用于向服务器提交数据的方式,但它们之间存在一些关键的区别。 首先,`Form Data`是当我们在HTML...
-------已搬运------SQL注入的 过滤 思路 payload 万能密码
Zero_Adam的博客
04-28 1570
目录:一、过滤关键词:1. 过滤 `=` 可用 `like`,`regexp`,`in`来代替:2. 过滤`ascii`,不能用bool盲注了。可用`ord`来代替:3. `,`逗号被过滤了:1. `substr(***,1,1)` 用这个来代替:`substr(***from({})for(1))`2.`limit 0,1` 用这个来代替:`limit 1 offset {}`二、一些小trick1. 关于bool盲注的正确与否三、一些payload:1. 过滤了 空格,但是可以联合查询的bool注
spring mvc enctype=multipart/form-data 参数过滤
zhoucanji的博客
03-27 1048
当表单的enctype=multipart/form-data时,一般的过滤器无法获取参数,所以在springmvc配置文件注解适配器把org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter改com.zcj.MyAnnotationMethodHandlerAdapter,这个类是继承spring的...
JAVA WEB项目解决XSS攻击的办法
02-27 2906
记一次JAVA WEB项目解决XSS攻击的办法(亲测有效) Posted on2019-03-01 13:22zkongbai 阅读(4381) 评论(4)编辑收藏 什么是XSS攻击     简单来说,XSS 攻击是页面被注入了恶意的代码,度娘一大堆的东西,不想说 系统架构主要是SSM框架,服务层另外使用了DubboX.     为啥说这个,因为SpringMVC对于Xs...
Java中的10种方法XSS攻击
最新发布
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,止潜在的安全漏洞和错误数据的影响。
web前端安全之form表单提交前加校验_xss攻击
Mr_CZL的博客
07-02 8192
如果还不知道xss的话,网上有好多文章解释。xss的攻击种类很多。作为一名前端小白,本文只从前端常用实用的角度简单写了一下。这类场景就是form表单的提交。为xss攻击,表单的每个字段提交需要做校验或者编码。校验的话先不说,网上很多正则,比如校验手机号或者邮箱之类的。重点说的就是编码。提交前需要对提交的内容进行编码,止特殊的标签之类的提交到后台。比如&lt;script&gt;alert('...
Servlet获取AJAX POST请求中参数以form datarequest payload形式传输的方法
08-28
主要介绍了Servlet获取AJAX POST请求中参数以form datarequest payload形式传输的方法,结合实例形式详细分析了post数据发送及获取请求数据的原理与相关操作注意事项,需要的朋友可以参考下
python爬虫实现POST request payload形式的请求
12-20
AJAX Post请求中常用的两种传参数的形式:form datarequest payload 1.1.1. Form data get请求的时候,我们的参数直接反映在url里面,形式为key1=value1&key2=value2形式,比如: http://news.baidu.
request payload传值解决-qs.min.js
01-07
前端以 request payload形式传参,通过qs.min.js实现传参,实现后台接收 。
Request Payload参数(字典,json,列表,字符串,以及DWR框架的参数)---持续更新
热门推荐
郑德帅
03-21 2万+
1.正常的POST 提交 当然了,这样写和下面的是一样的: 2.还有一张是json格式的 那么发请求的话 这样就OK了
Springboot,请求经过过滤器 Filter后,post方法的multipart/form-data,x-www-form-urlencoded,获取不到参数问题
weixin_44249738的博客
09-22 2563
项目中添加filter后,接口发现获取到的参数为null。 解决办法: @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { System.out.println("--------------执行过滤操作---------
java post 多文件报头,过滤器中处理multipart/form-data头部的post请求request.getParameter(")获取不到参数问题...
weixin_29366307的博客
03-13 922
如果不是文件类型请求,我们使用request.getParameter("");方法是可以获取到参数内容的,如果是文件类型的请求即请求的头部信息为“multipart/form-data”,时,需要如下处理:HttpServletRequest request = (HttpServletRequest) req;HttpServletResponse response = (HttpServle...
web过滤器中获取请求的参数(content-type:multipart/form-data)
weixin_30297281的博客
12-21 580
1.前言:   1.1 在使用springMVC中,需要在过滤器中获取请求中的参数token,根据token判断请求是否合法;   1.2通过requst.getParameter(key)方法获得参数值;     这种方法有缺陷:它只能获取 POST 提交方式中的Content-Type: application/x-www-form-urlencoded;    Ht...
解决springmvc在multipart/form-data方式提交请求在过滤器Filter中获取不到参数的问题
p15097962069的博客
03-07 602
解决springmvc在multipart/form-data方式提交请求在过滤器Filter中获取不到参数的问题
Springboot使用过滤器中关于获取multipart/form-data表单数据问题记录
weixin_46106438的博客
09-28 4200
最近项目组因为token检验拿不到content-type=multipart/form-data表单数据产生疑惑,后翻查了网上的资料总结。 前端content-type=application/x-www-form-urlencoded传入后端时,我们可以通过getParameter的方法获取到参数。 HttpServletRequest request = (HttpServletRequest)servletRequest; String value = request.getParam
Xss过滤器之文件上传特殊处理
qq_42585774的博客
11-11 4039
当表单提交的enctype="multipart/form-data"且同一个页面中有附件上传功能时,xss过滤器需要做特殊处理 package com.ffcs.common.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import ...
关于multipart/form-data类型请求,filter失效的处理办法
jason的博客
05-17 2613
这个是在java官网翻到的,需要特殊处理下: Example 7.9 MultipartEncodeFilter - Standard Filter Strategy public class MultipartEncodeFilter extends BaseEncodeFilter { public MultipartEncodeFilter() { }
关于XSS过滤
lanisa的专栏
10-30 1559
XSS攻击绕过过滤方法大全(约100种) XSS攻击绕过过滤方法大全(约100种) - 付杰博客 解决办法: 1.增加前端过滤 可参考:https://www.cnblogs.com/caizhenbo/p/6836390.html 【前端安全】JavaScriptXSS攻击 xss前端过滤工具:https://cdn.bootcdn.net/ajax/libs/js-xss/0.3.3/xss.min.js 使用方法:https://www.cnblogs.com/fyjz/p/11905.
java filter 是否能拦截到form表单的所有数据_Java修行第073天---SpringMVC(下)
weixin_39768645的博客
11-28 327
9. 文件上传(注册mvc注解驱动、文件上传解析器,导入相关jar包) (1)上传单个文件首先,导入两个架包然后,在index.jsp中写一个from表单 注意:这里的一个新添加属性:enctype表单中enctype=”multipart/form-data”的意思,是设置表单的MIME编码。默认情况,这个编码格式是application/x-www-form-urlencoded,不能用于文件...
request payload转为form data
03-16
request payload转换为form data的方法如下: 1. 首先,需要将request payload中的数据解析出来,可以使用JSON.parse()方法将其转换为JSON对象。 2. 然后,需要将JSON对象中的数据转换为form data格式。可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值