HttpServletRequestWrapper和jsp:param之间的问题及XSS防御

最新推荐文章于 2023-07-27 15:22:30 发布
最新推荐文章于 2023-07-27 15:22:30 发布
阅读量713 收藏 1
点赞数
分类专栏: JAVA 架构 文章标签: jsp java xss防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012938226/article/details/77678190
版权
在实施XSS防御时,通过HttpServletRequestWrapper过滤器修改请求参数导致jsp:param标签的值无法正常传递。当jsp:include中的另一个jsp试图获取参数时,值丢失。解决方案是调整过滤器逻辑,确保jsp:param的值能正确保留并传递。
摘要由CSDN通过智能技术生成

为了防止xss攻击 ,写了个过滤器 又写了个类通过继承HttpServletRequestWrapper来实现在过滤器中修改request的值, 功能实现了,但现在出现一个新问题, 如果jsp页面有jsp:param这个标签 那jsp:param得值在过滤器直接给过滤掉了 就是说jsp:include的另外一个jsp再拿jsp的值 拿不到…..
解决办法如下:

import java.util.Map;


import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


public class ParameterRequestWrapper extends HttpServletRequestWrapper{
   


    private Map<String, String[]> params;


    public ParameterRequestWrapper(HttpServletRequest request,
            Map<String, String
最低0.47元/天 解锁文章
刘浪浪♪
关注
专栏目录
JSP安全开发之XSS漏洞详解
ywb201314的专栏
03-18 3897
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。 前言 大家好,好男人就是我,我就是好男人,我就是-0nise。在各大漏洞举报平台,我们时常会看到XSS漏洞。那么问题来了,为何会出现这种...
HttpServletRequestWrapper 实现xss注入
mid120的博客
12-27 6823
自定义一个wapper 实现 HttpServletRequestWrapperpackage cn.baozun.crm.task.filter;import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;/** * * <p>xss过滤</p> * @au
JSP基础之HttpServletRequest
相爱的人生
04-09 717
 HttpServletRequestrequest对象是javax.servlet.http.HttpServletRequest类的实例。每当客户端请求一个页面时,JSP引擎就会产生一个新的对象来代表这个请求。 request对象提供了一系列方法来获取HTTP信息头,包括表单数据,cookies,HTTP方法等等。 常用方法: 1 Cookie[] getCookies()
JAVA----参数过滤器ServletRequestWrapper,实现:防XSS,去掉参数左右空格
Damys
05-06 430
ServletRequestWrapperxss攻击和过滤前后空格 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { public XssHttpServletRequestWrapper(HttpServletRequest request) { super(request); } @Override public String[] getPara
【转】HttpServletRequestWrapper 实现xss注入
weixin_30888413的博客
09-15 187
  这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。 解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。 其中,输入...
关于自定义 HttpServletRequestWrapper 后续读不到参数的问题
weixin_38989369的博客
08-23 2384
关于自定义 HttpServletRequestWrapper 后续读不到参数的问题
Java XSS跨站脚本攻击防御
qq_37160920的博客
12-06 655
XSS简介: 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到获取cookie,恶意攻击用户的目的。例如url:http://127.0.0.1:8090/project/pages/bumenjiandu/index.jsp?skinType=wh...
知识梳理:请求转发与重定向&JSP&EL表达式&JSTL&基于Servlet3.0 的文件上传和下载&XSS过滤&过滤器&监听器
weixin_47255857的博客
08-30 541
目录:请求转发与重定向&JSP&EL表达式&JSTL&XSS过滤&基于Servlet3.0 的文件上传和下载&过滤器&监听器 请求转发与重定向 请求转发(forward) 请求转发是由HttpServletReqeust发起的跳转,跳转的同时可以将请求范围之内的信息传递到下一个Servlet中,请求转发是服务端跳转,请求转发对于客户端来说只发送了一次请求,并且地址栏只会显示第一次请求的地址。 request.setAttribute(key,value
Java代码审计——WebGoat XSS
m0_61506558的博客
11-18 651
我们需要对其进行控制。也就是说,想要触发该 XSS 漏洞,首先得将包含 XSS 有效载荷的数据插入数据库中。到此漏洞的整个执行流程我们已分析完成,接下来便是找到对应的入口进行触发,而触发该漏洞一个最大的问题是:数据来源于。我们先updatecert一下,发现红框中的数据直接输出了所以我们直接进行xss即可。因为程序没有对输入进行任何校验,所以只需找到添加数据的路由后插入对应的有效载荷。下面两种形式的写法实现的效果是相同的,都是将变量输出到网页中。中的调用可以跟踪到调用类,在类中可以发现,程序首先对“
tomcat 防xss 的一种实现
12-21 3985
我的解决方法, 通过Servlet 过滤器 过滤请求 关键在于是如何在Filter取到post里的内容通过继承javax.servlet.http.HttpServletRequestWrapper;类替换post里的非法字符1:FormDataXssRequest类import javax.servlet.http.HttpServletRequest; import javax.servlet.
关于servletjsp中的取值问题
dxl314733647的专栏
07-01 2473
1)HttpServletRequest类有setAttribute()方法,而没有setParameter()方法(2)当两个Web组件之间为链接关系时,被链接的组件通过getParameter()方法来获得请求参数,(3)当两个Web组件之间为转发关系时,转发目标组件通过getAttribute()方法来和转发源组件共享request范围内的数据。一般通过表单和链接传递的参数使用g
解决httpServletRequest.getParameter获取不到参数
dieti3630的博客
11-09 1331
httpServletRequest.getParameter接收post请求参数,发送端content Type必须设置为application/x-www-form-urlencoded;否则会接收不到 @RequestMapping(value = "/a2") @ResponseBody public String hello3(HttpSer...
解决post请求httpServletRequest对象.getParameter获取不到参数!
最新发布
TangMonk的博客
07-27 3822
httpServletRequest对象.getParameter()接收post请求参数,
ServletRequest获取不到getParameter和filter获取不到request请求中的Parameter
hithedy的专栏
02-04 8443
有同事使用我上篇文章中使用的filter,过滤每一个request请求,然后根据请求中的parameter过滤有危险倾向的值,但是很神奇的事情发生了。 系统的调用顺序是:             提交表单→filter(section1)→controller→filter(section2)→页面渲染相应。 碰到的问题表现在,section1 中的filter方法: /** * 覆盖
HttpServletRequestWrapper 实现xss注入 跨站点脚本编制
neusoft-mengxiaoming的专栏
07-23 1109
主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法 web.xml配置filter &lt;filter&gt; &lt;filter-name&gt;XssEscape&lt;/filter-name&gt; ...
jsp过滤非法字符输入,防止XSS跨站攻击
zhangzhifei1991的专栏
10-20 1403
一。写一个过滤器 代码如下: package com.liufeng.sys.filter; import java.io.IOException; import java.io.PrintWriter; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.Filter
JSP文件中无法使用request方法(idea)
qq_45953233的博客
03-06 3629
JSP文件中无法使用request方法(idea) 在编写javaWeb项目时出项以下错误: 出现此问题的原因:缺少了 tomcat-api.jar 包。 解决方法:将 tomcat-api.jar 包添加进library中。 导包操作步骤: 1、找到tomcat-api.jar地址 2、进入Project Structure 3、打开library 4、添加tomcat-api.jar 这样,就没有错误提示了 ...
SpringMVC4配置XSS防御及SQL注入解决策略
防止XSS攻击需要开发者在多个层面上进行防御,包括但不限于:使用过滤器对请求参数进行清理,使用安全的编程实践,以及启用服务器和应用的安全配置。Spring MVC提供了一套强大的工具和机制,使得开发者可以方便地...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值