filter修改参数

最新推荐文章于 2022-07-30 21:51:11 发布
最新推荐文章于 2022-07-30 21:51:11 发布
阅读量362 收藏
点赞数
文章标签: 后端 java 系统架构
原文链接:http://www.cnblogs.com/D-ZH/p/11453239.html
版权

  前景:公司项目web渗透测试中提出管理登录时,传输密码不能为明文,需要加密传输,但是迫于系统架构,后端代码不能修改,只能在filter中解密参数。

  1.前端加密处理:

 1 <script type="text/javascript"> 
 2     $(function() { 
 3         $("#loginBtn").click(function() {
 4             //对数据加密   
 5             var password = encode64($("#pwdInput").val());
 6             $("#pwdInput").val(password);
 7             document.login.submit();  //login为form表单name 
 8         }) 
 9     }) 
10     // base64加密开始 
11     var keyStr = "ABCDEFGHIJKLMNOP" + "QRSTUVWXYZabcdef" + "ghijklmnopqrstuv"   + "wxyz0123456789+/" + "="; 
12     function encode64(input) {  
13         var output = "";  
14         var chr1, chr2, chr3 = ""; 
15         var enc1, enc2, enc3, enc4 = "";  
16         var i = 0;  
17         do {   
18             chr1 = input.charCodeAt(i++);   
19             chr2 = input.charCodeAt(i++);   
20             chr3 = input.charCodeAt(i++);  
21             enc1 = chr1 >> 2;  
22             enc2 = ((chr1 & 3) << 4) | (chr2 >> 4);  
23             enc3 = ((chr2 & 15) << 2) | (chr3 >> 6);  
24             enc4 = chr3 & 63;  
25             if (isNaN(chr2)) {    
26                 enc3 = enc4 = 64;   
27             } else if (isNaN(chr3)) {   
28                 enc4 = 64;  
29             }   
30             output = output + keyStr.charAt(enc1) + keyStr.charAt(enc2)     + keyStr.charAt(enc3) + keyStr.charAt(enc4);  
31             chr1 = chr2 = chr3 = "";  
32             enc1 = enc2 = enc3 = enc4 = "";  
33         } while (i < input.length); 
34         return output; 
35     } // base64加密结束
36 </script>

  2.后端解密:

 1   private static byte[] base64DecodeChars = new byte[] { -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1,
 2             -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1,
 3             -1, 62, -1, -1, -1, 63, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, -1, -1, -1, -1, -1, -1, -1, 0, 1, 2, 3, 4,
 4             5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, -1, -1, -1, -1, -1, -1, 26,
 5             27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, -1, -1,
 6             -1, -1, -1 };
 7 
 8     /** * 解密 * @param str * @return */
 9     public static byte[] decode(String str) {
10         byte[] data = str.getBytes();
11         int len = data.length;
12         ByteArrayOutputStream buf = new ByteArrayOutputStream(len);
13         int i = 0;
14         int b1, b2, b3, b4;
15         while (i < len) {
16             do {
17                 b1 = base64DecodeChars[data[i++]];
18             } while (i < len && b1 == -1);
19             if (b1 == -1) {
20                 break;
21             }
22             do {
23                 b2 = base64DecodeChars[data[i++]];
24             } while (i < len && b2 == -1);
25             if (b2 == -1) {
26                 break;
27             }
28             buf.write((int) ((b1 << 2) | ((b2 & 0x30) >>> 4)));
29             do {
30                 b3 = data[i++];
31                 if (b3 == 61) {
32                     return buf.toByteArray();
33                 }
34                 b3 = base64DecodeChars[b3];
35             } while (i < len && b3 == -1);
36             if (b3 == -1) {
37                 break;
38             }
39             buf.write((int) (((b2 & 0x0f) << 4) | ((b3 & 0x3c) >>> 2)));
40             do {
41                 b4 = data[i++];
42                 if (b4 == 61) {
43                     return buf.toByteArray();
44                 }
45                 b4 = base64DecodeChars[b4];
46             } while (i < len && b4 == -1);
47             if (b4 == -1) {
48                 break;
49             }
50             buf.write((int) (((b3 & 0x03) << 6) | b4));
51         }
52         return buf.toByteArray();
53     }

  3.filter修改post参数值

    3.1修改filter

 1            MyHttpServletRequestWrapper requestWrapper = new MyHttpServletRequestWrapper(request);
 2             String captcha = (String) requestWrapper.getParameter("captcha");
 3             log.debug("filter get captcha:" + captcha);
 4             if (StringUtil.isNotNull(captcha)
 5                     && captcha.equalsIgnoreCase("" + request.getSession().getAttribute("captcha"))) {
 6                 captcha = QueryCaptchaUtil.QueryCaptcha();
 7                 session.removeAttribute("captcha"); // 验证码登录后销毁
 8                 session.setAttribute("captcha", captcha);
 9                 certService.setCertProperty(request);
10                 // 1.获取需要处理的参数
11                 String userPassword = requestWrapper.getParameter("userPassword");13                 // 2.把处理后的参数放回去
14                 requestWrapper.setParameter("userPassword", new String(decode(userPassword)));
15                 // 3.放行,把我们的requestWrapper放到方法当中
16                 chain.doFilter(requestWrapper, response);
17                 return;
18             }

 

    3.2 MyHttpServletRequestWrapper.java

  1 import java.io.BufferedReader;
  2 import java.io.ByteArrayInputStream;
  3 import java.io.IOException;
  4 import java.io.InputStreamReader;
  5 import java.util.HashMap;
  6 import java.util.Iterator;
  7 import java.util.Map;
  8 import java.util.Set;
  9 
 10 import javax.servlet.ReadListener;
 11 import javax.servlet.ServletInputStream;
 12 import javax.servlet.http.HttpServletRequest;
 13 import javax.servlet.http.HttpServletRequestWrapper;
 14 
 15 /**
 16  * 重写 HttpServletRequestWrapper 处理表单、ajax请求
 17  * 
 18  * @author dongzhihao
 19  *
 20  */
 21 public class MyHttpServletRequestWrapper extends HttpServletRequestWrapper {
 22     
 23     //private final byte[] body;
 24 
 25     // 用于存储请求参数
 26     private Map<String, Object> params = new HashMap<String, Object>();
 27 
 28     // 构造方法
 29     public MyHttpServletRequestWrapper(HttpServletRequest request) throws IOException {
 30         super(request);
 31         //body = parseBodyToBytes(request);
 32         // 把请求参数添加到我们自己的map当中
 33         this.params.putAll(request.getParameterMap());
 34     }
 35 
 36     @Override
 37     public String getQueryString() {
 38         StringBuffer buffer = new StringBuffer();
 39         Set<String> keySet = params.keySet();
 40         int i = 0;
 41         for (Iterator<String> iterator = keySet.iterator(); iterator.hasNext();) {
 42             if (i != 0) {
 43                 buffer.append("&");
 44             }
 45             String key = (String) iterator.next();
 46             Object obj = params.get(key);
 47             if (obj instanceof String[]) {
 48                 String[] new_name = (String[]) obj;
 49                 obj=new_name[0];
 50             }
 51             buffer.append(key + "=").append(obj);
 52             i++;
 53         }
 54         System.out.println(buffer.toString());
 55         return buffer.toString();
 56     }
 57 
 58     /**
 59      * 添加参数到map中
 60      * 
 61      * @param name
 62      * @param value
 63      */
 64     public void setParameter(String name, Object value) {
 65         if (value != null) {
 66             System.out.println(value);
 67             if (value instanceof String[]) {
 68                 params.put(name, (String[]) value);
 69             } else if (value instanceof String) {
 70                 params.put(name, value);
 71             } else {
 72                 params.put(name, new String[] { String.valueOf(value) });
 73             }
 74         }
 75     }
 76     
 77     
 78     
 79 
 80     @Override
 81     public BufferedReader getReader() throws IOException {
 82         return new BufferedReader(new InputStreamReader(getInputStream()));
 83     }
 84 
 85     @Override
 86     public ServletInputStream getInputStream() throws IOException {
 87         final ByteArrayInputStream bais = new ByteArrayInputStream(getQueryString().getBytes());
 88         return new ServletInputStream() {
 89             @Override
 90             public int read() throws IOException {
 91                 return bais.read();
 92             }
 93 
 94             @Override
 95             public boolean isFinished() {
 96                 return false;
 97             }
 98 
 99             @Override
100             public boolean isReady() {
101                 return false;
102             }
103 
104             @Override
105             public void setReadListener(ReadListener arg0) {
106             }
107         };
108     }
109 
110 }

 

转载于:https://www.cnblogs.com/D-ZH/p/11453239.html

weixin_30379911
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot中使用filter修改body里的参数
老司机让开,Java新手来了
04-23 4892
在这里, 以去空格为例来进行说明. 背景:在项目中, 经常会遇到前端往后端传参会有字符串参数首尾有空格的情况, 一般如果字段比较少, 或者接口比较少, 自行在controller位置处理一下, 是没有问题的. 就是重复代码多, 工作重复, 没劲. 所以在这里以去空格说明如何处理post方法里的参数首尾空格问题. 自定义filter. public class ParamsFilter impl...
filter对request请求拦截,对请求参数进行修改
10-08
对request请求进行拦截,对请求参数修改。常用于前台提交表单参数关键字的过滤。此工具可以对参数拦截并转义后提交到对应的处理类。 除了添加两个JsFilter.java和GetHttpServletRequestWrapper.java之外,需要在web.xml添加对应的配置。 sqlFilter weixin.idea.waiting.cq.controller.JsFilter sqlFilter /*
使用HttpServletRequestWrapper在filter修改request参数
04-12
NULL 博文链接:https://rensanning.iteye.com/blog/1706208
filter修改请求参数
wanxiaotao12-126-com
10-13 225
public class SpecialCharacterFilter { protected Log log = LogFactory.getLog(getClass()); @Override protected void doFilterInternal(HttpServletRequest req, HttpServletResponse res, Filter...
通过filter修改提交过来的数据
mush_me的专栏
06-23 480
request.getParameter可以获取到前台提交到的数据。 如果想对数据处理,进行一些安全方面的转义,这样可以通过较少的代码修改来实现。 在实现的时候,发现request对象并没有提供setParameter方法让我们来修改参数内容。 我们可以通过以下方式来实现。 1.新建立一个项目,项目名称webProject 2.index.jsp里代码如下,打印接收到的参数内容 [co...
java 过滤器 参数_Java使用servlet过滤器修改请求参数
weixin_28978471的博客
02-12 412
现有的Web应用程序正在Tomcat 4.1上运行。页面存在XSS问题,但是我无法修改源代码。我决定编写一个servlet过滤器以在页面看到参数之前对其进行清理。我想这样编写一个Filter类:import java.io.*;import javax.servlet.*;public final class XssFilter implements Filter {public void doF...
django模型动态修改参数,增加 filter 字段的方式
09-17
主要介绍了django模型动态修改参数,增加 filter 字段的方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
filter_filter_
09-29
通过修改滤波器的参数,如阶数、截止频率、衰减度等,可以观察不同设置对滤波效果的影响。此外,该模型可能还包括误差分析和性能指标计算,帮助用户评估滤波器的性能。 在Simulink中,滤波器的配置通常在滤波器模块...
实现基于Filter拦截并修改请求参数(参数解密等场景)
上进学长
09-12 2204
文章目录背景实现逻辑过滤器实现代码过滤器注册实现基于注解实现自行注册Bean实现 背景 对服务接口的安全性具有一定要求,需要做签名验证; 对服务接口的请求参数做解密还原处理; 实现逻辑 自定义过滤器实现Filter,并注册到SpringBoot中 通过将ServletRequest转换为自定义包装器实现自由读取InputStream 根据具体的请求方法类型和业务参数加密需求进行参数的解密、重组等 将新的参数请求体存入包装器内产生新的InputStream 将包装器和响应对象传入FilterChain进
在springmvc的Filter过滤器中更改请求参数,servletRequest.getParameter或者servletRequest.getParameterMap的参数教程
qq_32635221的博客
01-13 2896
如何更改servletRequest.getParameterMap的参数? 今天接到一个需求,需要对整个项目的请求参数做加密处理,但是项目已经成型,想要更改参数就需要使用MVC的过滤器了。 想要实现的结果是 前端发送一个这样的请求:/chaopin-boot/api/v1/short/add?ec=O9xLAKlugFVUl8NVY-4PHkg-0_KpQZ-IPzc9mYCKY31Rpg2ptsEkkdkEVnsT-6b3JaVY1I6T8Fy97t95AKNP2GfIgyaF5uQ46fo.
通过filter过滤器对请求参数进行处理
史大姐的博客
01-16 5094
遇见的问题: 前台把参数通过报文或者使用表单、ajax提交到后台,如果我们的请求参数是加密的,那么我们在controller里面的每一个方法里都需要进行解密处理。如果方法太多,那就太麻烦了。 设计方案: 在一个Filter中将 HttpServletRequest 里的所有参数都取出来分别进行过滤然后再放回到该HttpServletRequest 中行不行呢?通过测试后发现是不行的,因为HttpS...
通过Filter实现修改http请求、响应
赶路人儿
06-08 5286
请求头和请求参数是不能直接修改,在servlet或者Controller中获取参数本质上是通过 getParameter(String name) 或者 public String[] getParameterValues(String name) 方法,但无论是ServletRequest还是HttpServletRequest都没提供修改请求头、请求参数方法(没有setHeader、setParameter方法,只提供了setAttribute方法); 注:getParameterMap()返回的时一
Springboot项目通过filter修改接口的入参
凉茶冰
07-27 1919
在多个子工程的微服务开发的时候,后端通常情况下都是不止一个工程,前端深知也会不止一个工程,开发的团队也许也不止一个团队。这时候,在用户校验、权限控制、功能集成方面就会需要有一套架构方案来管控。在整体的架构方面有几个要求(1)根据业务需要独立拆分新建的子工程,只需要关注业务功能的代码开发即可,不需要再关注用户、角色、权限以及集成的问题;(2)子系统开发的时候,只需要引入pom依赖就可以非常方便获取用户信息以及对接口服务进行鉴权处理;...
Filter中的request中请求参数修改,实现参数直接映射
m0_37658349的博客
01-18 2857
Struts2 首先要知道Struts2 参数映射对应的是request.getPrameterMap中的键值,所以过滤器中修改过滤这块这实现参数修改。 Map parameterMap = request.getParameterMap(); Method method = parameterMap.getClass().getMethod(“setLocked”, new Class[]{b...
filter修改request参数
yhbfirst001的专栏
08-26 4123
最近有个项目,客户端发送的参数格式为jsondata={},我的服务端需要的其中的参数值,所以做了一个filter统一解析。问题来了,直接修改req.getParameterMap().put(key, ob.get(key));  会报错java.lang.IllegalSta
java spring boot 过滤器重写请求参数、添加参数修改参数、json参数
亲测,只为展现最完美的有效!
01-18 8650
一、普通参数:ParameterRequestWrapper import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import java.util.Enumeration; import java.util.Map; import java.util.Vector; /** ...
过滤器(Filter
weixin_62332711的博客
07-30 1128
1.1.写一个类实现(implements)Filter(过滤器类,Filter来自Filter-javax,servlet接口中)。1.2.重写三个方法。
spring filter 修改request中的访问路径uri、参数以及异常处理
ppwwp的专栏
07-22 4605
背景:需要开发的一个鉴权程序,在有权限的时候走正常逻辑filterChain.doFilter正常执行,在出现权限不足的时候需要返回前端异常信息,返回前端的时候需要给定固定的httpcode提示和json格式处理。如果使用throw new HttpResponseException(HttpStatus.UNAUTHORIZED.value(), resultDesc);返回前端是报错信息是500,所以自己写了一种解决方案。 如果不加filter 请求/sad/ 正常,加了filter之后请求/sad/会
继承HttpServletRequestWrapper以实现在Filter修改HttpServletRequest的参数
热门推荐
lawliet的博客
02-17 1万+
一 简介 如题所示,有时候我们需要在一个请求到达Controller之前能够截获其请求,并且根据其具体情况对 HttpServletRequest 中的参数进行过滤或者修改。这时,有的同学可能会想:我们是否可以在一个Filter中将 HttpServletRequest 里的所有参数都取出来分别进行过滤然后再放回到该HttpServletRequest 中呢? 很显然,在 HttpServle
错误使用 filter 输入参数的数目不足。
最新发布
06-04
这个错误的原因是`filter`函数的输入参数不足。`filter`函数需要两个输入参数:卷积核和输入信号。在这个例子中,你需要将信道对象`chan`作为卷积核传递给`filter`函数,并将输入信号`tx`作为第二个参数传递。修改...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值