addheader()java_Java代码审计 HTTP头操纵 response.addHeader()

最新推荐文章于 2022-11-29 09:54:29 发布
最新推荐文章于 2022-11-29 09:54:29 发布
阅读量498 收藏
点赞数
文章标签: addheader()java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34410564/article/details/114170217
版权

系统中数据包含在一个HTTP响应头文件里,未经验证就发送给了web用户,即获取未经验证的值输入到头文件中。

String fileName = request.getParameter("fileName");

fileName = new String(fileName.getBytes("gb2312","iso-8859-1"));

string header = request.getParameter("headerInfo");

string data = request.getParameter("dataInfo");

//生成excel工作簿

HSSFWorkbook wkb = ExportUtil.exportExcel(header,data,getDataList(request));

//放回前台提供下载

response.setContentType("application/x-download;charset-utf-8");

response.addHeader("Content-DEsposition","attachment;filename="+filename);

修复建议:

攻击者利用未经验证的字符,可以提交一个恶意字符串,不仅可以控制应用程序要发送的响应剩余头文件和正文,还可以创建完全受其控制的其他响应。

对即将加入响应头文件的值进行输入验证,并检验其属性是否正确,验证所有应用程序输入数据或向用户输出的数据。

建议可以创建一份安全字符自名单,其中的字符允许出现在HTTP响应头文件中,并且只接受完全由这些受认可的字符组成的输入。

例如,有效的用户名可能仅包含字母数字字符,帐号可能仅包含0-9的数字.或者建立黑名单如:校验禁止如“:”(冒号)和“=”(等号)及\r\n等。

神楽坂喵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java文件下载设置中文名称的实例(response.addHeader)
08-28
下面小编就为大家分享一篇java文件下载设置中文名称的实例(response.addHeader),具有很好的参考价值,希望对大家有所帮助
HTTP协议基础
Nicolas
12-21 965
HTTP(HyperTextTransferProtocol)是超文本传输协议的缩写,它用于传送WWW方式的数据,关于协议的详细内容请参考RFC2616。 HTTP协议采用了请求/响应模型。客户端向服务器发送一个请求,请求包含请求的方法、URI、 协议版本、以及包含请求修饰符、客户信息和内容的类似于MIME的消息结构。服务器以一个状态行作为响应,相应的内容包括消息协议的版本,成功
Java代码审计 HTTP操纵 response.addHeader()
dilamo1968的博客
08-30 721
系统中数据包含在一个HTTP响应文件里,未经验证就发送给了web用户,即获取未经验证的值输入到文件中。 String fileName = request.getParameter("fileName");fileName = new String(fileName.getBytes("gb2312","iso-8859-1")); string header = re...
addheader()java_Java Headers.add方法代码示例
weixin_34124963的博客
02-15 1269
import org.apache.kafka.common.header.Headers; //导入方法依赖的package包/类@Testpublic void testAddRemoveInterleaved() {Headers headers = new RecordHeaders();headers.add(new RecordHeader("key", "value".getByte...
addheader()java_java文件下载设置中文名称的实例(response.addHeader)
weixin_35797963的博客
02-15 338
实例如下:protected void doPost(HttpServletRequest request, HttpServletResponse response)throws ServletException, IOException {String browser = "";String fileName = "测试.txt";try {browser = request.getHeade...
http文件
happyq的专栏
04-15 2229
<br />http文件<br />Accept-Charset:浏览器可接受的字符集。<br />Accept-Encoding:浏览器能够进行解码的数据编码方式,比如gzip。Servlet能够向支持gzip的浏览器返回经gzip编码的HTML页面。许多情形下这可以减少5到10倍的下载时间。<br />Accept-Language:浏览器所希望的语言种类,当服务器能够提供一种以上的语言版本时要用到。<br />Authorization:授权信息,通常出现在对服务器发送的WWW-Authentica
nginx配置教程之add_header的坑详解
09-29
主要给大家介绍了关于nginx配置教程之add_header坑的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
add.test.zip_企业管理_Java_
08-12
用EXTJS + SERVLET + IBATIS实现的一个员工信息管理系统
nginx add_header指令使用方法
09-30
主要介绍了nginx add_header指令使用方法,nginx配置文件通过使用add_header指令来设置response header,需要的朋友可以参考下
Java ArrayList.add 的实现方法
08-26
主要介绍了Java ArrayList.add 的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java在过滤器中为http请求加请求header
m0_58709145的博客
11-29 8838
现在有一个需求场景:每一个请求我都需要在请求里面加上token这个请求,作为一种校验机制,传统的接口可以通过设置一个全局的变量,然后通过页面携带过来(大概就是先将我们的token放在session。
java addheader_Java HttpResponse.addHeader方法代码示例
weixin_35827671的博客
02-21 567
import org.apache.http.HttpResponse; //导入方法依赖的package包/类/*** Processes the response (possibly updating or inserting) Content-Length and Transfer-Encoding headers.* @param response The HttpResponse to ...
JAVA-动态导出Excel(自定义sheet,head)
Android小菜鸟的博客
09-26 1257
vue前端代码:file-saver - npm index.js: export function exportFile(data) { return request({ url: '/url/export', method: 'get', params: data, responseType: 'blob' }) } index.vue: import FileSaver from 'file-saver' import { exportFile }
C 语言实现 linux pwd 命令内含源码以及说明书可以自己运行复现.zip
最新发布
05-07
C 语言实现 linux pwd 命令内含源码以及说明书可以自己运行复现.zip
2024年中国变焦LED手电筒行业研究报告.docx
05-07
2024年中国变焦LED手电筒行业研究报告
node-v8.11.2-darwin-x64.tar.xz
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v4.8.2-x86.msi
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
response.setHeaderresponse.addHeader区别
06-01
`response.setHeader()` 和 `response.addHeader()` 都可以设置 HTTP 响应,但是它们之间有一些区别。 `response.setHeader()` 方法用于设置指定名称的响应的值,如果响应已经存在,则替换其值;如果不存在,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值