springboot request参数过滤(XSS漏洞)

最新推荐文章于 2022-05-21 09:52:05 发布
最新推荐文章于 2022-05-21 09:52:05 发布
阅读量669 收藏 3
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39327182/article/details/105092885
版权
springboot request参数过滤(XSS漏洞)项目搭建filter过滤配置get请求参数过滤Post参数过滤启动类项目搭建保证eclipse +maven项目能够运行(基于filter过滤request参数)filter过滤配置package com.li.springboot.filter;import java.io.IOException;import javax...
摘要由CSDN通过智能技术生成

springboot request参数过滤(XSS漏洞)

项目搭建

保证eclipse +maven项目能够运行(基于filter过滤request参数)

filter过滤配置

package com.li.springboot.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;

@WebFilter(filterName="filter01",urlPatterns={
   "/*"})
public class MyFilter implements Filter{
   

	public void init(FilterConfig filterConfig) throws ServletException {
   
		// TODO Auto-generated method stub
		
	}

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
   
		// TODO Auto-generated method stub
		HttpServletRequest httpRequest=(HttpServletRequest) request;
		//判断请求类型
		if("POST".equals(httpRequest.getMethod())){
   
			httpRequest = new PostRequestWrapper(httpRequest);
			System.out.println("------filter post------");
		}else{
   
			httpRequest = new GetRequestWrapper(httpRequest);
			System.out.println("-------filter get------");
		}
		chain.doFilter(httpRequest, response);
	}

	public void destroy() {
   
		// TODO Auto-generated method stub
		
	}

}

get请求参数过滤

package com.li.springboot.filter;

import java.util.Iterator;
import java.util.Map;
import java.util.Map.Entry;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * 过滤get请求参数
 * @author 张宗海
 *
 */
public class GetRequestWrapper extends HttpServletRequestWrapper{
   

	public GetRequestWrapper(HttpServletRequest request) {
   
		super(request);
		// TODO Auto-generated constructor stub
	}
	
	/**
	 * 重写getHeader
	 */
	@Override
	public String getHeader(String name) {
   
		String header = super.getHeader(name);
		if(header!=null && !"".equals(header)){
   
			header=doFilterLabel(header);  //过滤特殊标签
		}
		return header;
	}

	/**
	 * 重写getParameter
	 */
	@Override
	public String getParameter(String name) {
   
		String parameter = super.getParameter(name);
		if(parameter!=null && !"".equals(parameter)){
   
			return doFilterLabel(parameter);
		}
		return parameter;
	}
	
	/**
	 * 重写getParameterValues
	 */
	@Override
	public String[] getParameterValues(String name) {
   
		String[] result = super.getParameterValues(name);
		if(result!=null && result.length>0
最低0.47元/天 解锁文章
一剑问九州
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
(转)GET来的漏洞
weixin_30823833的博客
08-19 552
转自呆子不开口在wooyun知识库的文章 0x00 前言 这篇文章主要讲目前互联网上get方法被不规范使用带来的一些安全漏洞。其中重点会讲get请求在账号登陆体系中被滥用的场景和攻击方式。 0x01 Get方法的定义 在客户机和服务器之间进行请求-响应时,两种最常被用到的方法是:GET 和 POST GET - 从指定的资源请求数据 POST - 向指定的资源提交要被处理的数...
XSS漏洞解决方案之一:过滤
javaACMer的专栏
09-10 4653
XSS漏洞解决方案之一:过滤
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取参数的方法进行重写,对参数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
SpringBoot+Xss过滤(@RequestBody参数过滤Xss
Answer0902的博客
07-07 2633
记一次SpringBoot+Xss过滤 XssFilter过滤器 import org.springframework.stereotype.Component; import org.springframework.web.multipart.MultipartHttpServletRequest; import org.springframework.web.multipart.commons.CommonsMultipartResolver; import javax.servlet.*; im.
SpringBoot】@RequestBody的使用
热门推荐
锦瑟年华,逐梦之人
06-20 1万+
阅读目录基础知识介绍示例详细说明`@RequestBody`与前端传过来的`json`数据的匹配规则解析json数据大体流程概述全面的结论 提示: 建议一定要看后面的@RequestBody的核心逻辑源码以及六个重要结论!本文前半部分的内容都是一些基本知识常识,可选择性跳过。 声明:本文是基于SpringBoot,进行的演示说明。 基础知识介绍 @RequestBody主要用来接收前端传递给后端的json字符串中的数据(请求体中的数据的);GET方式无请求体,所以使用@RequestBody接收数据时
JSP使用过滤器防止Xss漏洞
10-17
在Web开发中,XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到网页中,从而影响用户浏览器的行为。JSP(JavaServer Pages)作为常用的服务器端动态网页技术,同样需要关注XSS...
springboot整合XSS
03-20
四、过滤器处理XSS 除了Spring Security的内置防护,我们还可以自定义过滤器进行更精细的处理。创建一个`XSSFilter`类,实现`Filter`接口,对请求和响应进行过滤: ```java @Component public class XSSFilter ...
SpringBoot整合XssFilter,Jsoup等实现请求参数过滤,处理Xss攻击及sql注入.zip
02-09
Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数过滤,处理Xss攻击及sql注入.zip
Springboot 阻止XSS攻击
果然的博客
11-24 1万+
Springboot中阻止XSS攻击 写在前面 写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。 XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。 看看问题 XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=a
Spring Boot 3 一行代码解决通过 @RequestBody 接收 JSON 格式请求数据的 XSS 攻击
x201206030的博客
05-21 326
最近在做一个 Spring Boot 3 + Vue 3 前后端分离的开源项目。对于 POST 和 PUT 类型的请求方法,后端基本都是通过 @RequestBody 注解接收 application/json 格式的请求数据,所以以前通过过滤器 + 装饰器 HttpServletRequestWrapper 来解决 XSS 攻击的方式并不适用。
Springboot】@RequestBody参数过滤Xss
qq_36798836的博客
09-16 4963
在使用@RequestBody情况SpringBoot 参数并不是封装在parameter里面,所以重写getParameterValues和getParameterValue并不能解决问题,@RequestBody是流的形式,所以写Xss过滤如下: import java.io.ByteArrayInputStream; import java.io.IOException; import ja...
SpringBoot使用Jsoup处理Xss攻击,包括RequestBody处理 (包括Jsoup的坑)
zzzgd_666的博客
09-27 1万+
一 Jsoup 在处理xss攻击的时候,以前都是自己将特殊字符和敏感属性进行转义或替换,代码十分繁杂,这几天在网上找到了一个比较好的框架:Jsoup, 它可以让java能对Html标签做各种各样的处理,其中就有处理非法标签和属性的api. Jsoup官网介绍如下: jsoup实现WHATWG HTML5规范,并将HTML解析为与现代浏览器相同的DOM。 从URL,文件或字符串中刮取和解析 HTM...
关于springboot过滤器处理request参数问题
辉博士
10-16 8530
关于springboot过滤器处理request参数问题       最近接触了springboot这个框架遇到些问题,需要用到过滤器处理session中用户问题,和在请求到Controller之前对参数进行处理,根据笔者之前其他MVC框架的经验,想到了过滤器,在网上查了些资料,springboot过滤器使用实现HandlerInterceptor接口来处理。大致步骤分为两步,下面进行分步
XssFilter过滤之后导致@RequestBody无法解析的参数的问题
SugarSunset的博客
05-19 3792
问题: 我们遇到的问题是,使用XssFilter对请求参数过滤之后,接口无法再接受到请求参数。 原因:在工程中定义了处理请求的MessageConverter。而定义的Converter对编码有要求。 本质:(以下为个人理解) spring在处理消息时,先循环内部的messageConverter,找出可用的并且可读的。然后根据对应的解析类去解析对应的输入流。我们使用fastJsonMessag...
Springboot @RequestBody注解踩坑
qq_45872465的博客
01-12 1493
@RequestBody json注入Bean属性为空 1、接收JSON数据注入到Bean中,必须要加RuquestBody注解 2、判断属性名称字段是否相同 3、spring 默认不为首字母大写的JavaBean进行赋值操作,若首字母大写进行赋值操作需加入@JsonProperty(value=“AlarmTime”)注解 注:JavaBean规范 属性的首字母小写,驼峰命名:以小写字母开头,每个单词首字母大写 4、首字母大写无法赋值,修改Bean属性为Public同样可以解决问题(不建议此方案解决)
springboot xss参数过滤
最新发布
09-06
通过在Controller的接收参数上使用@Validated和@RequestParam注解,然后在参数类型前面添加@RequestBody注解,将请求参数映射为Java对象,并在必要时对参数进行过滤处理,可以有效防止XSS攻击。 另一种方法是使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值