sql注入,XSS攻击可通过 继承HttpServletRequestWrapper重写request实现修改request请求

最新推荐文章于 2024-09-01 21:49:00 发布
最新推荐文章于 2024-09-01 21:49:00 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wst260/article/details/103702764
版权
本文介绍了如何通过继承HttpServletRequestWrapper来重写request请求,以防御SQL注入和XSS攻击。首先,创建一个继承ServletRequestWrapper的类,接着实现过滤敏感内容的逻辑。然后,设置一个过滤器来应用这个自定义请求包装器。最后,在web.xml配置文件中配置该过滤器以拦截并处理所有请求。
摘要由CSDN通过智能技术生成

首先创建一个类继承ServletRequestWrapper类,重写request请求

import java.io.StringReader;
import java.io.StringWriter;
import java.text.CharacterIterator;
import java.text.StringCharacterIterator;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import com.blogspot.radialmind.html.HTMLParser;
import com.blogspot.radialmind.xss.XSSFilter;

public class ServletRequestWrapper extends HttpServletRequestWrapper {

	HttpServletRequest orgRequest = null;
	private static String[] keywords ={"|","&",";","$","%","@","'","\'","\"","/>","<>","()","+","cr","lf","\\","ASCII",
			"../","./","*","=","char","sysopen","execute","exec","net user","/add"
			,"create","modify","union","join","select","insert", "update", "delete", "drop", "truncate"};
	public servletRequestWrapper(HttpServletRequest request) {
		super(request);
		orgRequest = request;
	}

	/**
	 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。
最低0.47元/天 解锁文章
wst260
关注
专栏目录
HttpServletRequestWrapper 实现xss注入
mid120的博客
12-27 6834
自定义一个wapper 实现 HttpServletRequestWrapperpackage cn.baozun.crm.task.filter;import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;/** * * <p>xss过滤</p> * @au
HttpServletRequestWrapper 用法
fishhappy365的专栏
10-10 920
Servlet规范中所引入的filter令人心动不已,因为它引入了一个功能强大的拦截模式。Filter是这样一种Java对象,它能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。你可以使用filter来实现特定的任务,比如验证用户输入,以及压缩web内容。但你拟富有成效地使用过滤...
通过HandlerInterceptor、HttpServletRequestWrapper、Filter实现接口前置参数处理后依然触发注解式参数校验(日志、参数加解密等)
qq_36438844的博客
08-22 276
1、因为正常HttpServletRequest只能获取一次body参数,无法进行修改,所以需要通过Wrapper(包装)自定义一个request。4、创建拦截器,对所有的标注了@DesDecrypt 的接口进行拦截,并使用自定义的request进行处理,将body参数取出,处理之后在注入回去。2、虽然自定义了request但是,请求不会直接使用自定义的Request,需要通过拦截器将所有的请求都转换成自定义的Request。3、为WebFilter进行配置,此步骤可以省略,可以采用纯注解方式配置过滤器。
mybats-puls---条件构造器Wrapper,插件扩展,SQL注入器,公共字段填充
guoguo0717的博客
05-20 507
条件构造器Wrapper(看官网即可) 代码生成器 AutoGenerator 是 MyBatis­Plus 的代码生成器,通过 AutoGenerator 可以快速生成 Entity、Mapper、Mapper XML、Service、Controller 等各个模块 的代码,极大的提升了开发效率。 其实在学习mybatis的时候我们就使用过逆向工程,根据我们的数据表 来生成的对应的实体类,DAO接口和Mapper映射文件,而MyBatis­plus提供了 更加完善的功能,下面来针对两种方式做一个基本的对
MyBatis Plus Wrapper 参数化处理和防止 SQL 注入
2401_85480529的博客
06-05 1060
MyBatis Plus 提供了强大的Wrapper类,用于构建安全的动态 SQL 查询。通过自动参数化处理,MyBatis Plus 确保了 SQL 语句的安全性,有效防止了 SQL 注入风险。使用Wrapper类可以极大简化复杂查询的构建过程,同时保证了查询的安全性。
XSS漏洞通过HttpServletRequestWrapper实现
热门推荐
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper实现参数的修改,然后用Http...
防止SQL注入XSS攻击Filter
06-03
通过这种方式,可以实现如身份验证、日志记录、编码转换等功能,同时也可以用来实现对输入数据的清洗,以防止SQL注入XSS攻击等安全问题。 #### 三、代码解析 ##### 1. XssFilter类 ```java public class Xss...
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
m0_71777195的博客
03-21 1260
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
XSS攻击SQL注入及解决方案
coderWang
09-02 1919
最近发现公司老项目存在XSS和SQL注入问题,分析及记录下 1.什么是XSS攻击手段 XSS攻击简单来说就是JavaScript脚本语言攻击 1. 如 弹 出 恶 意 警 告 框 :<script>alert(“XSS”);</script> 2. XSS 输入也可能是 HTML 代码段,譬如: (1) 网页不停地刷新 <meta http-equiv=’re...
【微服务】springboot 自定义注解+反射+aop实现动态修改请求参数
最新发布
congge
09-01 8493
springboot 动态修改请求参数常用方案
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
使用HttpServletRequestWrapper在filter修改request参数
04-12
NULL 博文链接:https://rensanning.iteye.com/blog/1706208
XssHttpServletRequestWrapper过滤器
零落的尘土
12-24 7066
XssHttpServletRequestWrapper过滤器 先定义需要过滤的变量如下: private static final String EVENTS = "((?i)onclick|oncontextmenu|ondblclick|onmousedown|onmouseenter|onmouseleave|" + "onmousemove|onmouse...
Java Web使用过滤器防止Xss攻击,解决Xss漏洞 防止解决XSS注入攻击的过滤器filter XssHttpServletRequestWrapper
飞熊的博客
10-11 2594
前段时间,博主在帮忙朋友给一个国营单位做的一个项目中,在上线的前期,客户要求检测漏洞,因此找到了专业的测评公司,测出来好多漏洞,其中就有xss攻击,我讲自己处理的方式分享给大家,便于大家少走弯路。 package com.yl.filter; import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; i
SpringMVC XSS之HttpServletRequestWrapper使用风险与应对方案
爱旅行的攻城狮
09-01 5876
问题描述: 一看到XSS【URL跨站请求】或者SQL注入,大家立马都会上网去搜索对应的解决方法,但是搜索到的几乎都是千篇一律的答案。 那就是写一个自定义的RequestWrapper继承HttpServletRequestWrapper,然后重构里面的getParameter……等相关方法。在重构 的方法中加上我们的自定义过滤函数。但是在实践的过程中,偶然发现一个问题。当我们的表单数据包
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值