HttpServletRequestWrapper 实现xss注入

最新推荐文章于 2024-08-22 09:22:35 发布
最新推荐文章于 2024-08-22 09:22:35 发布
阅读量2k 收藏 2
点赞数 1
分类专栏: Spring

自定义一个wapper 实现 HttpServletRequestWrapper

package cn.baozun.crm.task.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 *
 * <p>xss过滤</p>
 * @author dexter.qin
 * @version $Id: XssHttpServletRequestWrapper.java, v 0.1 2014-2-27 下午2:28:30 qinde Exp $
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    HttpServletRequest orgRequest = null;

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        orgRequest = request;
    }

    /**
    * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
    * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
    * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
    */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }

    /**
    * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
    * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
    * getHeaderNames 也可能需要覆盖
    */
    @Override
    public String getHeader(String name) {

        String value = super.getHeader(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }

    /**
    * 将容易引起xss漏洞的半角字符直接替换成全角字符
    *
    * @param s
    * @return
    */
    private static String xssEncode(String s) {
        if (s == null || "".equals(s)) {
            return s;
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
                case '>':
                    sb.append('>');//全角大于号
                    break;
                case '<':
                    sb.append('<');//全角小于号
                    break;
                case '\'':
                    sb.append('‘');//全角单引号
                    break;
                case '\"':
                    sb.append('“');//全角双引号
                    break;
                case '&':
                    sb.append('&');//全角
                    break;
                case '\\':
                    sb.append('\');//全角斜线
                    break;
                case '#':
                    sb.append('#');//全角井号
                    break;
                default:
                    sb.append(c);
                    break;
            }
        }
        return sb.toString();
    }

    /**
    * 获取最原始的request
    *
    * @return
    */
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    /**
    * 获取最原始的request的静态方法
    *
    * @return
    */
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
        if (req instanceof XssHttpServletRequestWrapper) {
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();
        }

        return req;
    }

    public static void main(String[] args) {
        System.out.println(XssHttpServletRequestWrapper.xssEncode("<script>alert(1)</script>"));
    }
}

自定义过滤器

package cn.baozun.crm.task.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 *
 * <p>拦截防止sql注入、xss注入 </p>
 * @author dexter.qin
 * @version $Id: XssFilter.java, v 0.1 2014-2-27 下午2:29:14 qinde Exp $
 */
public class XssFilter implements Filter {

    /* (non-Javadoc)
     * @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest, javax.servlet.ServletResponse, javax.servlet.FilterChain)
     */
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
                                                                                                   throws IOException,
                                                                                                   ServletException {

        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
            (HttpServletRequest) request);
        filterChain.doFilter(xssRequest, response);

    }

    @Override
    public void destroy() {

    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {

    }

}

转载于:https://blog.csdn.net/mid120/article/details/53897550

yinni11
关注
专栏目录
sql注入XSS攻击可通过 继承HttpServletRequestWrapper重写request实现修改request请求
wst260的博客
12-25 1243
首先创建一个类继承ServletRequestWrapper类,重写request请求 import java.io.StringReader; import java.io.StringWriter; import java.text.CharacterIterator; import java.text.StringCharacterIterator; import javax.serv...
使用HttpServletRequestWrapper在filter修改request参数
04-12
NULL 博文链接:https://rensanning.iteye.com/blog/1706208
通过HandlerInterceptor、HttpServletRequestWrapper、Filter实现接口前置参数处理后依然触发注解式参数校验(日志、参数加解密等)
最新发布
qq_36438844的博客
08-22 273
1、因为正常HttpServletRequest只能获取一次body参数,无法进行修改,所以需要通过Wrapper(包装)自定义一个request。4、创建拦截器,对所有的标注了@DesDecrypt 的接口进行拦截,并使用自定义的request进行处理,将body参数取出,处理之后在注入回去。2、虽然自定义了request但是,请求不会直接使用自定义的Request,需要通过拦截器将所有的请求都转换成自定义的Request。3、为WebFilter进行配置,此步骤可以省略,可以采用纯注解方式配置过滤器。
HttpServletRequestWrapper 用法
fishhappy365的专栏
10-10 918
Servlet规范中所引入的filter令人心动不已,因为它引入了一个功能强大的拦截模式。Filter是这样一种Java对象,它能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。你可以使用filter来实现特定的任务,比如验证用户输入,以及压缩web内容。但你拟富有成效地使用过滤...
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
使用HttpServletRequestWrapper解决web项目request数据流无法重复读取的问题
dream_xin2013的专栏
01-26 1150
在做web项目开发时,我们有时候需要做一些前置的拦截判断处理,比如非法参数校验,防攻击拦截,统一日志处理等,而请求参数如果是form表单提交还好处理;对于json这种输入流的数据就会有问题,统一处理如果读取了数据流就会将流进行关闭,这就会导致接下来的业务处理无法读取数据流。封装成这个类就是为了解决需要重复读取输入流的地方就使用这个包装类替换原有的request对象。
SpringBoot2.1.x,集成POI,用HttpServletRequestWrapper实现XSS攻击拦截,用HttpServletResponseWrapper实现通用excel导出功能
p812438109的专栏
08-07 1449
该案例是用Filter拦截器实现excel通用导出功能,并在实现的过程中,加入了XSS攻击拦截功能。 局限性: 1、excel通用导出,只能用于一种导出模板,列头+数据格式 2、不适合数据超大导出 导出excel通用模板格式效果图: 第一步:创建一个maven项目,引入springboot的jar,并引入POI导出excel需要的jar <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http:/..
springboot+thymeleaf实现如何防御XSS、SQL注入、SCRF、防盗链攻击
qq_37894645的博客
12-30 1344
Web安全常见攻击手段 XSS、SQL注入、防盗链、CSRF、上传漏洞 一、 XSS攻击 什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 表单提交数据 下面由 thymeleaf + spring Boot 2.2.4 代码实现: 1、省略创建maven工程步骤 2.、修改pom.xml <parent> <groupId>org.spr
vue xss 存在_防止XSS脚本注入-前端vue、后端springboot
weixin_35952534的博客
01-15 1783
防止XSS脚本注入-前端、后端作者时间雨中星辰2020-09-10xss是什么跨站脚本攻击(XSS),是目前最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。xss脚本注入演示通过表单,先添加一个数据,其中一条数据为脚本插入数据刷新页面刷新页面从截图看,注入的脚本已经执...
利用HttpServletRequestWrapper来支持可重复读取HttpServletRequest中的请求输入流且不影响Controller层的参数获取
LSL1618的博客
01-20 3224
HttpServletRequest中的请求输入流不可重复读取的原因就不叙述了,一堆搜索结果随便看,直接看步骤正文: 1.定义请求包装器,继承于 HttpServletRequestWrapper import lombok.extern.slf4j.Slf4j; import org.apache.commons.lang3.ArrayUtils; import org.apache.commons.lang3.StringUtils; import org.springframework.ht.
HttpServletRequestWrapper
05-08
这是一个关于HttpServletRequestWrapper使用的列子,工作需要,所以传上来的。
【转】HttpServletRequestWrapper 实现xss注入
weixin_30888413的博客
09-15 191
  这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。 解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。 其中,输入...
HttpServletRequestWrapper介绍
weixin_48453772的博客
06-06 1410
HttpServletRequest 对参数值的获取实际调的是org.apache.catalina.connector.Request,没有提供对应的set方法修改属性,所以不能对前端传来的参数进行修改,实际场所像过滤xss攻击,获取认证token统一去除token前缀等需要进行请求参数的处理,此时HttpServletRequestWrapper 就应运而生。
springboot通过HttpServletRequestWrapper获取所有请求参数
热门推荐
OceanSky的专栏
08-26 2万+
springboot通过拦截器获取参数有两种方式,一种通过request.getParameter获取Get方式传递的参数,另外一种是通过request.getInputStream或reques.getReader获取通过POST/PUT/DELETE/PATCH传递的参数; 1.拦截器获取参数有哪些方式 @PathVariable注解是REST风格url获取参数的方式,只能用在GET请求类型,通过getParameter获取参数 @RequestParam注解支持GET和POST/PUT/DELE.
HttpServletRequestWrapperHttpServletResponseWrapper详解
Skyline
05-14 1万+
Servlet规范中的filter引入了一个功能强大的拦截模式。Filter能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。且无法获取到HttpServlet
利用HttpServletRequestWrapperHttpServletRequest进行封装的方法
courage89的专栏
11-13 7274
首先,说明几个类和方法的关系: class HttpServletRequestWrapper extends ServletRequestWrapper implements HttpServletRequest       在Filter中由于需要的对于inputStream的内容进行权限验证,我们必须将所有input内容读取出来,但是在Controller层中程序同样需要提取i
JAVA基础》-- 基于过滤器实现接口的加解密、国际化
lmj3732018的博客
12-22 2199
【代码】HttpServletRequestWrapperHttpServletResponseWrapper结合 过滤器 实现接口的加解密、国际化。
java 代码实现xssFilter
03-28
以下是一个基本的Java代码实现XSS过滤器的示例: ``` import java.util.regex.Pattern; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XSSFilterRequestWrapper extends HttpServletRequestWrapper { public XSSFilterRequestWrapper(HttpServletRequest servletRequest) { super(servletRequest); } @Override public String[] getParameterValues(String parameter) { String[] values = super.getParameterValues(parameter); if (values == null) { return null; } int count = values.length; String[] encodedValues = new String[count]; for (int i = 0; i < count; i++) { encodedValues[i] = xssClean(values[i]); } return encodedValues; } @Override public String getParameter(String parameter) { String value = super.getParameter(parameter); return xssClean(value); } @Override public String getHeader(String name) { String value = super.getHeader(name); return xssClean(value); } private String xssClean(String value) { if (value != null) { // 防止脚本注入 Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); // 防止表单重定向 scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // 防止脚本注入 scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // 防止HTML标签注入 scriptPattern = Pattern.compile("<", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll("<"); scriptPattern = Pattern.compile(">", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(">"); } return value; } } ``` 这个过滤器实现了`javax.servlet.http.HttpServletRequestWrapper`接口,重写了三个方法: - `getParameterValues`:过滤所有参数值并返回过滤后的结果数组。 - `getParameter`:过滤单个参数值并返回过滤后的结果。 - `getHeader`:过滤HTTP头部并返回过滤后的结果。 它使用正则表达式来替换所有可能的XSS攻击代码,并将结果返回给调用者。使用该过滤器可以大大提高应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值