附件上传的bug【转】

最新推荐文章于 2024-08-01 15:05:06 发布
最新推荐文章于 2024-08-01 15:05:06 发布
阅读量175 收藏
点赞数
文章标签: java web.xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yoyofish0001/article/details/84525258
版权
以下为同事建议的处理方法:
很多项目中都把附件上传到webRoot目录下的某一个目录(没有限制上传文件),这样系统就增加了一个安全漏洞,上传一个JSP,就可以做任何操作。处理方案是限制这些目录的JSP直接访问.

操作如下,在web.xml最前面配置一个过滤器: 

    <filter>
       <filter-name>jsplimitaccessfilter</filter-name>
       <filter-class>com.xx.JspLimitAccessFilter</filter-class>
       <init-param>
          <param-name>limitpaths</param-name>
          <param-value>/upload/</param-value>
       </init-param>
    </filter>

    <filter-mapping>
       <filter-name>jsplimitaccessfilter</filter-name>
       <url-pattern>*.jsp</url-pattern>
    </filter-mapping>


JspLimitAccessFilter代码如下: 

package com.xx;

import java.io.IOException;
import java.util.HashSet;
import java.util.Set;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.xx.pub.util.Tools;

public class JspLimitAccessFilter implements Filter {

	private String limitpath="/upload/";
	private Set<String> limitspath=new HashSet<String>();


	public void destroy() {
	}


	public void doFilter(ServletRequest arg0, ServletResponse arg1,
			FilterChain arg2) throws IOException, ServletException {
		HttpServletRequest request=(HttpServletRequest)arg0;
		String url=request.getRequestURI();
		for(String s: limitspath){
			if(url.indexOf(s)!=-1){
				return;
			}
		}
		arg2.doFilter(arg0, arg1);

	}


	public void init(FilterConfig arg0) throws ServletException {
		String limits=arg0.getInitParameter("limitpaths");
		if(Tools.isNull(limits)){
			limits = limitpath;
		}
		String [] ls=limits.split(";");
		for(String s: ls){
			limitspath.add(s);
		}
	}

}


来自ucap liuhf
--------------------
也有另外一个解决方案,就是限制文件上传的格式;
yoyofish0001
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
文件时报错
qq_38862968的博客
12-23 275
2019-12-23 11:22:38.506 ERROR 12232 — [nio-9999-exec-4] o.a.c.c.C.[.[.[/].[dispatcherServlet] : Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception [Handler di...
php附件zyupload+php
08-16
修复市面上大多数的上bug,增加php文件内的附件格式判断
记一次附件bug
molaifeng的专栏
09-28 514
昨天测试在群里反应,在beta环境上附件失败。要到账号,复现了下,发现提示token过期。这里说下beta服务器的架构,两台服务器A和B,HA做负载,项目代码各一份,使用Jenkins部署、Redis、Mysql都在B服务器上,在A服务器Nginx配置上的链接都打到B服务器上,也就是上都是在B服务器上,而无需两台服务器都同步。同时为了于线上环境一样,B服务器上的Redis是以sentinel方
apache fileupload上附件时出现的错误
weixin_34375233的博客
09-09 417
在用apache fileupload上附件时出现的错误,急待解决? [ERROR]2011-09-0421:20:03[日志信息]org.apache.struts.upload.CommonsMultipartRequestHandler.handleRequest(CommonsMultipartRequestHandler.java:201)-Fail...
Xss过滤器之文件上特殊处理
qq_42585774的博客
11-11 4063
当表单提交的enctype="multipart/form-data"且同一个页面中有附件功能时,xss过滤器需要做特殊处理 package com.ffcs.common.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import ...
禅道创建bug支持附件拖拽上
wallezhou的博客
09-09 498
禅道文件拖拽上的实现
jquery批量上, java后台批量上下载无BUG对接,类似qq邮箱附件功能
04-07
本项目针对这一需求提供了实现,标题提及的是“jquery批量上”与“java后台批量上下载无BUG对接”,这涉及到前端jQuery库的使用以及后端Java技术的集成,以实现类似QQ邮箱附件的功能。以下将详细介绍这两个...
禅道,BUG提交工具
01-08
同时,禅道支持附件,测试人员可以附上截图或日志文件,以便开发人员更准确地定位问题。 其次,禅道的流程化管理让BUG处理变得有序。一旦BUG被提交,系统会自动分配给相应的负责人,同时发送通知,确保相关人员...
mantis上附件大小问题
03-11
在使用Mantis的过程中,开发者或测试人员常常需要上各种类型的文件作为bug报告的附件,比如截图、日志文件或其他相关文档等。这些附件能够帮助团队更好地理解问题所在,并加快问题解决的速度。然而,由于服务器...
thinkphp实现附件功能
12-19
本文实例为大家分享了thinkphp实现附件的具体代码,供大家参考,具体内容如下 先需要制定图片上的目录,然后用uploadOne方法保存,有的时候需要缩略图,比如文章的封面图片 $config=array( 'rootPath' => '...
Java中的过滤器doFilter里的chain.doFilter()函数理解
wo532544220的博客
10-30 3万+
Java中的过滤器doFilter里的chain.doFilter()函数理解 关于chain.doFilter()函数在最近的使用中不是很理解,但是考虑到他是过滤器。过滤器顾名思义就是在执行某件事情的时候开始之前。开始进行处理的叫做过滤处理。一个方法,一个类就是充当过滤器的角色。它是在一个容器(类似于Tomcat)启动之后,打开一网站,他就会根据配置就行过滤处理。doFilter()方法就是过
Bug提交规范及注意事项
weixin_34354173的博客
11-08 1070
2019独角兽企业重金招聘Python工程师标准>>> ...
关于文件上遇到的问 no multipart boundary was found
热门推荐
Sanjay的专栏
08-11 13万+
no multipart boundary was found
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 525
1.导入hutool的maven依赖。2.复制一下代码执行。
社区养老服务小程序的设计
Karen198的博客
07-31 326
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
深入理解Java注解
最新发布
weixin_55745942的博客
08-01 343
Java注解是用来描述程序元素(如类、方法、变量等)的一种机制。它们可以提供关于程序的补充信息,帮助编译器、框架或其他工具更好地理解和处理代码。注解通常以符号开头,后跟注解名称和可能的参数。要创建自定义注解,需要使用@interface关键字定义一个接口,并在接口中声明注解的属性。这个注解名为,可以被用来标记方法。它有一个名为value的属性,具有默认值"default"。
BugFree缺陷管理系统使用指南
用户可以更改上附件的大小。 19. 使用快捷键 用户可以使用快捷键来快速操作 BugFree。 20. 统计报表 BugFree 提供了统计报表,用户可以查看 Bug 的统计信息。 21. BugFree 管理员角色 BugFree 管理员角色...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值