Struts2 Filter 和 HttpServletRequestWrapper出现的问题

最新推荐文章于 2022-05-01 11:05:57 发布
最新推荐文章于 2022-05-01 11:05:57 发布
阅读量2k 收藏
点赞数
分类专栏: 信息安全漏洞小记

Struts2 是通过request.getParameterMap()来获取属性的,要重写这个方法


 Struts2 的Action中定义了一个属性:

public Class LoginAction {

    private String redirectionURL;

}

现在定义了一个XSSFilter用来过滤掉url参数中的特殊信息(这个Filter配置在Struts2之前),通过一个XSSRequestWrapper包装器对request对象进行包装,在浏览器中输入:

在filter这样测试:

输出的内容是这样的:

这个说明过滤是成功的了,但是在action中进行这样测试,

输出却是这样的:

action中redirectionURL,使用的还是为包装前的request的属性,这是为什么呢?我filter是定义在Struts2之前嘛,在Struts2通过注入方式将request对象的参数redirectionURL注入到LoginAction的redirectionURL之前,这个request对象应该是我包装过的对象嘛,包装过的话参数redirectionURL的值应该就是过滤后的,为什么这里还是没过滤的呢?


OkidoGreen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
StrutsRequestWrapper详解
不会停下学习的脚步,重在思考。
01-11 3806
查看一下StrutsRequestWrapper的源代码,本人将其中的英文注释转为中文 package org.apache.struts2.dispatcher; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import com.
使用HttpServletRequestWrapperfilter修改request参数
04-12
在Java Web开发中,`HttpServletRequestWrapper` 是一个非常重要的工具,它允许我们在过滤器(Filter)中对HTTP请求(Request)进行拦截和修改。`HttpServletRequestWrapper` 是Servlet API中的一个抽象类,它是`...
修改请求返回值(struts2+过滤器+自定义HttpServletResponseWrapper)
tzc_xyh的博客
11-28 776
啊啊
问题记录:HttpServletRequestWrapper导致跨域失败的问题
热门推荐
何忆清风
01-10 5万+
spring filter跨域问题
struts2 源码分析 request ---设置setParameters 的值
xiaomin1991222的专栏
03-10 665
StrutsRequestWrapper /* */ package org.apache.struts2.dispatcher; /* */ /* */ import com.opensymphony.xwork2.ActionContext; /* */ import com.opensymphony.xwork2.util.ValueStack; /*
HttpServletRequestWrapper使用:解决HttpServletRequest只能读取一次流后无法获取的问题,封装request.getInputStream()
qq_42513284的博客
11-16 1248
文章目录1.背景2.过滤器3.RequestWrapper4.业务处理(获取请求参数并且加密) 1.背景 ​ 在过滤器中获取请求的参数信息,并对参数信息进行校验。 2.过滤器 package com.qin.filter; import com.qin.common.util.RequestWrapper; import org.springframework.context.annotation.Configuration; import org.springframework.core.annotat
HttpServletRequestWrapper
05-08
这是一个关于HttpServletRequestWrapper使用的列子,工作需要,所以传上来的。
HttpServletRequestWrapper 用法
05-26
理解并熟练使用`HttpServletRequestWrapper`,可以极大地提高代码的可维护性和安全性,尤其在处理复杂业务逻辑或特殊需求时。在实际项目中,可以根据具体需求创建不同功能的包装器,以满足多样化的应用场景。
Filter来解决中文表单提交问题
01-13
在Web开发中,尤其是涉及到中文字符的处理时,经常会出现中文表单提交问题。这是因为不同的系统和浏览器在处理字符编码时可能存在不一致,导致在表单提交时中文字符出现乱码。为了解决这个问题,我们可以利用Java的...
JavaEE Filter敏感词过滤的方法实例详解
09-02
Filter在Java Web应用程序中扮演着中间件的角色,它会在客户端请求到达目标Servlet之前和Servlet响应返回给客户端之后进行拦截。通过实现javax.servlet.Filter接口,我们可以自定义过滤逻辑,例如在请求处理过程中...
XSS漏洞通过HttpServletRequestWrapper实现
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper中实现参数的修改,然后用Http...
拦截器问题
weixin_44289928的博客
11-30 191
拦截器
Struts2框架入门使用教程
qq_34917117的博客
08-20 357
Struts2是最近入门框架时学习的框架,其主要是取代之前写的servlet层,实现前后端之间的交互作用,实现简单的前后端传值取值,可以让普通的类变成成访问的URL地址。也可以直接访问类里面的方法。 1.导入jar包 在学习框架时,第一步基本都是导入jar包,放在WebContent>WEB-INF>lib文件夹下 jar包 2.编写XML配置文件 当然我们可以在src...
struts升级版本之后无法获取到参数
weixin_45214729的博客
05-01 643
struts升级版本之后无法获取到参数 struts原版本是2.3.32,后来因为某些原因升级成2.5.30。升级前可以获取到Content-Type:multipart/form-data 的数据。但是升级后发现获取不到了。开始以为是其他jar包版本的错误改了很长时间也解决不了。 直到我看到一个文章说“请求的头部信息为“multipart/form-data”时需要做处理才可以通过request.getParameter(“”)的方法获取到请求参数(文章地址:“https://www.cnblogs.co
xss过滤器在struts2中不生效的解决办法
m0_59620862的博客
04-02 555
今天有个同事说之前servlet中用的好好的xxs过滤器放到struts2中不好用了。从现象上看过滤器总在struts2注入参数后执行过滤,但明明过滤器配置在struts的preparedandexecutefilter之前。这是为什么呢? 经过小编debug发现原来用在servlet中的xxsfilter在过滤请求时只是重写了httprequest的getparameter方法,而struts里面注入参数时是从getrequestmap取值的,重写这个方法厚过滤器生效了。 ...
继承HttpServletRequestWrapper以实现在Filter中修改HttpServletRequest的参数
lawliet的博客
02-17 1万+
一 简介 如题所示,有时候我们需要在一个请求到达Controller之前能够截获其请求,并且根据其具体情况对 HttpServletRequest 中的参数进行过滤或者修改。这时,有的同学可能会想:我们是否可以在一个Filter中将 HttpServletRequest 里的所有参数都取出来分别进行过滤然后再放回到该HttpServletRequest 中呢? 很显然,在 HttpServle
使用wrapper包装器对request进行处理
Aurora Silent
07-10 5090
有时候我们需要在获取到request请求时对request中的请求信息做一些预处理,或者对URI等信息做一些处理之后,再交由下面的流程处理。这时候,我们可以通过Request Wrapper来对request进行操作。此处通过举例来描述如何通过RequestWrapper进行Request预处理 例子1:使用wrapper时,需要新建一个类,并继承 HttpServletRequestWrapper
struts2配置xss拦截器
最新发布
05-13
Struts2 中,可以使用拦截器来防止 XSS 攻击。以下是一些步骤: 1. 创建一个类,继承 org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter。 ```java public class XSSFilter extends StrutsPrepareAndExecuteFilter { @Override protected void postInit(FilterConfig filterConfig) throws ServletException { super.postInit(filterConfig); // 添加 XSS 拦截器 addFilter(new FilterHolder(new XSSInterceptor()), "/*", null); } } ``` 这个类的作用是在 Struts2 启动时添加一个 XSS 拦截器。 2. 创建一个 XSS 拦截器。 ```java public class XSSInterceptor implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { // 对请求参数进行 XSS 过滤 HttpServletRequest request = (HttpServletRequest) servletRequest; HttpServletResponse response = (HttpServletResponse) servletResponse; filterChain.doFilter(new XSSRequestWrapper(request), response); } @Override public void destroy() { } } ``` 这个拦截器的作用是对请求参数进行 XSS 过滤。 3. 创建一个 XSSRequestWrapper 类,继承 HttpServletRequestWrapper。 ```java public class XSSRequestWrapper extends HttpServletRequestWrapper { public XSSRequestWrapper(HttpServletRequest request) { super(request); } @Override public String getParameter(String name) { String value = super.getParameter(name); if (value != null) { value = Jsoup.clean(value, Whitelist.basic()); } return value; } } ``` 这个类的作用是重写 getParameter 方法,在获取请求参数时进行 XSS 过滤。 4. 在 web.xml 中添加过滤器配置。 ```xml <filter> <filter-name>xssFilter</filter-name> <filter-class>com.example.XSSFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 这个配置的作用是将 XSSFilter 拦截器应用于所有的请求。 以上是一个简单的 Struts2 XSS 拦截器的配置。但是需要注意的是,这个拦截器只能对请求参数进行 XSS 过滤,对于响应内容的过滤需要使用其他的方案来解决。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值