SpringMVC XSS之HttpServletRequestWrapper使用风险与应对方案

最新推荐文章于 2023-05-07 11:17:03 发布

洛枫偃月

最新推荐文章于 2023-05-07 11:17:03 发布

阅读量5.8k

点赞数

分类专栏： Web安全

本文链接：https://blog.csdn.net/zgs_shmily/article/details/48160317

版权

Web安全专栏收录该内容

11 篇文章 0 订阅

订阅专栏

问题描述：

一看到XSS【URL跨站请求】或者SQL注入，大家立马都会上网去搜索对应的解决方法，但是搜索到的几乎都是千篇一律的答案。

那就是写一个自定义的RequestWrapper并继承与HttpServletRequestWrapper，然后重构里面的getParameter……等相关方法。在重构

的方法中加上我们的自定义过滤函数。但是在实践的过程中，偶然发现一个问题。当我们的表单数据包含文件上传相关内容时，我们

的请求就不会再走这个数据过滤的相关内容。

即：

<form enctype="multipart/form-data" name="form1" id="form1" method="post" action="./edit.action">

</form>

解决方案：

1、当处理文件上传操作并涉及相关表单数据时，重新进行字符串校验。【当然，这个有些笨了】

2、重构获取表单流数据方法。【尚在研究中】

----未完，待续。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

洛枫偃月

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
2
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

HttpServletRequestWrapper 实现xss注入

mid120的博客

12-27

6827

自定义一个wapper 实现 HttpServletRequestWrapperpackage cn.baozun.crm.task.filter;import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;/** * * <p>xss过滤</p> * @au

彻底解决spring mvc XSS漏洞问题（包括json的格式的入参和出参）

3月3的风筝

05-07

9146

目录一，背景二，名词解释三，xss修复的一般处理方法四、扩展jackson定制自己的objectMapper处理json出入参的转义五、结语一，背景昨天收到公司安全部的一封漏洞邮件，说系统注册存在xss存储型漏洞，然后看了一下系统中是有xssFilter处理xss漏洞的，但是注册页面xss注入的却没有处理，经过分析代码和网上查找资料，xssFilter只能处理get请求...

2 条评论您还未登录，请先登录后发表或查看评论

XssHttpServletRequestWrapper.java

12-03

XssHttpServletRequestWrapper.java

XSS漏洞通过HttpServletRequestWrapper实现

qq_35799712的博客

08-31

1万+

目前对XSS漏洞要求修复，考虑通过拦截器来统一处理request的参数，对XSS相关的js脚本进行过滤替换，从来来实现漏洞修复。但是HttpServletRequest中的参数是无法改变的，若是手动执行修改request中的参数，则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest，在Wrapper中实现参数的修改，然后用Http...

XssHttpServletRequestWrapper过滤器

零落的尘土

12-24

7060

HttpServletRequestWrapper通过filter做XSS

小松鼠米老鼠

06-26

3438

XSS的具体解释这里不多说，XSS简单的防注入其实就是字符的替换和屏蔽。这就需要我们在服务器接受数据对数据进行处理。Filter能在request到达servlet的服务方法之前拦截HttpServletRequest对象，而在服务方法转移控制后又能拦截HttpServletResponse对象。但是不能修改HttpServletRequest对象，我们可以用HttpServletRequestW...

springmvc4配置防止XSS攻击的方法

04-05

在Spring MVC中防止XSS攻击的基本方法之一是通过实现过滤器来包装HttpServletRequest对象。具体地，需要创建一个包装类XssHttpServletRequestWrapper，用于覆盖HttpServletRequest的方法，对所有进入的请求数据进行...

spring mvc xss filter

涛哥盛世

07-09

5523

spring mvc xss filter XSS (Cross Site Scripting)：跨站脚本攻击，是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的. 比如获取用户的Cookie，导航到恶意网站,携带木马等。一般现

网络安全之基于过滤器防御xss脚本攻击

最新发布

zyxpython的博客

05-07

729

过滤器和拦截器

java架构学习——17. 表单重复提交&防止模拟请求&跨域解决方案&XSS攻击

wmq_fly的博客

02-15

762

一、http长连接与短连接在HTTP/1.0中，默认使用的是短连接。也就是说，浏览器和服务器每进行一次HTTP操作，就建立一次连接，但任务结束就中断连接。如果客户端浏览器访问的某个HTML或其他类型的 Web页中包含有其他的Web资源，如JavaScript文件、图像文件、CSS文件等；当浏览器每遇到这样一个Web资源，就会建立一个HTTP会话。但从 HTTP/1.1起，默认使用长连接，用以保...

Spring-MVC处理XSS、SQL注入攻击的方法总结

11-14

Spring-MVC处理XSS、SQL注入攻击的方法总结

使用HttpServletRequestWrapper在filter修改request参数

04-12

NULL 博文链接：https://rensanning.iteye.com/blog/1706208

Spring MVC系列（16）-使用HttpServletRequestWrapper 解决流只能读取一次的问题

记录知识、锤炼自我

12-23

3409

文章目录问题场景原因分析解决方案方案1 使用HttpServletRequestWrapper 重新包装流1. HttpServletRequestWrapper2. 自定义实现类3. 添加过滤器4. 测试问题场景在使用@Aspect进行切面配置打印请求日志时，获取了请求参数，然后在访问接口中，又调用了工具类去获取请求参数，发生异常。错误信息如下： // 在使用getInputStream方法时，发现InputStream已经被读取了。 java.lang.IllegalStateException:

HttpServletRequestWrapper 实现xss注入跨站点脚本编制

neusoft-mengxiaoming的专栏

07-23

1110

主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法 web.xml配置filter <filter> <filter-name>XssEscape</filter-name> ...

【转】HttpServletRequestWrapper 实现xss注入

weixin_30888413的博客

09-15

188

　　这里说下最近项目中我们的解决方案，主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。解决过程主要在用户输入和显示输出两步：在输入时对特殊字符如<>" ' & 转义，在输出时用jstl的fn:excapeXml("fff")方法。其中，输入...

解决Spring MVC XSS注入问题

qq_33413127的博客

03-02

707

解决Spring MVC XSS注入问题背景可能的方案可行的方案背景最近所从事的项目，线上被扫描出部分连接存在XSS注入问题。例如： http://www.xxx.com/yyy.html?applyId=5a20c06fa15243c109b66bb8%22%3E%3Csvg/οnlοad=alert(1)%3E&cate=&channel=0&isEmbed=0&level=0 上面连接中的 alert(1)脚本被执行。存在XSS漏洞。接下来开始解决，经过一个曲折的过

springmvc项目中XSS漏洞解决

laok186的博客

08-01

1994

反射型XSS漏洞修复

SpringMVC防止XSS攻击