spring mvc enctype=multipart/form-data 参数过滤

最新推荐文章于 2024-06-30 18:38:41 发布
最新推荐文章于 2024-06-30 18:38:41 发布
阅读量1k 收藏
点赞数 1
分类专栏: spring mvc 过滤 文章标签: 参数过滤 multipartform-data 过滤器 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoucanji/article/details/79716066
版权

当表单的enctype=multipart/form-data时,一般的过滤器无法获取参数,所以

在springmvc配置文件注解适配器

org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter

com.zcj.MyAnnotationMethodHandlerAdapter,

这个类是继承spring的AnnotationMethodHandlerAdapter,重写ModelAndView handle(HttpServletRequest request,HttpServletResponse response, Object handler) 方法实现过滤.

package com.zcj;

import java.util.LinkedHashMap;
import java.util.Map;
import java.util.Set;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.commons.lang.StringUtils;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter;
public class MyAnnotationMethodHandlerAdapter extends
		AnnotationMethodHandlerAdapter {
	
	private static Map<String,String> xssMap = new LinkedHashMap<String,String>();
	{
		// 含有脚本: script
        xssMap.put("[s|S][c|C][r|R][i|C][p|P][t|T]", "");
        // 含有脚本 javascript
        xssMap.put("[\\\"\\\'][\\s]*[j|J][a|A][v|V][a|A][s|S][c|C][r|R][i|I][p|P][t|T]:(.*)[\\\"\\\']", "\"\"");
        // 含有函数: eval
        xssMap.put("[e|E][v|V][a|A][l|L]\\((.*)\\)", "");
	}
	
	/**
	 * 清除恶意的XSS脚本
	 * 
	 * @param value
	 * @return
	 */
	private String myCleanXSS(String value) {
		Set<String> keySet = xssMap.keySet();
		for (String key : keySet) {
			String v = xssMap.get(key);
			value = value.replaceAll(key, v);
		}
		return value;
	}
	private void myXss(HttpServletRequest request){
		Map map = request.getParameterMap();
		Set<String> keySet = map.keySet();
		for(String key : keySet){
			String[] values = request.getParameterValues(key);
			if(values!=null&&values.length>0){
				for(int i=0 ;i<values.length;i++){
					if(!StringUtils.isBlank(values[i])){
						values[i] = myCleanXSS(values[i]);
					}
				}
			}
		}
	}
	@Override
	public ModelAndView handle(HttpServletRequest request,
			HttpServletResponse response, Object handler) throws Exception {
		if("/article/addOrUpdateArticle".equals(request.getRequestURI())){
			myXss(request);
		}
		return super.handle(request, response, handler);
	}
}






zhoucanji
关注
专栏目录
springMVC 过滤器获取bean 和 multipart/form-data请求参数
小立飞刀的博客
09-26 3574
springMVC 过滤器获取bean 和 multipart/form-data请求参数
解决springmvcmultipart/form-data方式提交请求在过滤器Filter中获取不到参数的问题...
weixin_34198453的博客
03-12 2267
这两天在项目中遇到这样一种情况,通过过滤器filter获取参数token去验证是否登录,始终获取不到,一直是null,而通过拦截器(interceptor)可以,百度一番,终于明白其中缘由.... 我们只需要理解两点: 1)一个请求到达过滤器filter时还未经过spring的请求解析,到达拦截器(interceptor)时请求已经经过spring的解...
Spring MVC过滤form表单为"multipart/form-data"时遇到问题
A_Runner的博客
11-20 3573
“风不定,人初静,明月落红应满径” 起因 最初因为这样,我们系统被送去检测漏洞,发现了XSS攻击的漏洞。如下图: 在产品描述的地方写上一些JS脚本,我们系统的过滤器不会过滤掉这些脚本。于是,开始了下面的寻找真相过程。 寻找真相 首先,上图中的form表中属性为:&amp;lt;form id=&quot;XXX&quot; method=&quot;post&quot; enctype=&quot;multipart/form-data&quot;
<form>标签 enctype=“multipart/form-data
最新发布
qq_64486230的博客
06-30 174
当表单的`enctype`属性设置为`multipart/form-data`时。multipart/form-data:当表单包含type=file的<input>元素时使用此值,能够处理二进制数据和大文件。当<form>标签的`method`属性值为为`post`时,`enctype`就是将表单的内容提交给服务器的MIME类型。(一般用不到,上传文件就用第二个,不上传文件就用默认的)`applicantion/x-www-form-urlencoded`:为指定属性时的默认值。
springmvc文件上传与表单为enctype="multipart/form-data" 的数据绑定
kukumolu的专栏
04-06 2938
最近刚开始接触SpringMVC,项目中copy了个先前项目的一个页面,测试过程中发现表单页面数据无法绑定到Model中传入值全部为NULL,后来发现使用的页面中表单form 使用了 enctype="multipart/form-data",取消掉enctype="multipart/form-data" 一切正常了。 后来项目需要此业务实现上传附件,这与之前矛盾,后来找到对应方法,恢复
过滤器中处理multipart/form-data头部的post请求只能获取一次参数的问题(记录一下)
@惊蛰的博客
12-23 1290
你可能很疑惑,为什么request对象中的InputStream或者Reader只能使用一次? 原理很简单,可以把流比喻成水,request里面的inputStream就好比杯子中的水。试问杯子中的水倒掉之后还能继续倒吗?当然不能滴!InputStream里面有做指针和同步处理,一旦指针到了末尾是不会回来的。那么我们怎么拷贝request body里面的数据呢,当然我们得找一种可以复制的存储方式了,比如String,可以先把request 的inputStream转成String,然后又把String转成b
java 页面上有ENCTYPE="multipart/form-data" 时action方法或者控制层用request.getParameter()获取不到值的方法 ?
03-11
Java Web开发中,我们经常遇到表单提交数据的情况,特别是涉及到文件上传时,`<form>`标签的`ENCTYPE`属性通常会被设置为`multipart/form-data`。这是因为`multipart/form-data`允许在请求中携带二进制数据,如...
springMVC如何设置Content-Type为multipart/form-data
05-13
Spring MVC中,可以通过在`@RequestMapping`注解中使用`consumes`属性来设置`Content-Type`为`multipart/form-data`。具体实现步骤如下: 1. 在Controller中添加`@RequestMapping`注解,并设置`consumes`属性为`...
java上传文件接收参数,multipartFile用来接收multipart/form-data请求传过来的参数
05-23
<form th:action="@{/upload}" method="post" enctype="multipart/form-data"> <input type="file" name="file" /> <input type="submit" value="上传" /> </form> ``` 3. 在Controller中处理上传文件: ```java...
如何解决在jsp页面上导入.xls文件报错问题
01-20
<form action="upload.jsp" method="post" enctype="multipart/form-data"> <!-- 文件输入字段等 --> </form> ``` 这将确保浏览器在提交表单时设置Content-Type为`multipart/form-data`。 2. **JSP处理**: 在...
java ssh上传文件代码
01-18
SSH框架的结合使得开发者能够利用Struts2的MVC设计模式,Spring的依赖注入和事务管理,以及Hibernate的对象关系映射功能。下面,我们将详细探讨在Java SSH环境下实现文件上传的代码原理和步骤。 1. **Struts2上传...
spring mvc当表单请求为application/json或enctype="multipart/form-data 过滤请求值参数,取不到请求参数问题
zhangxitab的博客
07-07 1986
1,此种情况form 非application/x-www-form-urlencoded类型 2,在spring-mvc.xml里        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"        xmlns:p="http://www.springframework.org/schema/p"       
SpringMVC 增加了一个 xss 过滤器,导致 Controller 上传的文件为空
qq_27319683的博客
05-07 1274
最近做的一个项目进行安全测试时测出了 SQL 注入问题,严重级别为高危,怎么办呢?我还是个雏,还没学会飞呢,挠挠头,硬上吧,然后把之前项目里的 xss 都弄过来修修改改,然后跑起来,震惊了,竟然全都过滤了,是的,全都过滤了,连上传的文件都给我过滤了,咋办?再百度,结果全是千篇一律的抄袭,没一个能用的,还是发个帖子大家帮我瞅瞅,看看怎么解决一下,头发都挠掉一大把了,听说植发一根二十块,听着都吓人。 ...
springMVC带文件的表单数据无法绑定到参数
lzjansing的专栏
07-03 6033
在一个带enctype="multipart/form-data"属性的表单提交时发现,该表单中包含的其他input无法设置到对应方法参数中。 网上找到解决办法,得知需要配置multipartResolver来解析带enctype="multipart/form-data"属性的表单
SpringMvc如何进行XSS攻击过滤
热门推荐
zzzgd_666的博客
05-23 1万+
随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其中加入脚本。 比如我在表单文本框中,输入 &amp;lt;script&amp;gt;alert(233)&amp;lt;/script&amp;gt; 那么当这条消息存到数据库,再次在页面上访问获取数据的时候,就会弹出弹窗. 很多网站为了避免XSS的攻击,对用户的输入都采...
xss攻击防御springMVC表单提交数据过滤/转义
老三的博客
04-24 3844
Markdown及扩展 背景1:spring中的filter拦截request中请求入参,但对于post提交的表单无效 背景2:测试工具firefox的hackbar,postData:idNum=idNum=14043’%3bconfirm(1)%2f%2f846&amp;seNo=&amp;clientName= 代码块 前端代码: &lt;form action="...
springmvc防xss脚本注入攻击,springmvc过滤html和js标签,html和js标签转义
GIS地图技术分享(GIS入门、Openlayers教程、Leaflet教程),做最好的GIS地图开发教程
11-24 1261
springmvc防xss脚本注入攻击,springmvc过滤html和js标签,html和js标签转义一、前言二、原理三、springmvc如何实现xss过滤3.1、xss转义包装器3.2 xss过滤器3.3 web.xml配置过滤器 一、前言 xss脚本注入攻击大家应该经常见了,不多说了,直接讲防xss脚本注入的原理吧。 二、原理 原理很简单,http后端通过过滤器过滤request接受的参数内容,把包含"<“和”>","&"、"/“和“””的字符进行转义即可。 例如: 普通注入脚
spring mvc xss html,spring mvc 过滤跨站(XSS)的一个方法
weixin_42283048的博客
07-01 529
spring mvc 过滤跨站的一个方法XSS 是我们在工作中经常遇到的东西。让每个开发者都注意到这块的东西很不容易。很多开发者都不知道 什么是 XSS;对于这块的防护。我们一般都是用一个全局过滤器来处理 request 信息,挨个遍历替换处理危险内容。然后再保存到数据库。这样的实现网上有很多例子。下面我这针对spring mvc 过滤xss分享的一个小方法。。方法出处 stackoverflow...
解决springmvcmultipart/form-data方式提交请求在过滤器Filter中获取不到参数的问题
p15097962069的博客
03-07 620
解决springmvcmultipart/form-data方式提交请求在过滤器Filter中获取不到参数的问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值