使用过滤器过滤请求参数中的敏感信息

最新推荐文章于 2023-11-06 16:45:26 发布
最新推荐文章于 2023-11-06 16:45:26 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: springboot 文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zlliuh/article/details/106740648
版权

上节已经介绍了过滤器的使用方法,现在我们来看下实际场景中,如何使用过滤器过滤请求的参数中的敏感信息,主要针对get、post两种请求方式过滤。

1. get请求参数过滤

get请求,可以从request中拿到请求参数,看参数中是否包含敏感信息,假设敏感信息是"傻瓜"

HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        boolean flag = true;
        String badInfo = "傻瓜";
        if (httpServletRequest.getMethod().equals(RequestMethod.GET.name())) {
            Map<String, String[]> parameterMap = httpServletRequest.getParameterMap();
            if (!MapUtils.isEmpty(parameterMap)) {
                flag =!parameterMap.entrySet().stream().anyMatch(entry -> Arrays.toString(entry.getValue()).contains(badInfo));
                if (!flag) {
                    servletResponse.setContentType("application/json; charset=UTF-8");
                    PrintWriter out = servletResponse.getWriter();
                    ResultResponse resultResponse = new ResultResponse();
                    out.println(JSON.toJSONString(ResultResponse.fail("-9999", "参数包含敏感信息")));
                    out.flush();
                } else {
                    filterChain.doFilter(servletRequest, servletResponse);
                }
            } else {
                filterChain.doFilter(servletRequest, servletResponse);
            }
        }

测试,访问一个get接口,参数为"笨蛋",结果如下

2. post请求参数过滤

post请求参数就不能直接获取了,要通过输入流InputStream获取,但是这里有一个坑

public String getParm(HttpServletRequest request) {
    BufferedReader br = null;
    try {
        br = new BufferedReader(new InputStreamReader(request.getInputStream(), "UTF-8"));
    } catch (IOException e) {
    }
    String line = null;
    StringBuilder sb = new StringBuilder();
    try {
        while ((line = br.readLine()) != null) {
            sb.append(line);
        }
    } catch (IOException e) {
    }
    return sb.toString();
}

这个方法就是从post请求中获取参数,参数可以正常获取,但是访问却会报错

错误说缺少请求体,但是我们明明有传参,可知从InputStream获取参数只能获取一次,因为InputStream内部有个pos指针,指向下次要读取的起始位置,由于已经读取了一次,指针位置已指向末端,ServletInputStream没有重写reset方法,无法重置pos指针指向位置,所以当读取完后将无法继续读取

因此我们可以请求参数以byte[]形式存起来,新建class继承HttpServletRequestWrapper

public class RequestWrapper extends HttpServletRequestWrapper {
    private String body;
    public RequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        try {
            InputStream inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream,"UTF-8"));
                char[] charBuffer = new char[128];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {
            throw ex;
        } finally {
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                } catch (IOException ex) {
                    throw ex;
                }
            }
        }
        body = stringBuilder.toString();
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes());
        ServletInputStream servletInputStream = new ServletInputStream() {
            public boolean isFinished() {
                return false;
            }
            public boolean isReady() {
                return false;
            }
            public void setReadListener(ReadListener readListener) {}
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }
        };
        return servletInputStream;

    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream(),"UTF-8"));
    }
    public String getBody() {
        return this.body;
    }
}

过滤器的doFilter方法如下

} else if (httpServletRequest.getMethod().equals(RequestMethod.POST.name())) {
            RequestWrapper requestWrapper = new RequestWrapper(httpServletRequest);
            if(requestWrapper == null) {
                filterChain.doFilter(servletRequest, servletResponse);
            } else {
                String body = requestWrapper.getBody();
                flag = !body.contains(badInfo);
                if (!flag) {
                    servletResponse.setContentType("application/json; charset=UTF-8");
                    PrintWriter out = servletResponse.getWriter();
                    ResultResponse resultResponse = new ResultResponse();
                    out.println(JSON.toJSONString(ResultResponse.fail("-9999"
                            , "参数包含敏感信息")));
                    out.flush();
                } else {
                    filterChain.doFilter(requestWrapper, servletResponse);
                }
            }
        } else {
            filterChain.doFilter(servletRequest, servletResponse);
        }

访问一个post接口,包含敏感信息’笨蛋’

吃西瓜不吐冬瓜皮
关注
专栏目录
java过滤器对所有参数去除前后空格
06-20
对项目的所有参数去除前后空格...可以基于此过滤器实现过滤跨站脚本攻击,参数的增加,修改!敏感词汇过滤。实现原理为重写HttpServletRequestWrapper,获取参数的方法。include和 Forwarded 内部转发不在过滤之内。
Java Filter——敏感词汇过滤
qq_38959331的博客
05-30 861
Filter的简介 Filter也称之为过滤器,它是Servlet技术最实用的技术,Web开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件或静态 html 文件等进行拦截,从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。 它主要用于对用户请求进行预处理,也可以对HttpServlet...
SpringMVC过滤器拦截参数,将参数前后空格去掉,支持GET的URL参数和POST请求的Json格式参数
qq_15009805的博客
06-20 1664
1.这是过滤的方法: import java.io.BufferedReader; import java.io.IOException; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.Map.Entry; import java.util.Set; import javax.servlet.ServletRequest; import javax.servle.
springboot经验之sql注入、xss注入拦截(POST)
lipeng的博客
02-08 3884
简介 sql注入、xss注入、cors攻击的简介以及解决方案,可以参考下面链接: https://blog.csdn.net/yhhyhhyhhyhh/article/details/84504487 这里我就不做的的介绍了,解决sql注入根本方案在于使用预编译而不是拼接sql, 而通常拦截参数都只有针对GET方法,下面介绍下POST方法 POST防注入方案 1、增加httprequest包装类 ...
get方法的参数边界空格过滤
wanglei的博客
12-10 535
文章目录思路:方法 思路: 此方式是针对get请求的,get的请求参数都在url里面拼接,思路应该就是获取url的全路径, 然后通过?拆分出参数部分, ?name=as&age=12, 这样之后,通过拆分&来拆分不同的参数, 针对不同的参数, 拆分=可以获取到参数名称和参数值。 思路就是获取值然后将值两边的空格去掉(不管是文还是英文的空格) 之后重新拼接url 方法 @ControllerAdvice(basePackages = {"com.sss"}) public class
解决Spring Cloud Zuul过滤器getParameter参数为空
渣渣想逆袭
12-06 1651
一、背景 最近有个项目,前端调后端是di调用的网关服务,网关做数据校验,在调用request.getParameter的时候,获取的参数为空。后来查明原因是该接口是用于上传文件,content-type为form-data,这时用request.getParameter是获取不到请求参数的,需要做一层转换。 二、原理 首先要提到表单提交 multipart/form-data 和 x-...
spring boot 过滤器去除请求参数前后空格
知了的博客
09-26 7904
         需求:去除用户表单参数由于用户不小心输入的前后空格,防止因为前后空格原因引起业务异常          实现方式一:前端参数传入的时候去除首尾空格          实现方式二:后端接收参数参数处理,去除参数首尾空格后再做其他业务          实现方式三:利用Filter处理所有的请求,去除请求参数首尾空格重新写回            很明显实现方式一和...
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
java servlet过滤器使用示例
09-04
在本文,我们将深入探讨如何使用Java Servlet过滤器,并通过实例演示其功能。 首先,理解Servlet过滤器的基本概念是至关重要的。Servlet过滤器是一个实现了javax.servlet.Filter接口的Java类。它在Web应用程序...
JSP使用Servlet过滤器进行身份验证的方法
01-20
1. **HttpServletRequest的预处理**:在请求被实际处理之前,过滤器可以检查请求内容,例如验证用户是否已登录,或者修改请求参数等。 2. **HttpServletResponse的后处理**:在响应发送给客户端之前,过滤器可以检查...
浅谈Java的Filter过滤器
08-31
Java的Filter过滤器是Servlet技术的一个重要组成部分,它允许开发者在请求到达Servlet之前以及响应返回客户端之前进行拦截处理。这种技术广泛应用于Web应用程序,可以实现诸如权限控制、内容过滤、性能优化等...
get/post请求自动拼接/加入有值参数去除空参
weixin_42216094的博客
12-02 7470
JS工具类:get/post请求自动去除空参
用servlet和过滤器实现简单的权限管理和敏感过滤功能
发光如星
05-23 2566
JavaEE课要求用servlet和过滤器实现权限管理和敏感过滤功能,故有此文。 虽然早已知道了原理和用法,但是实际操作起来还是遇到了各种奇葩的情况。
QueryString 整站过滤
Future.Net的专栏
08-24 1588
对于QueryString的传值是每个程序员都要用到的。但是如何过滤QueryString的方法万千。下面我整理一个方法大家继续优化讨论第一步 web.config 加入键值例如: 第二步 Global.asax 加入如下void Application_BeginRequest(object source, EventArgs e)    {        String[] Sa
SpringBoot自定义过滤器获取HttpServletRequest和HttpServletResponse的参数
最新发布
婉君
11-06 3111
公司的老系统改造:由于接口日志不全,接口太多,也无法每个接口都加上日志,所以要在网关层统一记录一下日志,并存到数据库,(以后计划要存储到ES
宝塔防火墙GET,POST,UA过滤讲解
开源世界
04-14 2799
一、防御GET,POST,UA 简介 :http://github.crmeb.net/u/defu 简要说明: 1. GET-参数过滤 --> 对GET类型的参数进行过滤 2.GET-URL过滤 --> 对URI 进行过滤 3. User-Agent过滤 --> 对客户端的UA进行过滤 4.POST过滤 -->对POST传递的参数进行过滤 5. Cookie过滤 --> 对客户端传递的Cookie进行过滤 6.常见扫描器
敏感信息介绍和测试方法
difination的博客
02-16 1135
敏感信息泄露介绍: 因为系统管理员或者系统设计人员的疏忽、管理不当导致系统的配置信息敏感数据(如用户登录名,身份证信息等)被其他用户可以轻易的收集到。 比如: 1.显示错误,在用户错误的url参数或其他数据参数后报错信息里面包含操作系统、间件、开发语言的版本或其他信息,从而导致web站点的默认后台被发现。 2.在前端的代码或源码敏感信息(将账号密码)直接写为注释 3.默认后台地址泄露,用户通过获取的搭建的cms系统,直接访问默认后台 例子1如下: 在某网页的搜索页面输入单引号 .
java servlet filter_Servlet之Filter详细讲解
weixin_39759890的博客
02-24 672
Filter,过滤器,顾名思义,即是对数据等的过滤,预处理过程。为什么要引入过滤器呢?在平常访问网站的时候,有时候发一些敏感信息,发出后显示时 就会将敏感信息用*等字符替代,这就是用过滤器信息进行了处理。这只是一个简单的例子,当然,过滤器那么强大,它的功能也不可能局限于此,它不仅能预处 理数据,只要是发送过来的请求它都是可以预处理的,同时,它还可以对服务器返回的响应进行预处理,这样,大大减轻了...
过滤器对前端请求参数进行解码URLDecoder,接口接收参数类型为map,解码无效问题
ShanLanF的博客
05-09 1616
源码跟踪案例
Servlet过滤器技术在安全审核的应用
过滤器可以修改请求对象,如添加或修改请求参数,然后将处理权交给下一个过滤器,直至到达目标Servlet。同样,响应也会经过过滤器链,过滤器可以修改响应内容,如添加头部信息或者改变响应状态码,然后再返回给...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值