HttpRequestWrapper

最新推荐文章于 2024-09-28 10:19:03 发布
最新推荐文章于 2024-09-28 10:19:03 发布
阅读量2k 收藏 2
点赞数
分类专栏: Servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz210891470/article/details/52853150
版权

     Filter 过滤器可以拦截一切请求和响应,包括访问静态资源 http://xxxx/xx/image/xx.png 等等,有时候我们需要在过滤器拦截请求,在请求到达访问的action之前对请求参数

进行加工处理,这时候我们可以通过写一个字节的requestWrapper继承HttpRequestWrapper,重写 request 获取参数的方法getParameter或者getParametervalues 进行重写进行

参数处理,Filter.doFilter(new MyrequestWrapper((HttpServletRequest)request ,response), 这时候我们在action中request.getParameter的时候,获取的就是我们处理过的参数了.

以下例子就是预防 XSS脚本攻击的过滤器,通过HttpRequestWrapper进行参数处理,防止脚本攻击


public class XSSFilter implements Filter {

  public void init(FilterConfig filterConfig) throws ServletException {

}


public void destroy() {


}


public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {

chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);

}


}



 import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
public class XSSRequestWrapper extends HttpServletRequestWrapper {
    public XSSRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = stripXSS(values[i]);
        }
        return encodedValues;
    }
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        return stripXSS(value);
    }
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return stripXSS(value);
    }
    private String stripXSS(String value) {
        if (value != null) {
            // NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to
            // avoid encoded attacks.
            // value = ESAPI.encoder().canonicalize(value);
            // Avoid null characters
            value = value.replaceAll("", "");
            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e­xpression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid eval(...) e­xpressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid e­xpression(...) e­xpressions
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid javascript:... e­xpressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid vbscript:... e­xpressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid οnlοad= e­xpressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }}






继承HttpRequestWrapper修改Request参数
weixin_44102044的博客
06-22 1445
记录一下自己使用HttpRequestWrapper的过程,在这里只要实现这个就可以。 package com.config; import java.util.Enumeration; import java.util.HashMap; import java.util.Map; import java.util.Vector; import javax.servlet.http.HttpSe...
HttpServletRequestWrapper 用法
fishhappy365的专栏
10-10 938
Servlet规范中所引入的filter令人心动不已,因为它引入了一个功能强大的拦截模式。Filter是这样一种Java对象,它能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。你可以使用filter来实现特定的任务,比如验证用户输入,以及压缩web内容。但你拟富有成效地使用过滤...
HttpServletRequestWrapper获取请求参数
最新发布
2301_79026313的博客
09-28 176
知道可以在请求中获取get请求的一些参数信息,(url中)但是post请求的一些信息是封装在body中的,想要获取一般可以通过转换为数据流去获取,但是因为流只能获取一次,所以我们重写了HttpServletRequestWrapper,对获取后的数据进行重新set值返回给流,避免后续获取数据失败。在filter中,我们可以拿到请求对应的参数,然后对参数进行校验。(我也是看了这位博主的文章有所收获)
HTTPRequest:用 Java 编码的 HTTP Wrapper 支持 get 和 post 请求以及 cookie
07-04
欢迎来到 HTTPRequest 的主页,一个简单的 Java HTTPWrapper 请记住,此代码是开源的,可以自由修改和分发。 什么是 HTTPRequest HTTPRequest.java 是一个简单的HTTP包装器,它允许在 Java 中使用HTTP get 和 post 请求以及标头和 cookie 的用户规范。 使用 HTTPRequest HTTPRequest 的使用非常简单。 下面应该阐明这些类的不同功能,但是 Tester.java 类还应该提供一些函数用法的示例。 导入包 包含在此存储库中的 .jar 文件会有所不同,具体取决于您使用的IDE 。 在项目中包含要导入的包后,只需使用import httplib.HTTPRequest; 访问 HTTPRequest 的全部功能。 创建对象 HTTPRequest request = new HTTPReq
使用HttpServletRequestWrapper在filter修改request参数
04-12
NULL 博文链接:https://rensanning.iteye.com/blog/1706208
HttpServletRequestWrapper的应用
G0_hw
05-19 1750
    最近的一个项目前后端分离,然后后端自定义Filter,通过继承org.springframework.web.filter.OncePerRequestFilter实现在请求到达Controller层之前进行统一的参数验签(MD5+盐)和token验证。其中,在进行验签时,需要获取body中的JSON数据,这时想着直接通过HttpServletRequest#getInputStream() 获取到请求的输入流,从该输入流中可以读取到请求体。但这里就有个坑了,
HttpServletRequestWrapper替代HttpServletRequest
zlc147的博客
04-04 3341
本文解析以下两个方面 1.HttpServletRequestWrapper的作用 HttpServletRequest采用装饰者模式包装了HttpServletRequest,客户端发送请求后,容器实例化了一个org.apache.catalina.connector.RequestFacade对象并赋值给了HttpServletRequest RequestFacade采用外观模式包装了...
关于HttpServletRequestWrapper及Filter过滤器的使用
f374157531的博客
05-09 747
解决HttpServletRequest只能读取一次流后无法获取的问题。解决整合Filter过滤器时遇到的问题:过滤器urlPatterns不生效、过滤器不起作用。
想使用HttpRequestWrapper包装一下
06-06
HttpRequestWrapper 是用来包装 HttpServletRequest 的类,它可以在请求被处理之前对请求进行修改或者添加额外的信息。如果您需要对请求进行一些额外的操作或者添加一些信息,可以使用 HttpRequestWrapper。 以下是...
在filter中完成异步sevlet代理功能,请求使用异步HttpClient,请使用HttpRequestWrapper包装一下
06-06
好的,下面是一个示例代码,演示如何在 Filter 中使用 HttpRequestWrapper 包装请求,并使用异步 HttpClient 完成代理功能: ```java import org.apache.http.HttpResponse; import org.apache....
renrenAPP逆向
m0_53851127的博客
07-18 354
.method public static N6(Ljava/lang/String;Ljava/lang/String;ILjava/lang/String;Ljava/lang/String;Landroid/content/Context;Lcom/renren/mobile/android/loginfree/LoginStatusListener;)V .locals 1 .annotation system Ldalvik/annotation/MethodParameters;...
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
设计模式:从HttpServletRequestWrapper了解装饰者模式
糖拌西红柿
07-13 1219
设计模式、装饰者模式、拦截器参数处理、参数失效、安全拦截
HttpServletRequestWrapper的使用与原理
li12412414的博客
05-08 3642
HttpServletRequestWrapper 实现了 HttpServletRequest 接口,可以让开发人员很方便的改造发送给 Servlet 的请求.HttpServletRequest 对参数值的获取实际调的是org.apache.catalina.connector.Request没有提供对应的set方法修改属性所以不能对前端传来的参数进行修改,实际场所像过滤xss攻击,取认证token统一去除token前缀等需要进行请求参数的处理。
使用wrapper包装器对request进行处理
Aurora Silent
07-10 5265
有时候我们需要在获取到request请求时对request中的请求信息做一些预处理,或者对URI等信息做一些处理之后,再交由下面的流程处理。这时候,我们可以通过Request Wrapper来对request进行操作。此处通过举例来描述如何通过RequestWrapper进行Request预处理 例子1:使用wrapper时,需要新建一个类,并继承 HttpServletRequestWrapper
RequestWrapper实现输入流多次读
cg_Amaz1ng的博客
09-28 975
import lombok.extern.slf4j.Slf4j; import javax.servlet.ReadListener; import javax.servlet.ServletInputStream; import javax.servlet.ServletRequest; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import ..
使用请求包装器RequestWrapper 对博客内容进行编码
dianlu5775的博客
06-24 299
1.写一个文章类 代码如下 package model; public class article { private int id; private String title; private String content; public article() { super(); // TODO 自动生成的构造函数存根 } ...
XSS漏洞通过HttpServletRequestWrapper实现
热门推荐
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper中实现参数的修改,然后用Http...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值