那些遇到过的问题

如何更改java过滤器中的servlet请求主体?

Ned*_*ili 2 java xss servlets servlet-filters

如何更改 java 过滤器中的请求正文以防止XSS攻击?我构建HttpServletRequestWrapper并用于getparameter更改主体,但出现流关闭异常。

Ned*_*ili 5

XSSFilter.java

public class XSSFilter implements Filter {


@Override
public void init(FilterConfig filterConfig) throws ServletException {
}

@Override
public void destroy() {
}

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {

    XSSRequestWrapper wrappedRequest = new XSSRequestWrapper(
            (HttpServletRequest) request);

    String body = IOUtils.toString(wrappedRequest.getReader());


    if(!"".equals(body))
    {
        JSONObject oldJsonObject = new JSONObject(body);
        JSONObject newJsonObject = new JSONObject();

        for(String key : oldJsonObject.keySet())
        {
            newJsonObject.put(key, XSSUtils.stripXSS(oldJsonObject.get(key).toString()));
        }
        wrappedRequest.resetInputStream(newJsonObject.toString().getBytes());

    }


    chain.doFilter(wrappedRequest, response);
 }
}
Run Code Online (Sandbox Code Playgroud)

XSSRequestWrapper.java

public class XSSRequestWrapper extends HttpServletRequestWrapper {


private byte[] rawData;
private HttpServletRequest request;
private ResettableServletInputStream servletStream;

public XSSRequestWrapper(HttpServletRequest request) {
    super(request);
    this.request = request;
    this.servletStream = new ResettableServletInputStream();
}


public void resetInputStream(byte[] newRawData) {
    servletStream.stream = new ByteArrayInputStream(newRawData);
}

@Override
public ServletInputStream getInputStream() throws IOException {
    if (rawData == null) {
        rawData = IOUtils.toByteArray(this.request.getReader());
        servletStream.stream = new ByteArrayInputStream(rawData);
    }
    return servletStream;
}

@Override
public BufferedReader getReader() throws IOException {
    if (rawData == null) {
        rawData = IOUtils.toByteArray(this.request.getReader());
        servletStream.stream = new ByteArrayInputStream(rawData);
    }
    return new BufferedReader(new InputStreamReader(servletStream));
}

private class ResettableServletInputStream extends ServletInputStream {

    private InputStream stream;

    @Override
    public int read() throws IOException {
        return stream.read();
     }
   }
 }
Run Code Online (Sandbox Code Playgroud)

XSSUtils.java

public class XSSUtils {

private XSSUtils()
{

}

public static String stripXSS(String value) {
    return value == null ? value : escapeHtml4(value);
  }
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

19557 次

最近记录:

4 年,6 月 前
HttpServletRequestWrapper,setReadListener/isFinished/isReady的示例实现? 25
更多相关链接
相关归档
类似于'包含任何'的Java设置? 279
什么是Java中的"代理对"? 139
在多模块maven项目中的模块之间共享src/test类 112
福勒的"企业应用架构模式"仍然相关吗? 77
如何在JPA中定义单向OneToMany关系 63
属性与资源包 51
什么是代表电话号码的正确方法? 43
调用不同Servlet的同一表单中的多个提交按钮 32
JExcel中的编码问题 14
spring mvc如何绕过DispatcherServlet获取*.html文件? 13
难疑归档
是什么 !!(不是)JavaScript中的运算符? 2906
如何用JavaScript更改元素的类? 2650
数据库索引如何工作? 2335
将Git分支合并到master中的最佳(也是最安全)方法是什么? 1977
如何以MS Word保留格式和语法高亮显示代码片段? 1877
单击div到底层元素 1500
在Python中从文件名中提取扩展名 1167
如何将包含文件的文件夹复制到Unix/Linux中的另一个文件夹? 1145
Vim最有效的捷径是什么? 1127
测量Python中经过的时间? 1031