依据网上查的相关文章用cxf实现拦截器

最新推荐文章于 2024-08-09 14:37:43 发布
置顶 最新推荐文章于 2024-08-09 14:37:43 发布
阅读量575 收藏
点赞数 2
分类专栏: cxf 文章标签: cxf 拦截器 异常
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/renguoliang0508/article/details/56665382
版权
本文记录了一位开发者在项目中为解决SQL注入和XXL攻击,采用CXF拦截器进行处理的过程。通过参照网上资料,逐步解决了缺少依赖包、Bean未定义、拦截器初始化等问题,最终成功实现拦截器并计划进一步研究参数过滤功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目的:项目中进行渗透扫描时,发现有sql注入和xxl攻击,所以打算利用拦截过滤或者提示一些规定的字符

 

项目框架:cxf +spring + hibernate

 

第一步打算是进行cxf下拦截器的实现

按照网上例子:参照地址http://yufenfei.iteye.com/blog/1688133

 

结果遇到异常:如图

经过一番搜索找到了这篇文章:http://blog.youkuaiyun.com/w1014074794/article/details/47862163

觉得很有用,直接提到了这个异常缺的包是cxf-rt-frontend-simple-3.1.10.jar

于是下载了官方的cxf压缩包:

http://apache.fayea.com/cxf/3.1.10/apache-cxf-3.1.10.zip

 

来自 <http://101.96.8.165/www.apache.org/dyn/closer.lua/cxf/3.1.10/apache-cxf-3.1.10.zip>


再从http://blog.youkuaiyun.com/w1014074794/article/details/47862163中查找:

发现缺少的是:

cxf-rt-wsdl-3.0.4.jar

 

来自 <http://blog.youkuaiyun.com/w1014074794/article/details/47862163>

上述红字截图部分异常果然又消失了,但是又继续报新的异常,如图:


其实到这里说明包已经不缺失了,这里的异常说的是No bean named 'HelloWorldImpl' is defined.所以接下来查找这个原因,这是我找到的是这篇文章的连接http://www.iteye.com/topic/1122268

其中提到的


所以是缺失了bean.

依照http://www.iteye.com/topic/1122268写了最简单的HelloWorld接口


,及其实现

接下来上述红自异常又消失了,但是又产生了新的异常

继续从http://blog.youkuaiyun.com/w1014074794/article/details/47862163中查找,发现缺失包:

cxf-rt-bindings-soap-3.0.4.jar

来自 <http://blog.youkuaiyun.com/w1014074794/article/details/47862163>

不出所料,上述红字部分异常消失,再次产生新的异常,如图:


这会终于进行到要做的核心部分,拦截器的异常,说是没有HelloInInterceptor没有初始化方法,经过对比


发现少了图中画红线的部分,于是补充上了,果然上述异常消失了,再次启动服务器,在又抛出新的异常,如图

这个问题卡住了,网上没找到相关的解决方案

最终自己调整代码解决了这个异常:


想把实例化不了的bean屏蔽掉,

然后将


红括号中的代码移到现有项目中的位置,但是是javxrs的。所以开头和结尾的标签由jaxws改成jaxrs启动就不报异常了,再访问任何srpwebservic请求,都打印


至此,说明拦截器已经加成功了,接下来要实现的是把请求中的参数,进行过滤后重新封装参数再往下执行?,同时还要说明一点,上面解决的有些异常可能索引的包就用不到了。这点先不验证,所引入的包也先不移除。

总结:上述过程是我在参照示例文章所执行的所有步骤,最终实现之后回顾实际拦截器的正常使用三步就够了:

1.自定义继承AbstractPhaseInterceptor拦截器类;

2.引入相关jar包;

3.配置文件中限定自定义的拦截器bean,再根据是jaxws或者jaxrs进行配置引入定义的拦截器bean即可.

之所以把报错截图和解决思路都写出来就是想帮助像我一样搜索到这些文章,但是没有实现的朋友们.最后有不足之处,请大家指正。后续还要研究拦截其中如何过滤参数,如实现了还会有续文。

【零散知识点总结1】
weixin_44543307的博客
03-06 6930
零散笔记总结@Reference、@Autowired和@Resource的区别:Dubbohttp和HTTPSvue.js跟thymeleaf 的区别web开发,提供3个@Component注解衍生注解(功能一样)取代 @Reference、@Autowired和@Resource的区别: @Reference:是dubbo的注解,也是注入,他一般注入的是分布式的远程服务的对象,需要dubbo配置使用。 @Autowired:org.springframework.beans.factor
java面试题(仅供参考)
qq_44777058的博客
03-16 2459
java面试题(仅供参考) 框架阶段 概念宝典 1 自我介绍——P2P网贷项目 4 第三个月 基础框架篇 8 一、基础概念篇 8 1、Get和Post的区别? 8 2、List,Set,Collection,Collections的区别? 8 3、 StringBuffer、StringBuilder、String ...
就一次!带你彻底搞懂CSRF攻击与防御
最新发布
公众号:该用户快成仙了
08-09 1992
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。----来自维基百科简单来说就是黑客冒充你执行一些恶意行为。跨站可以理解为你登录了A网站,然后访问了恶意B网站。HTTP请求。
CSRF攻击方式
weixin_30885111的博客
03-20 449
来源:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理...
什么是 CSRF 攻击
热门推荐
点滴
03-28 3万+
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
CXF客户端调用N种方式
Be a Man Keep fighting for destination
12-24 1万+
方式一: 配置CXF环境变量,用wsdl2java工具自动产生代码。项目结构目录如下: 其中com.yq.webservice下面的所有的java类都是wsdl2java工具自动产生的。 JaxWsProxyFactoryBean factoryBean = new JaxWsProxyFactoryBean();     factoryBean.getInInte
CXF服务治理】:安全策略与监控实践
![【CXF服务治理】:安全策略与监控实践](https://itshelp.aurora.edu/hc/article_attachments/1500012723422/mceclip1.png) # 摘要 ...最后,文章展望了CXF服务治理的高级应用,包括自动化安全策
这个疯子整理的十万字Java面试题汇总,终于拿下40W offer!(JDK源码+微服务合集+并发编程+性能优化合集+
m0_67401134的博客
07-23 2836
Spring框架是一个为Java应用程序的开发提供了综合、广泛的基础性支持的Java平台。Spring帮助开发者解决了开发中基础性的问题,使得开发人员可以专注于应用程序的开发。Spring框架本身亦是按照设计模式精心打造,这使得我们可以在开发环境中安心的集成Spring框架,不必担心Spring是如何在后台进行工作的。Spring框架至今已集成了20多个模块。这些模块主要被分如下图所示的核心容器、数据访问/集成,、Web、AOP(面向切面编程)、工具、消息和测试模块。...
2022年面试,整理全网初、中、高级常见 Java 面试题
q66562636的博客
07-01 2761
面试题答案见微信小程序 “Java 精选面试题”,3000 + 道面试题。内容持续更新中包含基础、集合、并发、JVM、Spring、Spring MVC、Spring Boot、Spring Cloud、Dubbo、MySQL、Redis、MyBaits、Zookeeper、Linux、数据结构与算法、项目管理工具、消息队列、设计模式、Nginx、常见 BUG 问题、网络编程等。————————————————面向对象编程有哪些特征?一、抽象和封装类和对象体现了抽象和封装抽象就是解释类与对象之间关系的词。类
cxf基本功能
shendeguang的专栏
02-01 573
With so many options available to developers today in the web services space, one of the questions worth asking is why should I use CXF? In no particular order, here are some of the reasons you might
CXF与REST服务实际开发
worn_xiao的博客
06-08 2709
CXF是一个开源的webService框架,提供了很多功能,可以实现快速开发。 CXF支持的协议 SOAP1.1/SOAP1.2  REST CXF支持的数据格式xml,json 一:CXF的安装: http://cxf.apache.org/download.html 二:包结构 1.安装jdk 2.配置cxf的环境变量 在CLASSPATH中
cxf拦截器实现对接收到的报文和发送出去的报文格式自定义
zhaofuqiangmycomm的博客
12-03 8732
看此篇文章之前可以看看我的这篇文章,有助于更好的理解webservice和这篇文章 http://blog.youkuaiyun.com/zhaofuqiangmycomm/article/details/78701566 1,配置文件 ?xmlversion="1.0"encoding="utf-8"?> <beansxmlns="http://www.spri...
简单的方式挖掘和利用soap的sql注入
一个码农的笔记
10-29 1万+
1.首先soap是什么: 对于应用程序开发来说,使程序之间进行因特网通信是很重要的。目前的应用程序通过使用远程过程调用(RPC)在诸如 DCOM 与 CORBA 等对象之间进行通信,但是 HTTP 不是为此设计的。RPC 会产生兼容性以及安全问题;防火墙和代理服务器通常会阻止此类流量。通过 HTTP 在应用程序间通信是更好的方法,因为 HTTP 得到了所有的因特网浏览器及服务器的支持。SOAP 
CXF入门教程(1) -- 第一个webService
he91-com
07-04 270
项目中要使用webService了;今天上午直接上官网学习CXF,本文来源于对官方文档A simple JAX-WS service的翻译与实践,针对最新的cxf-2.6.1版本调整了所依赖的jar包,并在代码中补全了原文没有提到的一些类;边学边记录,谨防遗忘,顺便分享。 本例与cxf-2.6.1发行版中的示例java_first_jaxws相对应,适用于CXF 2.0.1及以上版本。 ...
web安全防范之XSS漏洞攻击
每天积累一点,一年后你会发现,自己变化很大
02-11 973
最近在cnode社区,由@吴中骅的一篇关于XSS的文章,直接导致了社区的人开始在cnode尝试各种攻击。这里总结了一下这次碰到的一些问题与解决方案。 文件上传漏洞 之前nodeclub在上传图片的时候逻辑是这样的: //用户上传的文件名  var filename = Date.now() + '_' + file.name;  //用户文件夹  var userDir = path
【WebService】CXF拦截器的设置以及自定义CXF拦截器
武哥聊编程
07-31 1万+
CXF拦截器和以前学过的servlet的拦截器类似的,都是在开始或结束切入一段代码,执行一些逻辑之类的。我们可以在调用ws服务前设置拦截器,也可以在调用ws服务后设置拦截器,当然了,拦截器也可以添加多个,CXF中有自己内置的拦截器,先来写个简单CXF自带的拦截器实例熟悉一下在CXF中如何添加,然后再来自定义CXF拦截器。 1. CXF内置的拦截器设置 还是使用上一节的ws,在原来的基础上
webservice-cxf 控制台输出日志的问题
口袋里的小龙的专栏
08-18 7213
在做cxf+spring+mybatis整合的时候发现logger日志无法正常输出,即使配置为debug级别也不会输出日志,自己无意中用了下spring的日志文件 slf4j-api-1.7.5.jarslf4j-log4j12-1.7.5.jar 这两个包本来用的是3.09版本原来的是slf4j-api-1.7.19.jarslf4j-jdk14-1.7.19.jar但是如果替换了后你可以发现项
Apache CXF多个远程拒绝服务漏洞(CVE-2013-2160)
weixin_30426879的博客
07-11 520
漏洞版本: Apache Group CXF <= 2.5.10 Apache Group CXF 2.7.4 Apache Group CXF 2.6.7 漏洞描述: BUGTRAQ ID: 61030 CVE(CAN) ID: CVE-2013-2160 Apache CXF是一个开源服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服...
CXF与Spring集成:客户端与服务端拦截器及Map传输实现
在服务端实现拦截器,可以在请求到达服务实现之前进行一些预处理,比如参数验证、业务规则校验等;在客户端实现拦截器,则可以在请求发送或响应接收之前执行一些自定义逻辑。 4. 实现Map传输 Web服务通常使用XML或...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值