spring gateway 集成sql注入过滤

最新推荐文章于 2025-04-18 09:09:37 发布
最新推荐文章于 2025-04-18 09:09:37 发布
阅读量1.2k 收藏 4
点赞数
文章标签: spring gateway sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_55741551/article/details/126390678
版权

spring gateway 集成sql注入过滤

一、创建过滤器

创建一个过滤器实现于GlobalFilter接口。

获取当前url相关信息

//获取URI,以及头部
ServerHttpRequest serverHttpRequest = exchange.getRequest();
HttpMethod method = serverHttpRequest.getMethod();
String contentType = serverHttpRequest.getHeaders().getFirst(HttpHeaders.CONTENT_TYPE);
URI uri = exchange.getRequest().getURI();
//1.动态刷新 sql注入的过滤的路径
String path = serverHttpRequest.getURI().getRawPath();
String[] matchUrls = this.getSqlinjectionHttpUrls();

if (AuthUtils.isMatchPath(path, matchUrls)) {
   
    logger.error("请求【{}】在sql注入过滤白名单中,直接放行", path);
    return chain.filter(exchange);
}
二、get、post方法注入检测

分开Get和Post方法进行检测

1)get方法检测

如果为Get方法,代码如下

if (method == HttpMethod.GET) {
   
    String rawQuery = uri.getRawQuery();
    if (StringUtils.isBlank(rawQuery)) {
   
        return chain.filter(exchange);
    }
    logger.debug("请求参数为:{}", rawQuery);

    // 执行sql注入校验清理
    boolean chkRet = false;
    try {
   
        chkRet = sqlInjectionRuleUtils.getRequestSqlKeyWordsCheck(rawQuery);
    } catch (UnsupportedEncodingException e) {
   
        e.printStackTrace();
    }
    //如果存在sql注入,直接拦截请求
    if (chkRet) {
   
        logger.error("请求【" + uri.getRawPath() + uri.getRawQuery() + "】参数中包含不允许sql的关键词, 请求拒绝");
        return setUnauthorizedResponse(exchange);
    }
    //透传参数,不对参数做任何处理
    return chain.filter(exchange);
}

get方法注入检测实现方法getRequestSqlKeyWordsCheck如下

public static boolean getRequestSqlKeyWordsCheck(String value) throws UnsupportedEncodingException {
   
    //参数需要url编码
    //这里需要将参数转换为小写来处理
    //不改变原值
    //value示例 order=asc&pageNum=1&pageSize=100&parentId=0
    String lowerValue = URLDecoder.decode(value, "UTF-8").toLowerCase();
    //获取到请求中所有参数值-取每个key=value组合第一个等号后面的值
    return Stream.of(lowerValue.split("\\&"))
        .map(kp -> kp.substring(kp.indexOf("=") + 1))
        .parallel()
        .anyMatch(param -> {
   
            if (sqlPattern.matcher(param).find()) {
   
                logger.error("参数中包含不允许sql的关键词");
                return true;
            }
            return false;
        });
}
2)post方法检测

如果为Post方法:

//post请求时,如果是文件上传之类的请求,不修改请求消息体
else if (postFlag) {
   
    return DataBufferUtils.join(serverHttpRequest.getBody()).flatMap(d -> Mono.just(Optional.of(d))).defaultIfEmpty(
        Optional.empty())
        .flatMap(optional -> {
   
            // 取出body中的参数
            String bodyString = "";
            if (optional.isPresent()) {
   
                byte[] oldBytes = new byte[optional.get().readableByteCount()];
                optional.get().read(oldBytes);
                bodyString = new String(oldBytes, StandardCharsets.UTF_8);
            }
            HttpHeaders httpHeaders = serverHttpRequest.getHeaders();
            logger.debug("{} - [{}] 请求参数:{}", method, uri.getPath(), bodyString);
            boolean chkRet = false;
            if (MediaType.APPLICATION_JSON_VALUE.equals(contentType)) {
   
                //如果MediaType是json才执行json方式验证
                chkRet = sqlInjectionRuleUtils.postRequestSqlKeyWordsCheck(bodyString);
            } else {
   
                //form表单方式,需要走get请求
                try {
   
                    chkRet = sqlInjectionRuleUtils.getRequestSqlKeyWordsCheck(bodyString);
                } catch (UnsupportedEncodingException e) {
   
                    e.printStackTrace();
                }
            }
            
            //  如果存在sql注入,直接拦截请求
            if (chkRet
最低0.47元/天 解锁文章
Lihua_ng
关注
Spring Cloud Gateway 实现XSS、SQL注入拦截
BUG指挥课堂
04-06 4797
创建Filter 实现GlobalFilter, Ordered @Slf4j @Component public class SqLinjectionFilter implements GlobalFilter, Ordered { @SneakyThrows @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain){ // grab config
Spring-Cloud-Gateway-实现XSS、SQL注入拦截
lbmydream的博客
06-06 2495
XSS和SQL注入是Web应用中常见计算机安全漏洞,文章主要分享通过Spring Cloud Gateway 全局过滤器对XSS和SQL注入进行安全防范。写这篇文章也是因为项目在经过安全组进行安全巡检时发现项目存储该漏洞后进行系统整改,本文的运行结果是经过安全组验证通过。
SpringBoot】基于Filter实现SQL注入过滤
最新发布
qq_45797138的博客
04-18 365
本文将介绍如何基于Filter接口实现SQL 注入过滤
SpringCloud Gateway防止SQL注入
leveretz的博客
12-29 1222
SpringCloud Gateway防止SQL注入
Spring Cloud Gateway 自定义SQL注入过滤
telescopewang的博客
06-05 698
【代码】Spring Cloud Gateway 自定义SQL注入过滤器。
SpringCloud微服务实战——搭建企业级开发框架(五十一):微服务安全加固—自定义Gateway拦截器实现防止SQL注入/XSS攻击
全栈程序猿的专栏
03-10 1381
SQL注入是常见的系统安全问题之一,用户通过特定方式向系统发送SQL脚本,可直接自定义操作系统数据库,如果系统没有对SQL注入进行拦截,那么用户甚至可以直接对数据库进行增删改查等操作。XSS全称为Cross Site Script跨站点脚本攻击,和SQL注入类似,都是通过特定方式向系统发送攻击脚本,对系统进行控制和侵害。SQL注入主要以攻击数据库来达到攻击系统的目的,而XSS则是以恶意执行前端脚本来攻击系统。
sql注入Java过滤
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
spring cloud gateway 过滤器防止跨站脚本攻击(存储XSS、反射XSS)
qq_26801767的博客
05-20 8621
spring cloud gateway 过滤器防止跨站脚本攻击背景接下来直接上代码CacheBodyGlobalFilterXssRequestGlobalFilterXssResponseGlobalFilter.javaXssCleanRuleUtils.java 背景 <spring-boot.version>2.1.4.RELEASE</spring-boot.version> <spring-cloud.version>Greenwich.RELEASE&lt
基于spring cloud gateway封装的微服务网关,通过nacos配置中心-eagle-gateway.zip
01-30
6. **Eagle Gateway 封装特性**:研究 Eagle Gateway 项目提供的特性和便利性,比如可能已经预设的一些常用过滤器、错误处理机制或者与其他组件(如Spring Security)的集成。 7. **项目结构和配置**:分析 eagle-...
Spring gateway + Oauth2实现单点登录
BBinChina的专栏
09-23 1719
场景: 按职能,鉴权系统需要划分 网关(spring gateway) + 鉴权(auth-server)。本文通过实践搭建鉴权系统。 spring gateway 首先引入pom依赖 1、resilience 熔断器 2、gateway 网关 3、eureka client 服务注册中心 4、lombok插件 5、actuator状态监控 <dependencies> <!-- 熔断器--> <dependency>
防止sql注入过滤器配置
10-24
防止sql注入过滤器配置,
SpringCloud Gateway整合Spring Security Webflux的关键点(痛点解析),及示例项目
热门推荐
tiancao222的博客
02-18 1万+
最近公司项目需要用到后端的认证、授权,且公司项目目前是基于SpringCloud Gateway的,所以想到都是一家的产品就决定使用Spring Security了。 但是在整合过程中,经历了种种磨难,所以把最终的整合关键点列出来,让需要的读者不用再碰的头破血流了。。。 网上也有基于SpringCloud和Spring Security整合的方案,关键在于我们公司的项目使用的是Gateway,...
过滤器处理sql注入
liangbo
08-23 622
这个类继承自 HttpServletRequestWrapper,用于包装原始的 HttpServletRequest 对象,并覆盖 getInputStream 方法,以便在请求体被修改后仍能正确处理。检查 orderParams、searchParams 和 searchParams2 是否存在,并调用 filterKeyword 方法检查这些参数是否存在 SQL 注入风险。这个类实现了 Filter 接口,用于在请求到达控制器之前处理请求体中的参数,以防止 SQL 注入攻击。
SpringCloud微服务-实现XSS、SQL注入拦截
qq_22654727的博客
10-30 1130
SQL注入是常见的系统安全问题之一,用户通过特定方式向系统发送SQL脚本,可直接自定义操作系统数据库,如果系统没有对SQL注入进行拦截,那么用户甚至可以直接对数据库进行增删改查等操作。 XSS全称为Cross Site Script跨站点脚本攻击,和SQL注入类似,都是通过特定方式向系统发送攻击脚本,对系统进行控制和侵害。SQL注入主要以攻击数据库来达到攻击系统的目的,而XSS则是以恶意执行前端脚本来攻击系统。 项目框架中使用mybatis/mybatis-plus数据持久层框架,在使用过程中,已有规避SQ
代码审计 | SQL注入过滤器绕过
hackzkaq的博客
11-06 406
FILTER_VALIDATE_EMAIL过滤器不允许在邮件地址中出现空格符号,可以使用/**/来代替。在进行数据库操作时,需要使用PDO预处理的方式,防止SQL注入漏洞的产生。在示例代码中,用户输入的参数被直接用于执行SQL查询操作,这种方式存在潜在的安全风险。尽管代码中使用了过滤器进行过滤,但这种方式依然不足以防止攻击者绕过过滤器,从而导致SQL注入漏洞。RFC不是非常严格,允许使用许多特殊字符。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
基于springboot实现SQL注入过滤
zhangbeizhen18的博客
06-11 3161
记录:273 场景:以过滤器(Filter)的方式,对所有http请求的入参拦截,使用正则表达式匹配入参中的字符串。存在SQL注入风险的参数,中断请求,并立即返回提示信息。不存在SQL注入风险的参数,校验通过后,放入过滤器链,继续后续业务。......
springboot防sql注入过滤器研发踩坑总结 - HTTP请求的输入流只能读取一次导致的Required request body is missing异常的解决方案
qq_41980872的博客
07-18 638
这篇文章总结了一次防Sql注入过滤器开发过程中踩过的坑。包括HTTP请求的输入流只能读取一次导致的Required request body is missing异常的解决方案,以及以深度优先遍历方式获取JSON字符串中每一个字段的值的方式。积累经验,日拱一卒,希望能成为更好的自己~
java 配置全局过滤器,如何为Spring Cloud Gateway加上全局过滤
weixin_36382534的博客
03-19 783
既然是一个网关。那么全局过滤器肯定是少不了的一个存在。像是鉴权、认证啥的不可能每个服务都做一次,一般都是在网关处就搞定了。Zuul他就有很强大的过滤器体系来给人使用。Gateway当然也不会差这么点东西。对于SpringCloud体系来说,一切的实现都是那么的简单。那么废话不多说,直接开始写起来。Gateway内部有一个接口 名为GlobalFilter,这个就是Gateway的全局过滤器接口,只...
Springcloud基础框架统一GateWay网关鉴权Demo分享
- 进行压力测试和安全性分析,确保网关能够在高并发的情况下稳定运行,同时对常见的攻击手段如CSRF、SQL注入等进行防范。 - 引入持续集成和持续部署(CI/CD)流程,确保代码变更后可以快速且安全地部署到生产环境。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值