sql注入,XSS攻击可通过 继承HttpServletRequestWrapper重写request实现修改request请求

最新推荐文章于 2025-03-05 22:10:59 发布
最新推荐文章于 2025-03-05 22:10:59 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wst260/article/details/103702764
版权
本文介绍了如何通过继承HttpServletRequestWrapper来重写request请求,以防御SQL注入和XSS攻击。首先,创建一个继承ServletRequestWrapper的类,接着实现过滤敏感内容的逻辑。然后,设置一个过滤器来应用这个自定义请求包装器。最后,在web.xml配置文件中配置该过滤器以拦截并处理所有请求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先创建一个类继承ServletRequestWrapper类,重写request请求

import java.io.StringReader;
import java.io.StringWriter;
import java.text.CharacterIterator;
import java.text.StringCharacterIterator;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import com.blogspot.radialmind.html.HTMLParser;
import com.blogspot.radialmind.xss.XSSFilter;

public class ServletRequestWrapper extends HttpServletRequestWrapper {

	HttpServletRequest orgRequest = null;
	private static String[] keywords ={"|","&",";","$","%","@","'","\'","\"","/>","<>","()","+","cr","lf","\\","ASCII",
			"../","./","*","=","char","sysopen","execute","exec","net user","/add"
			,"create","modify","union","join","select","insert", "update", "delete", "drop", "truncate"};
	public servletRequestWrapper(HttpServletRequest request) {
		super(request);
		orgRequest = request;
	}

	/**
	 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。
最低0.47元/天 解锁文章
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
m0_71777195的博客
03-21 1444
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击SQL注入SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
XSS攻击SQL注入及解决方案
coderWang
09-02 1973
最近发现公司老项目存在XSSSQL注入问题,分析及记录下 1.什么是XSS攻击手段 XSS攻击简单来说就是JavaScript脚本语言攻击 1. 如 弹 出 恶 意 警 告 框 :<script>alert(“XSS”);</script> 2. XSS 输入也可能是 HTML 代码段,譬如: (1) 网页不停地刷新 <meta http-equiv=’re...
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
HttpServletRequestWrapper 用法
fishhappy365的专栏
10-10 965
Servlet规范中所引入的filter令人心动不已,因为它引入了一个功能强大的拦截模式。Filter是这样一种Java对象,它能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。你可以使用filter来实现特定的任务,比如验证用户输入,以及压缩web内容。但你拟富有成效地使用过滤...
为什么过滤器需要一个 Wrapper 来 extends HttpServletRequestWrapper
最新发布
心有—林夕的博客
03-05 1064
允许我们在不修改原始请求对象的情况下对请求进行增强或处理。这使得它非常适合在过滤器中使用,特别是在需要拦截请求并处理安全问题(如 XSSSQL 注入等)时。通过继承,我们可以灵活地修改请求数据、实现请求的安全措施,同时保持代码的清晰和可维护性。
mybats-puls---条件构造器Wrapper,插件扩展,SQL注入器,公共字段填充
guoguo0717的博客
05-20 544
条件构造器Wrapper(看官网即可) 代码生成器 AutoGenerator 是 MyBatis­Plus 的代码生成器,通过 AutoGenerator 可以快速生成 Entity、Mapper、Mapper XML、Service、Controller 等各个模块 的代码,极大的提升了开发效率。 其实在学习mybatis的时候我们就使用过逆向工程,根据我们的数据表 来生成的对应的实体类,DAO接口和Mapper映射文件,而MyBatis­plus提供了 更加完善的功能,下面来针对两种方式做一个基本的对
MyBatis Plus Wrapper 参数化处理和防止 SQL 注入
2401_85480529的博客
06-05 1608
MyBatis Plus 提供了强大的Wrapper类,用于构建安全的动态 SQL 查询。通过自动参数化处理,MyBatis Plus 确保了 SQL 语句的安全性,有效防止了 SQL 注入风险。使用Wrapper类可以极大简化复杂查询的构建过程,同时保证了查询的安全性。
XSS漏洞通过HttpServletRequestWrapper实现
热门推荐
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper中实现参数的修改,然后用Http...
防止SQL注入XSS攻击Filter
06-03
通过这种方式,可以实现如身份验证、日志记录、编码转换等功能,同时也可以用来实现对输入数据的清洗,以防止SQL注入XSS攻击等安全问题。 #### 三、代码解析 ##### 1. XssFilter类 ```java public class Xss...
mybatis SQL注入攻击 以及XSS攻击csrf攻击
sinat_31396769的博客
12-28 2222
mybatis SQL注入攻击 以及XSS攻击csrf攻击 以上攻击形式跟原理不多做介绍,此处记录处理方案 SQL注入 问题:系统在经过安全扫描是,被告知存在SQL注入的封信,mybatis的预编译是不存在注入风险的,但是在排序字段的处理上,没法使用预编译,同时,在个别字段,存在使用$取值等不规范的操作,以上操作均会出现注入的风险 注入代码实例: 字段添加如下信息,虽然报错,但是会暴露出数据库用户...
HttpServletRequestWrapper 实现xss注入
mid120的博客
12-27 6899
自定义一个wapper 实现 HttpServletRequestWrapperpackage cn.baozun.crm.task.filter;import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;/** * * <p>xss过滤</p> * @au
使用HttpServletRequestWrapper在filter修改request参数
04-12
NULL 博文链接:https://rensanning.iteye.com/blog/1706208
XssHttpServletRequestWrapper过滤器
零落的尘土
12-24 7175
XssHttpServletRequestWrapper过滤器 先定义需要过滤的变量如下: private static final String EVENTS = "((?i)onclick|oncontextmenu|ondblclick|onmousedown|onmouseenter|onmouseleave|" + "onmousemove|onmouse...
Java Web使用过滤器防止Xss攻击,解决Xss漏洞 防止解决XSS注入攻击的过滤器filter XssHttpServletRequestWrapper
飞熊的博客
10-11 2661
前段时间,博主在帮忙朋友给一个国营单位做的一个项目中,在上线的前期,客户要求检测漏洞,因此找到了专业的测评公司,测出来好多漏洞,其中就有xss攻击,我讲自己处理的方式分享给大家,便于大家少走弯路。 package com.yl.filter; import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; i
HttpServletRequestWrapper介绍
weixin_48453772的博客
06-06 1621
HttpServletRequest 对参数值的获取实际调的是org.apache.catalina.connector.Request,没有提供对应的set方法修改属性,所以不能对前端传来的参数进行修改,实际场所像过滤xss攻击,获取认证token统一去除token前缀等需要进行请求参数的处理,此时HttpServletRequestWrapper 就应运而生。
HttpServletRequestWrapper通过filter做XSS
小松鼠米老鼠
06-26 3527
XSS的具体解释这里不多说,XSS简单的防注入其实就是字符的替换和屏蔽。这就需要我们在服务器接受数据对数据进行处理。Filter能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。但是不能修改HttpServletRequest对象,我们可以用HttpServletRequestW...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值