HttpServletRequestWrapper和jsp:param之间的问题及XSS防御

最新推荐文章于 2026-06-20 09:49:39 发布
原创 最新推荐文章于 2026-06-20 09:49:39 发布 · 823 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#jsp #java #xss防御
在实施XSS防御时,通过HttpServletRequestWrapper过滤器修改请求参数导致jsp:param标签的值无法正常传递。当jsp:include中的另一个jsp试图获取参数时,值丢失。解决方案是调整过滤器逻辑,确保jsp:param的值能正确保留并传递。

为了防止xss攻击 ,写了个过滤器 又写了个类通过继承HttpServletRequestWrapper来实现在过滤器中修改request的值, 功能实现了,但现在出现一个新问题, 如果jsp页面有jsp:param这个标签 那jsp:param得值在过滤器直接给过滤掉了 就是说jsp:include的另外一个jsp再拿jsp的值 拿不到…..
解决办法如下:

import java.util.Map;


import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


public class ParameterRequestWrapper extends HttpServletRequestWrapper{


    private Map<String, String[]> params;


    public ParameterRequestWrapper(HttpServletRequest request,
            Map<String, String[]> newParams) {
        super(request);

        this.params = newParams;
    }


    @Override
    public String getParameter(String name) {
        String result = "";
         //super.getParameterValues(name);这里是从原始request中获取对象值
         //所以我们先检查我们过滤后的params中是否有该值 
         //如果没有我们在从原来的里面拿  像jsp:param这种在过滤的时候过滤不到....
         //也就是如果正常参数我们从params里面拿  其他的从原来的拿 
         //鬼知道jsp:param放在哪儿了,paramtermap中拿不到,如果有了解的请讲解一下
        Object v=null;
        if(params.containsKey(name)){
            v = params.get(name);
        }else{
            v = super.getParameterValues(name);
        }
        if (v == null) {
            result = null;
        } else if (v instanceof String[]) {
            String[] strArr = (String[]) v;
            if (strArr.length > 0) {
                result =  strArr[0];
            } else {
                result = null;
            }
        } else if (v instanceof String) {
            result = (String) v;
        } else {
            result =  v.toString();
        }

        return result;
    }


    @Override
    public String[] getParameterValues(String name) {
        String[] result = null;
        Object v=null;
        if(params.containsKey(name)){
            v = params.get(name);
        }else{
            v = super.getParameterValues(name);
        }
        if (v == null) {
            result =  null;
        } else if (v instanceof String[]) {
            result =  (String[]) v;
        } else if (v instanceof String) {
            result =  new String[] { (String) v };
        } else {
            result =  new String[] { v.toString() };
        }

        return result;
    }



}
FIBEX文件核心元素与FlexRay网络配置实战解析
weixin_30596023的博客
04-24 415
本文深入解析FIBEX文件在FlexRay网络配置中的核心元素与应用实战,包括CLUSTERS、CHANNELS、ECUs、FRAMESSIGNALS的配置技巧。通过实际案例,如自动泊车系统故障排查智能大灯控制系统调试,展示了FIBEX文件在车载通信中的关键作用,帮助工程师避免常见配置错误,提升系统稳定性与实时性。
SpringBoot学习之应用开发篇(二)1.8 - 构建Web应用-2
liyb1078422974的专栏
01-12 453
目录 一、Spring Boot项目打包成war包 1、Eclipse开发工具 1-1、在pom.xml中,将打包方式改成war 1-2、在pom.xml中,设置打成的war名字 1-3、添加启动类ServletInitializer 1-4、打war包 1-5、启动方式 2、IntelliJ IDEA 开发工具 2-1、初始配置 2-2、打war包 二、防御XSS攻击 1、常见的XSS攻击 2、pom.xml引入Jsoup包 3、Xss过滤工具 3-1、JsoupUtil工具
HttpServletRequestWrapper 实现xss注入 跨站点脚本编制
neusoft-mengxiaoming的专栏
07-23 1205
主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法 web.xml配置filter &lt;filter&gt; &lt;filter-name&gt;XssEscape&lt;/filter-name&gt; ...
web过滤器中获取请求的参数(content-type:multipart/form-data)
weixin_30297281的博客
12-21 721
1.前言:   1.1 在使用springMVC中,需要在过滤器中获取请求中的参数token,根据token判断请求是否合法;   1.2通过requst.getParameter(key)方法获得参数值;     这种方法有缺陷:它只能获取 POST 提交方式中的Content-Type: application/x-www-form-urlencoded;    Ht...
HttpServletRequestWrapper 实现xss注入
yinni11的博客
12-04 2186
自定义一个wapper 实现 HttpServletRequestWrapper package cn.baozun.crm.task.filter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; /** * * &lt;p&gt;xs...
HttpServletRequestWrapper,HttpServletResponseWrapper在过滤器Filter中的使用
bit-cafe
08-23 7902
Servlet规范中所引入的filter令人心动不已,因为它引入了一个功能强大的拦截模式。Filter是这样一种Java对象,它能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。你可以使用filter来实现特定的任务,比如验证用户输入,以及压缩web内容。但你拟富有成效地使用过滤
Java Servlet Filter 核心原理与生产级实战
最新发布
weixin_34109408的博客
06-20 422
Servlet Filter 是 Java Web 容器中实现请求拦截与响应处理的基础机制,其本质是嵌入在容器请求生命周期中的可编程钩子。它基于责任链模式构建执行栈,支持前置预处理、后置增强及原始输入输出流劫持,具备 Spring Interceptor 无法替代的底层能力。Filter 的线程安全设计、初始化参数治理、Dispatcher 类型控制以及与 Servlet 容器深度绑定的生命周期,共同决定了其在性能监控、XSS 防护、会话续期 GZIP 压缩等场景中的不可替代性。本文聚焦原生 Filter
HttpServletRequestWrapper作用
哈哈
04-11 816
[code="java"] HttpServletRequestWrapper相关 应用一:解决tomcat下中文乱码问题(先来个简单的) 在tomcat下,我们通常这样来解决中文乱码问题: 过滤器代码: package filter; import java.io.*; import javax.servlet.*; import ja...
HttpServletRequestWrapper的用法
jixueyou的博客
07-21 5751
HttpServletRequestWrapper 是HttpServletRequest的装饰器。 代码实例如下: 新建 TestRequestWrapper.java package com.demo; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletReques
通过HttpServletRequestWrapper(装饰模式的应用)增强HttpServletRequest的功能
万里征程初试马,百年伟业乐为牛!
10-08 496
应用一:解决tomcat下中文乱码问题(先来个简单的)  在tomcat下,我们通常这样来解决中文乱码问题:   过滤器代码: package filter; import java.io.*; import javax.servlet.*; import javax.servlet.http.*; import wrapper.GetHttpServletRequestWra...
用一个实例来说明HttpServletRequestWrapper类的使用
热门推荐
qll19970326的博客
06-25 5万+
引入实例的功能:对用户输入的敏感字眼进行过滤
关于servletjsp中的取值问题
dxl314733647的专栏
07-01 2562
1)HttpServletRequest类有setAttribute()方法,而没有setParameter()方法(2)当两个Web组件之间为链接关系时,被链接的组件通过getParameter()方法来获得请求参数,(3)当两个Web组件之间为转发关系时,转发目标组件通过getAttribute()方法来转发源组件共享request范围内的数据。一般通过表单链接传递的参数使用g
servlet请求参数返回页面内容的处理(HttpServletRequestWrapper与HttpServletResponseWrapper)...
xiaohuanxiong6616的专栏
05-07 708
        Servlet规范中的filter引入了一个功能强大的拦截模式。Filter能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。         你可以使用filter来实现特定的任务,比如验证用户输入、请求参数以及压缩web内容等操作。还可以在response...
Filter对Request的改变:HttpServletRequestWrapper的工作原理
qq_44638460的博客
01-27 275
8)Filter对Request的改变:HttpServletRequestWrapper的工作原理 马 克-to-win:有了HttpServletResponseWrapper的基础,就好理解HttpServletRequestWrapper了。 无疑它就是想在Request到达服务器之前,先把它处理一下。比如过滤掉一些政治敏感字。意义嘛,也好理解。比如n个html页面都需要过滤,如果都在 n...
JavaWeb学习:十一、HttpServletRequestWrapper 包装
棉裤开档的博客
05-13 1867
实例的功能:对用户输入的敏感字眼进行过滤 应用场景:评论功能有时候需要对用户输入的某些敏感字眼进行过滤 例子: 文本框输入 你是SB菜鸟 过滤后数据 你是**菜鸟 Servlet类说明 /* 创建内部类Request, 该类继承HttpServletRequestWrapper, 是HttpServletRequest的装饰类, 用来改变HttpServletRequest的状态,...
HttpServletRequestWrapper应用(二):包装文件上传请求
itcast123的专栏
07-16 1168
包装文件上传请求 目的:通过HttpServletRequestWrapper包装文件上传请求,模块化文件上传处理,提高代码复用率,简化开发。 文件上传采用的是commons-fileupload文件上传组件1.2.1版(同时需要commons-io-1.4.jar)。 考虑到将来有可能扩展支持其他上传组件,所以设计了以下两个接口,分别用于抽象请求处理文件操作。 ...
Filter 与 HttpServletRequestWrapper 用法
weixin_34072458的博客
04-26 1052
2019独角兽企业重金招聘Python工程师标准>>> ...
JSP基础之HttpServletRequest类
相爱的人生
04-09 851
 HttpServletRequest类 request对象是javax.servlet.http.HttpServletRequest类的实例。每当客户端请求一个页面时,JSP引擎就会产生一个新的对象来代表这个请求。 request对象提供了一系列方法来获取HTTP信息头,包括表单数据,cookies,HTTP方法等等。 常用方法: 1 Cookie[] getCookies()
jsp 中的 <jsp:include> <jsp:param>详解
runfreely-自由奔跑的专栏
01-11 1948
我们在使用jsp 的时候,经常用到 有关二者的区别很简单, 是静态包含到文件中。相当于复制粘贴过去 我这这里详细说下:, 动态传入参数的情形 我发下编译成java 文件后,就变成了如下的样子;  org.apache.jasper.runtime.JspRuntimeLibrary.include(request, response, "abc.jsp
关于jsp:include 标签指向的页面无法显示的问题
知识库
05-11 657
最近同事遇到了一个很奇怪的问题(我们小生没见过,自然认为奇怪.莫怪莫怪!). &lt;jsp:include page="modifyTemplatePlan.action"&gt; &lt;jsp:param value="&lt;%=firstid%&gt;" name="planid"/&gt; &lt;jsp:param value="modify" na
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值