Titelseite > Programmierung > Wie ändere ich Anforderungsparameter mit einem Servlet-Filter, wenn Änderungen am Quellcode verboten sind?
Wie ändere ich Anforderungsparameter mit einem Servlet-Filter, wenn Änderungen am Quellcode verboten sind?
Durchsuche:719
Anforderungsparameter mit Servlet-Filter ändern
In einer vorhandenen Webanwendung sind Sie mit einer XSS-Sicherheitslücke konfrontiert und dürfen die Quelle nicht ändern Code. Um dieses Problem zu beheben, beabsichtigen Sie, einen Servlet-Filter zu verwenden, um Anforderungsparameter zu bereinigen, bevor sie die anfällige Seite erreichen.
Das bereitgestellte Codebeispiel demonstriert Ihre Filterklasse, XssFilter:
import java.io.*;
import javax.servlet.*;
public final class XssFilter implements Filter {
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException
{
String badValue = request.getParameter("dangerousParamName");
String goodValue = sanitize(badValue);
// Unable to modify parameter using request.setParameter
chain.doFilter(request, response);
}
public void destroy() {
}
public void init(FilterConfig filterConfig) {
}
}Sie sind jedoch auf ein Hindernis gestoßen: HttpServletRequest fehlt die setParameter-Methode. Um diese Einschränkung zu überwinden, ziehen Sie die folgenden Ansätze in Betracht:
Verwenden von HttpServletRequestWrapper:
Verwenden Sie die HttpServletRequestWrapper-Klasse, um einen Wrapper um die ursprüngliche Anfrage zu erstellen. Sie können die getParameter-Methode überschreiben, um den bereinigten Wert zurückzugeben. Übergeben Sie dann die umschlossene Anfrage an chain.doFilter anstelle des Originals.
Dieser Ansatz erfordert Unterklassen und umschließt die ursprüngliche Anfrage, entspricht jedoch der Servlet-API, indem die Filterung an die umschlossene Anfrage delegiert wird.
Einstellung des Anforderungsattributs:
Alternativ können Sie das Ziel-Servlet oder die Ziel-JSP so ändern, dass stattdessen ein Anforderungsattribut erwartet wird als ein Anforderungsparameter für den gefährlichen Parameter. Ihr Filter kann dann den Parameter untersuchen, bereinigen und das Anforderungsattribut mit request.setAttribute auf den bereinigten Wert setzen.
Diese Methode ist eleganter, da sie Unterklassen oder Spoofing vermeidet, aber Änderungen am Code der Anwendung erfordert um das Anforderungsattribut anstelle des Parameters zu verwenden.
-
Warum entfernt „reader.ReadString“ nicht das anfängliche Trennzeichen?reader.ReadString entfernt das anfängliche Trennzeichen nichtIn dem Bemühen, ein Programm zu erstellen, das Benutzer namens Alice oder Bob, einen Entw...Programmierung Veröffentlicht am 21.12.2024 -
Wie greife ich mit ServletContext auf Ressourcen im WAR/WEB-INF-Verzeichnis zu?Zugriff auf Ressourcen im WAR/WEB-INF-Verzeichnis mit ServletContextEinführung: Java-Webanwendungen speichern häufig wichtige Ressourcen im WAR/WEB-IN...Programmierung Veröffentlicht am 21.12.2024
-
Wie verstecke ich Elemente in responsiven Layouts mit Bootstrap?Elemente in responsiven Layouts mit Bootstrap ausblendenBeim Entwerfen responsiver Layouts ist die Platzverwaltung von entscheidender Bedeutung, insbe...Programmierung Veröffentlicht am 21.12.2024
-
Was ist mit dem Spaltenversatz in Bootstrap 4 Beta passiert?Bootstrap 4 Beta: Die Entfernung und Wiederherstellung des SpaltenversatzesBootstrap 4 führte in seiner Beta-1-Version wesentliche Änderungen an der A...Programmierung Veröffentlicht am 21.12.2024
-
Wie kann ich mit MySQL Benutzer mit den heutigen Geburtstagen finden?So identifizieren Sie Benutzer mit heutigen Geburtstagen mithilfe von MySQLUm mithilfe von MySQL festzustellen, ob heute der Geburtstag eines Benutzer...Programmierung Veröffentlicht am 21.12.2024
-
Wie behebt man den Fehler „Py_Initialize: Der Dateisystem-Codec konnte nicht geladen werden“ in Embedded Python?Behebung des Fehlers „Py_Initialize: Dateisystemcodec konnte nicht geladen werden“ in Embedded PythonBeim Versuch, einen eingebetteten Python 3.2-Inte...Programmierung Veröffentlicht am 21.12.2024
-
Kann JavaScript Webseiten-Screenshots erfassen und an einen Server senden?Erfassen von Webseiten-Screenshots mit JavaScript: Ist das möglich?In einer Welt, in der webbasierte Anwendungen allgegenwärtig sind, ist das Erstelle...Programmierung Veröffentlicht am 21.12.2024
-
Wie behebt man „Unsachgemäß konfiguriert: Fehler beim Laden des MySQLdb-Moduls“ in Django unter macOS?MySQL falsch konfiguriert: Das Problem mit relativen PfadenBeim Ausführen von python manage.py runserver in Django kann der folgende Fehler auftreten:...Programmierung Veröffentlicht am 21.12.2024
-
Wie kombiniere ich zwei assoziative Arrays in PHP und behalte dabei eindeutige IDs bei und verarbeite doppelte Namen?Kombinieren assoziativer Arrays in PHPIn PHP ist das Kombinieren zweier assoziativer Arrays zu einem einzigen Array eine häufige Aufgabe. Betrachten S...Programmierung Veröffentlicht am 21.12.2024
-
Wie berechnet man mit PHP den Zeitunterschied zwischen zwei Daten in Sekunden?Berechnen der Zeitdifferenz zwischen zwei Daten in SekundenDie Berechnung der Differenz zwischen zwei Daten in Sekunden kann in verschiedenen Szenarie...Programmierung Veröffentlicht am 21.12.2024
-
Ereignissprudeln vs. Ereigniserfassung: Wie wirken sich Ereignisausbreitungsmodi auf die DOM-Ereignisbehandlung aus?Ereignis-Bubbling und -Erfassung: Die Weitergabe im DOM verstehenEreignis-Bubbling und -Erfassung spielen eine entscheidende Rolle bei der Ereigniswei...Programmierung Veröffentlicht am 21.12.2024
-
Wie kann ich einen Pandas-DataFrame effektiv drehen?Wie kann ich einen Datenrahmen drehen?Ein Pivot ist eine Transformation, die einen Datenrahmen mit Spalten, die Kategorien darstellen, und Zeilen, die...Programmierung Veröffentlicht am 21.12.2024
-
Die nervigste Analyse: Timer() – Objekt- oder Funktionsaufruf?Äußerstes Parsen: Mehrdeutigkeit in C 11 aufdeckenDie „ärgerlichste Parsen“-Mehrdeutigkeit in C 11 tritt auf, wenn einheitliche Initialisierer verwend...Programmierung Veröffentlicht am 21.12.2024
-
Wie löst man CORS-Probleme in JAX-RS mit Jersey?Verarbeitung von CORS mit JAX-RS unter Verwendung von JerseyProblem: Bei der Bearbeitung von Anfragen tritt ein CORS-Problem auf mit JAX-RS und Jersey...Programmierung Veröffentlicht am 21.12.2024
-
Jenseits von „if“-Anweisungen: Wo sonst kann ein Typ mit einer expliziten „bool“-Konvertierung ohne Umwandlung verwendet werden?Kontextuelle Konvertierung in „bool“ ohne Umwandlung zulässigIhre Klasse definiert eine explizite Konvertierung in „bool“, sodass Sie ihre Instanz „t“...Programmierung Veröffentlicht am 21.12.2024
Chinesisch lernen
- 1 Wie sagt man „gehen“ auf Chinesisch? 走路 Chinesische Aussprache, 走路 Chinesisch lernen
- 2 Wie sagt man auf Chinesisch „Flugzeug nehmen“? 坐飞机 Chinesische Aussprache, 坐飞机 Chinesisch lernen
- 3 Wie sagt man auf Chinesisch „einen Zug nehmen“? 坐火车 Chinesische Aussprache, 坐火车 Chinesisch lernen
- 4 Wie sagt man auf Chinesisch „Bus nehmen“? 坐车 Chinesische Aussprache, 坐车 Chinesisch lernen
- 5 Wie sagt man „Fahren“ auf Chinesisch? 开车 Chinesische Aussprache, 开车 Chinesisch lernen
- 6 Wie sagt man Schwimmen auf Chinesisch? 游泳 Chinesische Aussprache, 游泳 Chinesisch lernen
- 7 Wie sagt man auf Chinesisch „Fahrrad fahren“? 骑自行车 Chinesische Aussprache, 骑自行车 Chinesisch lernen
- 8 Wie sagt man auf Chinesisch Hallo? 你好Chinesische Aussprache, 你好Chinesisch lernen
- 9 Wie sagt man „Danke“ auf Chinesisch? 谢谢Chinesische Aussprache, 谢谢Chinesisch lernen
- 10 How to say goodbye in Chinese? 再见Chinese pronunciation, 再见Chinese learning
