Página delantera > Programación > ¿Cómo modificar los parámetros de solicitud con un filtro de servlet cuando están prohibidos los cambios en el código fuente?
¿Cómo modificar los parámetros de solicitud con un filtro de servlet cuando están prohibidos los cambios en el código fuente?
Navegar:288
Modificar el parámetro de solicitud con filtro de servlet
En una aplicación web existente, te enfrentas a una vulnerabilidad XSS y tienes prohibido modificar la fuente código. Para solucionar este problema, pretende utilizar un filtro de servlet para desinfectar los parámetros de solicitud antes de que lleguen a la página vulnerable.
El ejemplo de código proporcionado demuestra su clase de filtro, XssFilter:
import java.io.*;
import javax.servlet.*;
public final class XssFilter implements Filter {
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException
{
String badValue = request.getParameter("dangerousParamName");
String goodValue = sanitize(badValue);
// Unable to modify parameter using request.setParameter
chain.doFilter(request, response);
}
public void destroy() {
}
public void init(FilterConfig filterConfig) {
}
}Sin embargo, ha encontrado un obstáculo: HttpServletRequest carece del método setParameter. Para superar esta limitación, considere los siguientes enfoques:
Uso de HttpServletRequestWrapper:
Utilice la clase HttpServletRequestWrapper para crear un contenedor alrededor de la solicitud original. Puede anular el método getParameter para devolver el valor desinfectado. Luego, pase la solicitud envuelta a chain.doFilter en lugar del original.
Este enfoque requiere subclasificación y envuelve la solicitud original, pero cumple con la API del servlet al delegar el filtrado a la solicitud envuelta.
Configuración del atributo de solicitud:
Como alternativa, puede modificar el servlet de destino o JSP para esperar un atributo de solicitud en lugar de un Solicitar parámetro para el parámetro peligroso. Luego, su filtro puede examinar el parámetro, desinfectarlo y establecer el atributo de solicitud con el valor desinfectado usando request.setAttribute.
Este método es más elegante ya que evita la subclasificación o la suplantación de identidad, pero requiere modificaciones en el código de la aplicación. utilizar el atributo de solicitud en lugar del parámetro.
-
¿Por qué Margin Top no funciona en elementos en línea en CSS?Margen superior y elementos en líneaEn CSS, la propiedad de margen se utiliza para definir el espacio fuera de los bordes de un elemento. Sin embargo,...Programación Publicado el 2024-12-21 -
¿Cómo puedo localizar de manera eficiente elementos HTML por clase CSS usando XPath?Buscar elementos por clase CSS usando XPathEn el web scraping, a menudo es necesario ubicar elementos HTML según su clase CSS. XPath, una poderosa her...Programación Publicado el 2024-12-21
-
¿Por qué la solicitud POST no captura la entrada en PHP a pesar del código válido?Solucionar el mal funcionamiento de la solicitud POST en PHPEn el fragmento de código presentado:action=''en lugar de:action="<?php echo $_SER...Programación Publicado el 2024-12-21
-
¿Por qué `array_shift()` activa "Estándares estrictos: sólo las variables deben pasarse por referencia"?Mensaje de error "Estándares estrictos: solo las variables deben pasarse por referencia"Al usar array_shift(), puede informar estándares est...Programación Publicado el 2024-12-21
-
¿Cómo puedo realizar la agregación en Pandas?Agregación en Pandas¿Cómo puedo realizar la agregación con Pandas?Las funciones de agregación reducen la dimensionalidad de los objetos devueltos. Alg...Programación Publicado el 2024-12-21
-
¿Cómo inicializar miembros de datos estáticos `const std::string` en C++?Declaración de miembros de datos estáticos de tipo const std::stringEn C, inicializar un miembro de datos estáticos de tipo const std::string directam...Programación Publicado el 2024-12-21
-
¿Cómo solucionar \"Configurado incorrectamente: Error al cargar el módulo MySQLdb\" en Django en macOS?MySQL configurado incorrectamente: el problema con las rutas relativasAl ejecutar python Manage.py RunServer en Django, puede encontrar el siguiente e...Programación Publicado el 2024-12-21
-
¿Cómo obtener el nombre de una función desde dentro de la función en Python?Acceder a los nombres de funciones desde dentro de las funcionesEn Python, determinar el nombre de una función desde dentro de la función misma puede ...Programación Publicado el 2024-12-21
-
¿Cómo convertir el número de índice de una columna de una hoja de cálculo a su equivalente en letras?Convertir el índice de columnas de una hoja de cálculo a letrasEn Google Sheets, las columnas están indexadas con números, comenzando desde 1. Sin emb...Programación Publicado el 2024-12-21
-
¿Por qué `reader.ReadString` no elimina el delimitador inicial?reader.ReadString no elimina el delimitador inicialEn un esfuerzo por crear un programa que salude a los usuarios llamados Alice o Bob, un desarrollad...Programación Publicado el 2024-12-21
-
¿Cómo acceder a los recursos en el directorio WAR/WEB-INF con ServletContext?Acceso a recursos en el directorio WAR/WEB-INF con ServletContextIntroducción: Las aplicaciones web Java suelen almacenar recursos esenciales dentro d...Programación Publicado el 2024-12-21
-
¿Cómo ocultar elementos en diseños responsivos con Bootstrap?Ocultar elementos en diseños responsivos con BootstrapAl diseñar diseños responsivos, administrar el espacio se vuelve crucial, especialmente en panta...Programación Publicado el 2024-12-21
-
¿Qué pasó con la compensación de columnas en Bootstrap 4 Beta?Bootstrap 4 Beta: eliminación y restauración del desplazamiento de columnasBootstrap 4, en su versión Beta 1, introdujo cambios significativos en la f...Programación Publicado el 2024-12-21
-
¿Cómo puedo encontrar usuarios con los cumpleaños de hoy usando MySQL?Cómo identificar usuarios con los cumpleaños de hoy usando MySQLDeterminar si hoy es el cumpleaños de un usuario usando MySQL implica encontrar todas ...Programación Publicado el 2024-12-21
-
¿Cómo solucionar el error \"Py_Initialize: no se puede cargar el códec del sistema de archivos\" en Python integrado?Resolviendo el error "Py_Initialize: no se puede cargar el códec del sistema de archivos" en Python integradoAl intentar integrar un intérpr...Programación Publicado el 2024-12-21
Estudiar chino
- 1 ¿Cómo se dice "caminar" en chino? 走路 pronunciación china, 走路 aprendizaje chino
- 2 ¿Cómo se dice "tomar un avión" en chino? 坐飞机 pronunciación china, 坐飞机 aprendizaje chino
- 3 ¿Cómo se dice "tomar un tren" en chino? 坐火车 pronunciación china, 坐火车 aprendizaje chino
- 4 ¿Cómo se dice "tomar un autobús" en chino? 坐车 pronunciación china, 坐车 aprendizaje chino
- 5 ¿Cómo se dice conducir en chino? 开车 pronunciación china, 开车 aprendizaje chino
- 6 ¿Cómo se dice nadar en chino? 游泳 pronunciación china, 游泳 aprendizaje chino
- 7 ¿Cómo se dice andar en bicicleta en chino? 骑自行车 pronunciación china, 骑自行车 aprendizaje chino
- 8 ¿Cómo se dice hola en chino? 你好Pronunciación china, 你好Aprendizaje chino
- 9 ¿Cómo se dice gracias en chino? 谢谢Pronunciación china, 谢谢Aprendizaje chino
- 10 How to say goodbye in Chinese? 再见Chinese pronunciation, 再见Chinese learning
