서블릿 필터로 요청 매개변수 수정

기존 웹 애플리케이션에서는 XSS 취약점에 직면해 있으며 소스 수정이 금지되어 있습니다. 암호. 이 문제를 해결하기 위해 서블릿 필터를 활용하여 요청 매개변수가 취약한 페이지에 도달하기 전에 삭제하려고 합니다.

제공된 코드 샘플은 필터 클래스 XssFilter:

import java.io.*;
import javax.servlet.*;

public final class XssFilter implements Filter {

  public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
      throws IOException, ServletException
  {
    String badValue = request.getParameter("dangerousParamName");
    String goodValue = sanitize(badValue);
    // Unable to modify parameter using request.setParameter
    chain.doFilter(request, response);
  }

  public void destroy() {
  }

  public void init(FilterConfig filterConfig) {
  }
}

그러나 장애물이 발생했습니다. HttpServletRequest에 setParameter 메서드가 부족합니다. 이 제한을 극복하려면 다음 접근 방식을 고려하십시오.

HttpServletRequestWrapper 사용:

HttpServletRequestWrapper 클래스를 활용하여 원래 요청 주위에 래퍼를 만듭니다. getParameter 메서드를 재정의하여 삭제된 값을 반환할 수 있습니다. 그런 다음 원본 요청 대신 래핑된 요청을 chain.doFilter에 전달합니다.

이 접근 방식은 서브클래싱이 필요하고 원래 요청을 래핑하지만 필터링을 래핑된 요청에 위임하여 서블릿 API를 준수합니다.

요청 속성 설정:

또는 예상되는 대상 서블릿 또는 JSP를 수정할 수 있습니다. 위험한 매개변수에 대한 요청 매개변수가 아닌 요청 속성입니다. 그런 다음 필터는 매개변수를 검사하고 삭제한 다음 request.setAttribute를 사용하여 삭제된 값으로 요청 속성을 설정할 수 있습니다.

이 메서드는 서브클래싱이나 스푸핑을 방지하므로 더 우아하지만 애플리케이션 코드를 수정해야 합니다. 매개변수 대신 요청 속성을 사용합니다.