Primeira página > Programação > Como modificar parâmetros de solicitação com um filtro de servlet quando alterações no código-fonte são proibidas?
Como modificar parâmetros de solicitação com um filtro de servlet quando alterações no código-fonte são proibidas?
Navegar:941
Modificar parâmetro de solicitação com filtro de servlet
Em um aplicativo da web existente, você está enfrentando uma vulnerabilidade XSS e está proibido de modificar a origem código. Para resolver esse problema, você pretende utilizar um filtro de servlet para limpar os parâmetros de solicitação antes que eles cheguem à página vulnerável.
O exemplo de código fornecido demonstra sua classe de filtro, XssFilter:
import java.io.*;
import javax.servlet.*;
public final class XssFilter implements Filter {
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException
{
String badValue = request.getParameter("dangerousParamName");
String goodValue = sanitize(badValue);
// Unable to modify parameter using request.setParameter
chain.doFilter(request, response);
}
public void destroy() {
}
public void init(FilterConfig filterConfig) {
}
}No entanto, você encontrou um obstáculo: HttpServletRequest não possui o método setParameter. Para superar essa limitação, considere as seguintes abordagens:
Usando HttpServletRequestWrapper:
Utilize a classe HttpServletRequestWrapper para criar um wrapper em torno da solicitação original. Você pode substituir o método getParameter para retornar o valor limpo. Em seguida, passe a solicitação agrupada para chain.doFilter em vez do original.
Essa abordagem requer subclasse e agrupa a solicitação original, mas está em conformidade com a API do servlet, delegando a filtragem à solicitação agrupada.
Definindo o atributo de solicitação:
Como alternativa, você pode modificar o servlet de destino ou JSP para esperar um atributo de solicitação em vez do que um parâmetro de solicitação para o parâmetro perigoso. Seu filtro pode então examinar o parâmetro, higienizá-lo e definir o atributo de solicitação com o valor higienizado usando request.setAttribute.
Este método é mais elegante, pois evita subclasses ou falsificação, mas requer modificações no código do aplicativo para usar o atributo request em vez do parâmetro.
-
Como ocultar elementos em layouts responsivos com Bootstrap?Ocultando elementos em layouts responsivos com BootstrapAo projetar layouts responsivos, gerenciar o espaço se torna crucial, especialmente em telas m...Programação Publicado em 2024-12-21 -
O que aconteceu com o deslocamento de coluna no Bootstrap 4 Beta?Bootstrap 4 Beta: A remoção e restauração do deslocamento de colunaBootstrap 4, em sua versão Beta 1, introduziu mudanças significativas na forma como...Programação Publicado em 2024-12-21
-
Como posso encontrar usuários com aniversários de hoje usando MySQL?Como identificar usuários com aniversários de hoje usando MySQLDeterminar se hoje é o aniversário de um usuário usando MySQL envolve encontrar todas a...Programação Publicado em 2024-12-21
-
Como corrigir o erro “Py_Initialize: não foi possível carregar o codec do sistema de arquivos” no Python incorporado?Resolvendo o erro "Py_Initialize: não foi possível carregar o codec do sistema de arquivos" no Python incorporadoAo tentar integrar um inter...Programação Publicado em 2024-12-21
-
O JavaScript pode capturar capturas de tela de páginas da Web e enviá-las para um servidor?Capturar capturas de tela de páginas da web com JavaScript: é possível?Em um mundo onde os aplicativos baseados na web são onipresentes, tirar captura...Programação Publicado em 2024-12-21
-
Por que a solicitação POST não captura entrada em PHP apesar do código válido?Endereçando o mau funcionamento da solicitação POST em PHPNo trecho de código apresentado:action=''em vez de:action="<?php echo $_SERVER['PHP_...Programação Publicado em 2024-12-21
-
Como corrigir “Configurado incorretamente: Erro ao carregar o módulo MySQLdb” no Django no macOS?MySQL configurado incorretamente: o problema com caminhos relativosAo executar python manage.py runserver no Django, você pode encontrar o seguinte er...Programação Publicado em 2024-12-21
-
Como combinar dois arrays associativos em PHP preservando IDs exclusivos e manipulando nomes duplicados?Combinando matrizes associativas em PHPEm PHP, combinar duas matrizes associativas em uma única matriz é uma tarefa comum. Considere a seguinte solici...Programação Publicado em 2024-12-21
-
Como calcular a diferença de tempo entre duas datas em segundos usando PHP?Calculando a diferença de tempo entre duas datas em segundosCalcular a diferença entre duas datas em segundos pode ser útil em vários cenários. Este a...Programação Publicado em 2024-12-21
-
Como corrigir “Erro geral: o servidor MySQL 2006 desapareceu” ao inserir dados?Como resolver "Erro geral: o servidor MySQL de 2006 desapareceu" ao inserir registrosIntrodução:A inserção de dados em um banco de dados MyS...Programação Publicado em 2024-12-21
-
Borbulhamento de eventos versus captura: como os modos de propagação de eventos afetam o tratamento de eventos DOM?Bubbling e captura de eventos: entendendo a propagação no DOMBubbling e captura de eventos desempenham papéis cruciais na propagação de eventos dentro...Programação Publicado em 2024-12-21
-
Como posso dinamizar efetivamente um DataFrame do Pandas?Como posso dinamizar um dataframe?Um pivô é uma transformação que pega um dataframe com colunas que representam categorias e linhas que representam va...Programação Publicado em 2024-12-21
-
A análise mais irritante: Timer() - Chamada de objeto ou função?Análise mais incômoda: desvendando a ambiguidade em C 11A ambiguidade da "análise mais incômoda" em C 11 se apresenta ao usar inicializadore...Programação Publicado em 2024-12-21
-
Como resolver problemas de CORS em JAX-RS com Jersey?Tratando CORS com JAX-RS usando JerseyProblema: Você está encontrando um problema de CORS ao lidar com solicitações com JAX-RS e Jersey. Especificamen...Programação Publicado em 2024-12-21
-
Além das instruções `if`: onde mais um tipo com uma conversão `bool` explícita pode ser usado sem conversão?Conversão contextual para bool permitida sem conversãoSua classe define uma conversão explícita para bool, permitindo que você use sua instância '...Programação Publicado em 2024-12-21
Estude chinês
- 1 Como se diz “andar” em chinês? 走路 Pronúncia chinesa, 走路 aprendizagem chinesa
- 2 Como se diz “pegar um avião” em chinês? 坐飞机 Pronúncia chinesa, 坐飞机 aprendizagem chinesa
- 3 Como se diz “pegar um trem” em chinês? 坐火车 Pronúncia chinesa, 坐火车 aprendizagem chinesa
- 4 Como se diz “pegar um ônibus” em chinês? 坐车 Pronúncia chinesa, 坐车 aprendizagem chinesa
- 5 Como se diz dirigir em chinês? 开车 Pronúncia chinesa, 开车 aprendizagem chinesa
- 6 Como se diz nadar em chinês? 游泳 Pronúncia chinesa, 游泳 aprendizagem chinesa
- 7 Como se diz andar de bicicleta em chinês? 骑自行车 Pronúncia chinesa, 骑自行车 aprendizagem chinesa
- 8 Como você diz olá em chinês? 你好Pronúncia chinesa, 你好Aprendizagem chinesa
- 9 Como você agradece em chinês? 谢谢Pronúncia chinesa, 谢谢Aprendizagem chinesa
- 10 How to say goodbye in Chinese? 再见Chinese pronunciation, 再见Chinese learning
