Изменить параметр запроса с помощью фильтра сервлетов

В существующем веб-приложении вы столкнулись с XSS-уязвимостью, и вам запрещено изменять источник код. Чтобы решить эту проблему, вы намерены использовать фильтр сервлетов для очистки параметров запроса до того, как они достигнут уязвимой страницы.

Приведенный пример кода демонстрирует ваш класс фильтра XssFilter:

import java.io.*;
import javax.servlet.*;

public final class XssFilter implements Filter {

  public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
      throws IOException, ServletException
  {
    String badValue = request.getParameter("dangerousParamName");
    String goodValue = sanitize(badValue);
    // Unable to modify parameter using request.setParameter
    chain.doFilter(request, response);
  }

  public void destroy() {
  }

  public void init(FilterConfig filterConfig) {
  }
}

Однако вы столкнулись с препятствием: в HttpServletRequest отсутствует метод setParameter. Чтобы преодолеть это ограничение, рассмотрите следующие подходы:

Использование HttpServletRequestWrapper:

Используйте класс HttpServletRequestWrapper для создания оболочки вокруг исходного запроса. Вы можете переопределить метод getParameter, чтобы вернуть очищенное значение. Затем передайте упакованный запрос в Chain.doFilter вместо исходного.

Этот подход требует создания подклассов и обертывания исходного запроса, но соответствует API сервлета, делегируя фильтрацию упакованному запросу.

Настройка атрибута запроса:

В качестве альтернативы вы можете изменить целевой сервлет или JSP, чтобы ожидать атрибут запроса, а не параметр запроса для опасного параметра. Затем ваш фильтр может проверить параметр, очистить его и установить атрибут запроса с очищенным значением, используя request.setAttribute.

Этот метод более элегантен, поскольку позволяет избежать создания подклассов или подмены, но требует внесения изменений в код приложения. использовать атрибут запроса вместо параметра.