소스 코드 변경이 금지된 경우 서블릿 필터를 사용하여 요청 매개변수를 수정하는 방법은 무엇입니까?

서블릿 필터로 요청 매개변수 수정

기존 웹 애플리케이션에서는 XSS 취약점에 직면해 있으며 소스 수정이 금지됩니다. 암호. 이 문제를 해결하려면 서블릿 필터를 활용하여 요청 매개변수가 취약한 페이지에 도달하기 전에 삭제하려고 합니다.

제공된 코드 샘플은 필터 클래스인 XssFilter를 보여줍니다.

<code class="java">import java.io.*;
import javax.servlet.*;

public final class XssFilter implements Filter {

  public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
      throws IOException, ServletException
  {
    String badValue = request.getParameter("dangerousParamName");
    String goodValue = sanitize(badValue);
    // Unable to modify parameter using request.setParameter
    chain.doFilter(request, response);
  }

  public void destroy() {
  }

  public void init(FilterConfig filterConfig) {
  }
}</code>

그러나 , 당신은 장애물에 직면했습니다: HttpServletRequest에 setParameter 메소드가 없습니다. 이 제한을 극복하려면 다음 접근 방식을 고려하십시오.

HttpServletRequestWrapper 사용:

HttpServletRequestWrapper 클래스를 활용하여 원래 요청 주위에 래퍼를 만듭니다. getParameter 메서드를 재정의하여 삭제된 값을 반환할 수 있습니다. 그런 다음 원본 요청 대신 래핑된 요청을 chain.doFilter에 전달합니다.

이 접근 방식은 서브클래싱이 필요하고 원본 요청을 래핑하지만 필터링을 래핑된 요청에 위임하여 서블릿 API를 준수합니다.

요청 속성 설정:

또는 위험한 매개변수에 대한 요청 매개변수 대신 요청 속성을 예상하도록 대상 서블릿 또는 JSP를 수정할 수 있습니다. 그런 다음 필터는 매개변수를 검사하고 삭제한 다음 request.setAttribute를 사용하여 삭제된 값으로 요청 속성을 설정할 수 있습니다.

이 방법은 서브클래싱이나 스푸핑을 방지하므로 더 우아하지만 애플리케이션 코드를 수정해야 합니다. 매개변수 대신 요청 속성을 사용합니다.

위 내용은 소스 코드 변경이 금지된 경우 서블릿 필터를 사용하여 요청 매개변수를 수정하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!