SpringMVC参数处理过程与Content-type绕过浅析

在Spring Web应用中,通过自定义过滤器(Filter)来进行输入验证和过滤是一种常见的做法。尤其是对于一些存在sql注入、xss的web应用,在实现时经常会通过request.getParamaters()方法获取对应的请求内容进行验证/拦截,解类似的安全风险。但是这里并不能覆盖类似json等请求方式。此时一般会通过请求的 Content-Type 头来区分不同类型的请求来获取对应的请求内容。在某些情况下可以绕过对应的检测逻辑。
  • 发表于 2024-01-19 10:00:02
  • 阅读 ( 2874 )
  • 分类:代码审计

0 条评论

请先 登录 后评论
tkswifty
tkswifty

43 篇文章