在Spring Web应用中,通过自定义过滤器(Filter)来进行输入验证和过滤是一种常见的做法。尤其是对于一些存在sql注入、xss的web应用,在实现时经常会通过request.getParamaters()方法获取对应的请求内容进行验证/拦截,解类似的安全风险。但是这里并不能覆盖类似json等请求方式。此时一般会通过请求的 Content-Type 头来区分不同类型的请求来获取对应的请求内容。在某些情况下可以绕过对应的检测逻辑。
-
发表于 2024-01-19 10:00:02
- 阅读 ( 5612 )
- 分类:代码审计