Java 如何在Jersey 2中修改QueryParam和PathParam_Java_Api_Rest_Jersey_Xss

Java 如何在Jersey 2中修改QueryParam和PathParam

java api rest jersey

Java 如何在Jersey 2中修改QueryParam和PathParam,java,api,rest,jersey,xss,Java,Api,Rest,Jersey,Xss,我正在尝试过滤/修改Post和Put调用，以确保从HTML和JS代码中过滤用户提供的所有参数，以防止XSS攻击。我想确保这是在API级别实现的，所以无论使用什么客户端，它都将受到保护对于Jersey 1.x，可以通过实现ContainerRequestFilter并在与请求的servlet匹配之前修改request.getQueryParameters（）来实现这一点。例如：但是，对于Jersey 2，实现相同的接口是不可能的，因为我们不能再使用getQueryParameters（）或ge

我正在尝试过滤/修改Post和Put调用，以确保从HTML和JS代码中过滤用户提供的所有参数，以防止XSS攻击。我想确保这是在API级别实现的，所以无论使用什么客户端，它都将受到保护

对于Jersey 1.x，可以通过实现ContainerRequestFilter并在与请求的servlet匹配之前修改request.getQueryParameters（）来实现这一点。例如：

但是，对于Jersey 2，实现相同的接口是不可能的，因为我们不能再使用getQueryParameters（）或getPathParameters（），而只能使用getUriInfo（），但由于查询参数是不可变的，因此它是无用的。我查看了Jersey的，但不幸的是，他们只允许访问标题和cookies

我花了很多时间研究，但找不到我要找的东西

是否有其他方法过滤路径和查询参数？我有什么遗漏吗

谢谢

您可以使用ContainerRequestFilter，构造新URI（基于现有URI），并通过方法在ContainerRequestContext中设置URI

然而，使用这种方法，我还没有找到一种基于匹配的Jersey资源的URI模板中的参数名替换单个路径参数的方法，因为“setRequestUri”仅在资源匹配前阶段才允许。因此，需要替换整个路径。

我在下面添加了一个适用于Jersey 2.x的过滤器。但是，它不会对cookie执行XSS修复，因为我还没有找到修改这些cookie的方法

重要的是要注意，这需要与POJO属性上的@SafeHtml结合使用，以便清除这些值

@PreMatching
public class XSSFilter implements ContainerRequestFilter
{
    /**
     * @see ContainerRequestFilter#filter(ContainerRequest)
     */
    @Override
    public void filter( ContainerRequestContext request )
    {
        cleanQueryParams( request );
        cleanHeaders( request.getHeaders() );
    }


    /**
     * Replace the existing query parameters with ones stripped of XSS vulnerabilities
     * @param request
     */
    private void cleanQueryParams( ContainerRequestContext request )
    {
        UriBuilder builder = request.getUriInfo().getRequestUriBuilder();
        MultivaluedMap<String, String> queries = request.getUriInfo().getQueryParameters();

        for( Map.Entry<String, List<String>> query : queries.entrySet() )
        {
            String key = query.getKey();
            List<String> values = query.getValue();

            builder.replaceQueryParam( key );
            for( String value : values ) {
                builder.replaceQueryParam( key, Utils.stripXSS( value ) );
            }

        }

        request.setRequestUri( builder.build() );
    }


    /**
     * Replace the existing headers with ones stripped of XSS vulnerabilities
     * @param headers
     */
    private void cleanHeaders( MultivaluedMap<String, String> headers )
    {
        for( Map.Entry<String, List<String>> header : headers.entrySet() )
        {
            String key = header.getKey();
            List<String> values = header.getValue();

            List<String> cleanValues = new ArrayList<String>();
            for( String value : values ) {
                cleanValues.add( Utils.stripXSS( value ) );
            }

            headers.put( key, cleanValues );
        }
    }
}

还更新了原来的帖子：

@PreMatching
public class XSSFilter implements ContainerRequestFilter
{
    /**
     * @see ContainerRequestFilter#filter(ContainerRequest)
     */
    @Override
    public void filter( ContainerRequestContext request )
    {
        cleanQueryParams( request );
        cleanHeaders( request.getHeaders() );
    }


    /**
     * Replace the existing query parameters with ones stripped of XSS vulnerabilities
     * @param request
     */
    private void cleanQueryParams( ContainerRequestContext request )
    {
        UriBuilder builder = request.getUriInfo().getRequestUriBuilder();
        MultivaluedMap<String, String> queries = request.getUriInfo().getQueryParameters();

        for( Map.Entry<String, List<String>> query : queries.entrySet() )
        {
            String key = query.getKey();
            List<String> values = query.getValue();

            builder.replaceQueryParam( key );
            for( String value : values ) {
                builder.replaceQueryParam( key, Utils.stripXSS( value ) );
            }

        }

        request.setRequestUri( builder.build() );
    }


    /**
     * Replace the existing headers with ones stripped of XSS vulnerabilities
     * @param headers
     */
    private void cleanHeaders( MultivaluedMap<String, String> headers )
    {
        for( Map.Entry<String, List<String>> header : headers.entrySet() )
        {
            String key = header.getKey();
            List<String> values = header.getValue();

            List<String> cleanValues = new ArrayList<String>();
            for( String value : values ) {
                cleanValues.add( Utils.stripXSS( value ) );
            }

            headers.put( key, cleanValues );
        }
    }
}

/**
 * Strips any potential XSS threats out of the value
 *
 * @param value
 * @return
 */
public static String stripXSS( String value )
{
    return stripXSS( value, Whitelist.none() );
}


/**
 * Strips any potential XSS threats out of the value excluding
 * the white listed HTML
 *
 * @param value
 * @param whitelist
 * @return
 */
public static String stripXSS( String value, Whitelist whitelist )
{
    if( StringUtils.isBlank( value ) )
        return value;

    // Use the ESAPI library to avoid encoded attacks.
    value = ESAPI.encoder().canonicalize( value );

    // Avoid null characters
    value = value.replaceAll("\0", "");

    // Clean out HTML
    Document.OutputSettings outputSettings = new Document.OutputSettings();
    outputSettings.escapeMode( EscapeMode.xhtml );
    outputSettings.prettyPrint( false );
    value = Jsoup.clean( value, "", whitelist, outputSettings );

    return value;
}