Tomcat: The Definitive Guide (2nd Edition), O'Reilly, Jason Brittain 提供了一个 Tomcat 过滤器(和一个阀门)来过滤掉来自 HTTP 请求的不良用户输入,以帮助避免恶意攻击。我已经使用过滤器多年了,我发现它对于在 Tomcat 上运行的 Web 应用程序来说是一个很棒的安全工具。它曾经与旧版本的 Tomcat 一起工作,但在更新版本的 Tomcat 上,它不再工作了。更糟糕的是,如果默默地失败了。你必须通过实验来了解它是行不通的。
过滤器似乎正在编辑请求参数的副本,但实际请求参数在请求到达 Web 服务器时并未更改。我试过这个阀门,但它也不能以同样的方式工作。您可以使用过滤器或阀门来阻止参数中包含错误数据的 HTTP 请求,但您不能再使用它来编辑参数。
有没有人可以解决这个问题?也就是说,是否存在会实际修改请求参数并将修改后的参数发送到 Web 服务器的 BadInputFilter 版本或替代版本。