1.背景本公司的系统请了某公司来进行渗透测试。提出了一个类型的高危漏洞,关于表单提交后,前端会对一些重要信息校验,后台也应该对这些重要信息校验,与前端保持一致。同时,还要注意表单提交编码类型。表单post后,会用拦截信息包,并篡改表单编码类型,并加入一些自己的信息。再请求给后台。
form中属性 enctype="multipart/form-data":指表单中有文件,图片等上传就必须填这个属性。 不对字符编码。在使用包含文件上传控件的表单时,必须使用该值。
application/x-www-form-urlencoded :在发送前编码所有字符(默认的,不填这个属性)
text/plain:空格转换为 "+" 加号,但不对特殊字符编码。
在后台 boolean isMultipart = ServletFileUpload.isMultipartContent(request);//判断是否是表单文件类型,其里面看是否包含关键字multipart
if(isMultipart){
log.info("表单类型校验有误或遭到拦截篡改");
return mapping.findForward("typeError");
}else{
业务逻辑
}