springboot下Filter的POST和GET过滤参数

最新推荐文章于 2024-09-01 21:49:00 发布
最新推荐文章于 2024-09-01 21:49:00 发布
阅读量6.7k 收藏 4
点赞数 2
分类专栏: java基础 框架 
//定义一个filter过滤器



import org.apache.commons.lang.StringUtils;
import org.springframework.stereotype.Component;
import org.apache.commons.lang.StringEscapeUtils;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.Map;
import java.util.Set;

@Component
@WebFilter(filterName = "ValidatorFilter" , urlPatterns = "/*")
public class ValidatorFilter implements Filter {
    String[] strArr = {"\"","%","'"};
    @Override
    public void doFilter(ServletRequest request,
                         ServletResponse response,
                         FilterChain chain) throws IOException, ServletException{
     
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String method  = (httpServletRequest.getMethod());
        Map<String, String[]> map = httpServletRequest.getParameterMap();
        ServletRequest requestWrapper = null;
        GetParameterRequestWrapper requestWrapper1= null;
        if(httpServletRequest.getMethod().equals("POST")){
             requestWrapper = new PostParameterRequestWrapper(httpServletRequest,method,map);
             chain.doFilter(requestWrapper, response);
        }else if(httpServletRequest.getMethod().equals("GET")){
            requestWrapper1 = new GetParameterRequestWrapper((HttpServletRequest)request);
            Set<String> key = map.keySet();
            for(String arr :strArr){
                for(String k : key){
                    String[] arrValues =  map.get(k);
                    String newValues= StringUtils.join(arrValues);
                    if(newValues.contains(arr)){
                        //对不合法参数转义
                        String escape = StringEscapeUtils.escapeXml(arr);
                        String s1 = newValues.replace(arr,escape);
                        //重新put相同的key,替换对应的values
                        requestWrapper1.addParameter(k, new String[]{s1});
                    }
                }
            }
            chain.doFilter(requestWrapper1, response);
        }
    }


    @Override
    public void destroy() { }


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }


}

//get方式,修改请求域中的参数值,拦截不合法的参数,进行转义



import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.*;

class GetParameterRequestWrapper extends HttpServletRequestWrapper {


    private Map<String , String[]> params = new HashMap<String, String[]>();


    @SuppressWarnings("unchecked")
    public GetParameterRequestWrapper(HttpServletRequest request) {
        super(request);
        this.params.putAll(request.getParameterMap());
    }


    public GetParameterRequestWrapper(HttpServletRequest request , Map<String , Object> extendParams) {
        this(request);
        addAllParameters(extendParams);
    }

    @Override
    public String getParameter(String name) {
        String[] values = params.get(name);
        if (values == null || values.length == 0) {
            return null;
        }
        return values[0];
    }


    public String[] getParameterValues(String name) {
        return params.get(name);
    }

    public void addAllParameters(Map<String , Object>otherParams) {
        for(Map.Entry<String , Object>entry : otherParams.entrySet()) {
            addParameter(entry.getKey() , entry.getValue());
        }
    }

    public void addParameter(String name , Object value) {
        if(value != null) {
            if(value instanceof String[]) {
                params.put(name , (String[])value);
            }else if(value instanceof String) {
                params.put(name , new String[] {(String)value});
            }else {
                params.put(name , new String[] {String.valueOf(value)});
            }
        }
    }
}

//post方式,修改请求域中的参数值,拦截不合法的参数,进行转义





import org.apache.commons.lang.StringEscapeUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;

public class PostParameterRequestWrapper  extends HttpServletRequestWrapper {

    private  byte[] body;
    String[] strArr = {"\"","%","'"};

    public PostParameterRequestWrapper(HttpServletRequest request, String method, Map<String, String[]> newParams) throws IOException {
        super(request);

        //获取request域json类型参数
        String param = getBodyString(request);

        //拆分json,参数属性放一个List集合中
        List<String> shuxing = new ArrayList<String>();
        //拆分json,参数值放一个List集合中
        List<String> values = new ArrayList<String>();

        System.out.println("param  "+param);
        if(param!= null && !param.equals("")){
            String newParam = param.substring(1,param.length()-1);
            String[] arrParam = newParam.split(",");
            for(String arr : arrParam){
                String[] newArr =  arr.split(":");

                //属性
                String par = newArr[0].trim();
                if(par.contains("\"") && par.length()>2){
                    par = par.substring(1,par.length()-1);
                }
                shuxing.add(par);

                //值
                if(newArr.length>1){
                    String par1 = newArr[1].trim();
                    if(par1.contains("\"") && par1.length()>2){
                        par1 = par1.substring(1,par1.length()-1);
                    }
                    values.add(par1);
                }else{
                    values.add("");
                }
            }

            //对值里面的不合法参数转义
            for(int i = 0;i<shuxing.size();i++){
                for(String arr :strArr){
                    if(values.get(i).contains(arr)){
                        //对不合法参数values转义
                        String newValues = StringEscapeUtils.escapeXml(arr);
                        String s1 = values.get(i).replace(arr,newValues);
                        values.set(i,s1);
                    }
                }
            }
            StringBuffer bf =new StringBuffer();
            //重组json字符串
            for(int k = 0;k<shuxing.size();k++){
                if(k+1 != shuxing.size()){
                    bf.append("\""+shuxing.get(k)+"\""+":"+ "\""+ values.get(k)+"\""+",");
                }else{
                    bf.append("\""+shuxing.get(k)+"\""+":"+  "\""+values.get(k)+"\"");
                }
            }
            String sb = "{"+ bf.toString() +"}";
            System.out.println("sb "+sb);
            body = sb.getBytes(Charset.forName("UTF-8"));
        }
    }

    /**
     * 获取请求Body
     *
     * @param request
     * @return
     */
    public String getBodyString(final ServletRequest request) {
        StringBuilder sb = new StringBuilder();
        InputStream inputStream = null;
        BufferedReader reader = null;
        try {
            inputStream = cloneInputStream(request.getInputStream());
            reader = new BufferedReader(new InputStreamReader(inputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        }
        catch (IOException e) {
            e.printStackTrace();
        }
        finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        System.out.println("sb.toString " +sb.toString());
        return sb.toString();
    }

    /**
     * Description: 复制输入流</br>
     *
     * @param inputStream
     * @return</br>
     */
    public InputStream cloneInputStream(ServletInputStream inputStream) {
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        byte[] buffer = new byte[1024];
        int len;
        try {
            while ((len = inputStream.read(buffer)) > -1) {
                byteArrayOutputStream.write(buffer, 0, len);
            }
            byteArrayOutputStream.flush();
        }
        catch (IOException e) {
            e.printStackTrace();
        }
        InputStream byteArrayInputStream = new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
        return byteArrayInputStream;
    }
    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {

        final ByteArrayInputStream bais = new ByteArrayInputStream(body);

        return new ServletInputStream() {

            @Override
            public int read() throws IOException {
                return bais.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {
            }
        };
    }

}

 

SmallTenMr
关注
专栏目录
Filter中获取传递参数(解决post请求参数问题)
PowerMan_Frank
05-14 1万+
1. GET中传递的参数可以直接通过request.getParameter获取。 2. Post 传递的产生不能过直接从request.getInputStream() 读取,必须要进行重新写。(request.getInputStream()只能够读取一次) 方式: 通过重写HttpServletRequestWrapper 类 获取getInputStream中的流数据,然后在将...
springboot使用过滤器对请求参数进行处理
指尖凉的博客
08-24 5942
前段时间对项目进行改造,需要实现对请求参数进行解密,再传输到控制层。参考了网上的一些文章,基本都是通过过滤器和实现RequestBodyAdvice接口进行处理。结合自己的项目要求,实现RequestBodyAdvice接口只能对参数在请求体中(@RequestBody)才生效,而项目中需要对get和post请求都进行处理,所以最后决定使用过滤器来实现。这里记录下代码实现,方便以后遇到相似的功能就不需要再去网上搜了。 首先需要继承HttpServletRequestWrapper类来自定义一个Request
在 Spring Boot 中使用 Filters 实现请求过滤和预处理
2301_76419561的博客
07-26 2012
过滤器(Filter)是一种在Web应用中用于拦截和处理HTTP请求和响应的对象。在Java Web开发中,过滤器是实现特定功能,如认证、日志记录和字符编码处理的重要工具。过滤器的基本概念定义:过滤器是一种可以动态地拦截传入的请求和传出的响应,并对这些请求和响应进行预处理和后处理的对象。作用:过滤器可以检查和修改请求头和响应头、处理cookies、验证用户提交的数据等。过滤器的工作原理工作流程:当一个请求到达服务器时,它会首先通过过滤器链,每个过滤器都有机会对请求进行处理。
Springboot中使用过滤器映射访问路径
12-23
Springboot中使用过滤器映射访问路径,并对请求地址进行重定向。
SpringBoot过滤器获取POST请求的JSON参数
林北
12-19 9237
​ 项目中需要将每个请求的路径和请求参数以及响应结果,都记录在日志中,这样在出现问题时可以快速定位是哪里出现了问题。想到了使用过滤器来实现这个功能,当请求来到过滤器时,会有一个Request参数,通过该参数就能获取到请求路径和请求参数,以及相关内容 parameterMap = httpRequest.getParameterMap(); String requestMethod = httpRequest.getMethod(); String remoteAddr = httpRequest.getR
springboot拦截器,过滤器完成请求参数的获取
吻得太逼真的博客
03-04 4107
1.自定义拦截器 package com.impl.modelserver.common.config.interceptor; import com.alibaba.fastjson.JSON; import com.impl.modelserver.po.CheckNamespaceLegalParam; import com.impl.modelserver.service.IModelService; import java.util.Map; import javax.servlet.htt
SpringBoot过滤器获取请求的参数
qq_38254635的博客
02-05 1484
SpringBoot过滤器获取请求的参数
springboot过滤器转发请求到其它服务,并响应前端
路西法Lucifer
09-22 4374
通过调用 A服务,经过过滤器拦截,将请求转发到B服务,并将B服务的文件流,拿到后,响应给前端,并实现浏览器自动下载。
springboot下使用拦截器和过滤
热门推荐
学习
07-01 4万+
1. 拦截器Interceptor Spring MVC的拦截器(Interceptor)和Filter不同,但是也可以实现对请求进行预处理,后处理。先介绍它的使用,只需要两步: 1.1 实现拦截器 实现拦截器可以自定义实现HandlerInterceptor接口,也可以通过继承HandlerInterceptorAdapter类,后者是前者的实现类。如果preHandle方法ret...
SpringBoot 实战,自定义 Filter 优雅获取请求参数和响应结果
m0_68629662的博客
03-24 1786
Subclasses may use isAsyncDispatch(HttpServletRequest) to determine when a filter is invoked as part of an async dispatch, and use isAsyncStarted(HttpServletRequest) to determine when the request has been placed in async mode and therefore the current di..
springboot中使用filter来修改body里的参数
老司机让开,Java新手来了
04-23 4942
在这里, 以去空格为例来进行说明. 背景:在项目中, 经常会遇到前端往后端传参会有字符串参数首尾有空格的情况, 一般如果字段比较少, 或者接口比较少, 自行在controller位置处理一下, 是没有问题的. 就是重复代码多, 工作重复, 没劲. 所以在这里以去空格说明如何处理post方法里的参数首尾空格问题. 自定义filter. public class ParamsFilter impl...
springbootFilter过滤参数的空格
龚艺洋的博客
08-07 4779
package org.module.organization.permission.filter; import java.io.IOException; import javax.servlet.DispatcherType; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servl...
【微服务】springboot 自定义注解+反射+aop实现动态修改请求参数
最新发布
congge
09-01 7482
springboot 动态修改请求参数常用方案
springboot经验之sql注入、xss注入拦截(POST
lipeng的博客
02-08 3887
简介 sql注入、xss注入、cors攻击的简介以及解决方案,可以参考下面链接: https://blog.csdn.net/yhhyhhyhhyhh/article/details/84504487 这里我就不做的的介绍了,解决sql注入根本方案在于使用预编译而不是拼接sql, 而通常拦截参数都只有针对GET方法,下面介绍下POST方法 POST防注入方案 1、增加httprequest包装类 ...
基于Springboot拦截器对请求参数统一解密
创梦流浪人
05-01 2218
基于Springboot拦截器对请求参数统一解密。因为每一个API接口的请求数据是不一样,如果直接在控制器进行解密那么就会产生大量的冗余代码,这是我们不希望看到的,最好的办法就是使用Springboot的拦截器在请求到达控制器之前将加密的数据进行解密,再继续发送给控制器,之后控制器就能愉快的处理解密完成的数据了。:此处做了一个判断,如果是上传文件就不需要对参数进行解密,直接把原本的request继续往下传递就可以,不然上传文件的流会被损害,导致无法上传文件。将解密后的参数覆盖之前的流。
java spring boot 过滤器重写请求参数、添加参数、修改参数、json参数
亲测,只为展现最完美的有效!
01-18 8839
一、普通参数:ParameterRequestWrapper import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import java.util.Enumeration; import java.util.Map; import java.util.Vector; /** ...
SpringBoot项目中,拦截器获取Post方法的请求body
兰星_thk&try的博客
01-29 1万+
SpringBoot项目中,拦截器获取Post方法的请求body一、遇到的问题二、解决方法1. 创建HttpServletRequest包装类(继承HttpServletRequestWapper类)2.创建过滤器(Filter),对request进行包装3. 通过流(inputStream)获取字符串的工具类4. 拦截器中获取body数据三、总结1. 原理上目前的理解2. 流的本质其实还是只能读...
springboot配置拦截器,在拦截器中获取@RequestBody注解参数post请求参数以及get请求参数
qq_35411229的博客
07-22 2万+
1.配置拦截器 package com.jy.gxw.config.interceptor; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.w...
java——包装类的使用
希望和大家多多交流技术!
11-24 187
虚框中的类都是数值型的,有共同的父类Number
帮我实现springboot防止sql注入的完整过滤器写法
06-09
好的,下面是一个完整的Spring Boot防止SQL注入的过滤器示例: ```java import org.springframework.core.annotation.Order; import org.springframework.stereotype.Component; import org.springframework.util.StringUtils; import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.regex.Matcher; import java.util.regex.Pattern; @Component @Order(1) public class SqlInjectionFilter extends OncePerRequestFilter { private static final String SQL_REGEX = "(?i)(\\b(select|update|delete|insert|create|drop|alter|truncate|grant|revoke|backup|restore)\\b)|(\\b(and|or)\\b.+?(=|>|<|>=|<=|<>|!=|!<|!>)|\\b(in|like|regexp|sounds)\\b.+?\\()"; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String method = request.getMethod(); if ("GET".equals(method)) { String queryString = request.getQueryString(); if (!StringUtils.isEmpty(queryString)) { String filteredQuery = filter(queryString); request = new FilteredGetRequest(request, filteredQuery); } } else if ("POST".equals(method)) { String contentType = request.getContentType(); if (contentType != null && contentType.contains("application/x-www-form-urlencoded")) { String body = HttpHelper.getBodyString(request); if (!StringUtils.isEmpty(body)) { String filteredBody = filter(body); request = new FilteredPostRequest(request, filteredBody); } } } filterChain.doFilter(request, response); } private static String filter(String input) { Pattern pattern = Pattern.compile(SQL_REGEX); Matcher matcher = pattern.matcher(input); String filteredInput = matcher.replaceAll(""); return filteredInput; } private static class FilteredGetRequest extends HttpServletRequestWrapper { private String filteredQuery; public FilteredGetRequest(HttpServletRequest request, String filteredQuery) { super(request); this.filteredQuery = filteredQuery; } @Override public String getQueryString() { return filteredQuery; } } private static class FilteredPostRequest extends HttpServletRequestWrapper { private String filteredBody; public FilteredPostRequest(HttpServletRequest request, String filteredBody) { super(request); this.filteredBody = filteredBody; } @Override public String getParameter(String name) { String value = super.getParameter(name); if (value != null) { return filter(value); } return null; } @Override public String getHeader(String name) { String value = super.getHeader(name); if (value != null) { return filter(value); } return null; } @Override public ServletInputStream getInputStream() throws IOException { return new FilteredServletInputStream(super.getInputStream(), filteredBody); } @Override public BufferedReader getReader() throws IOException { return new BufferedReader(new FilteredStringReader(super.getReader(), filteredBody)); } private static class FilteredServletInputStream extends ServletInputStream { private InputStream inputStream; private String filteredBody; public FilteredServletInputStream(InputStream inputStream, String filteredBody) { this.inputStream = inputStream; this.filteredBody = filteredBody; } @Override public int read() throws IOException { return inputStream.read(); } @Override public boolean isFinished() { return false; } @Override public boolean isReady() { return false; } @Override public void setReadListener(ReadListener readListener) { } } private static class FilteredStringReader extends StringReader { private String filteredBody; public FilteredStringReader(Reader reader, String filteredBody) { super(filteredBody); this.filteredBody = filteredBody; } @Override public int read(char[] cbuf, int off, int len) throws IOException { return super.read(cbuf, off, len); } } } } ``` 在该过滤器中,首先判断请求的方法是GET还是POST,然后对请求参数进行过滤。 对于GET请求,可以通过`getQueryString`方法获取查询字符串并进行过滤,然后将过滤后的查询字符串封装到`FilteredGetRequest`类中,并将该封装后的请求对象传递给过滤器链中的下一个过滤器。 对于POST请求,需要判断请求的Content-Type是否为"application/x-www-form-urlencoded",如果是,则需要获取请求的Body并进行过滤,然后将过滤后的Body封装到`FilteredPostRequest`类中,并将该封装后的请求对象传递给过滤器链中的下一个过滤器。 在`filter`方法中,使用正则表达式对查询字符串或请求Body进行过滤,以防止SQL注入攻击。 需要注意的是,上述示例仅仅是一个简单的防止SQL注入的过滤器示例,实际情况下可能需要更加复杂的过滤逻辑。另外,在使用任何过滤器时,都需要仔细测试和验证,确保不会对系统产生不必要的影响。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值