java web ServletRequest过滤

最新推荐文章于 2022-09-11 17:08:00 发布
最新推荐文章于 2022-09-11 17:08:00 发布
阅读量541 收藏 1
点赞数 1
分类专栏: java web安全 文章标签: ServletRequest过滤 getParameter getInputStream XSS SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenjhit/article/details/79991330
版权

在实际的java web开发过程中,经常会遇到需要对ServletRequest对象内容进行过滤的情况,有两种可选方法:在需要引用ServletRequest对象内容的地方进行内容过滤;添加过滤器对所有ServletRequest对象内容进行过滤。前者实现简单,但维护起来十分麻烦,程序冗余严重;后者一劳永逸,但由于ServletRequest对象的内容不能直接被修改,所以,需要重新构造ServletRequest对象内容。本文描述了一种在实际应用当中,对web请求进行过滤的方法。从添加过滤器到实施过程中遇到的各种问题,再到最终满足需求的程序完成。并将解决各种问题的参考链接加入到了文中。

开发过滤ServletRequest内容的类

由于ServletRequest对象的内容不能直接被修改,所以,需要重新构造ServletRequest对象内容,通常采用的做法是:新建一个类继承HttpServletRequestWrapper,并添加构造函数如下:

public class SecurityHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public SecurityHttpServletRequestWrapper(HttpServletRequest request) {
       super(request);
}

接下来,就是要对其内容进行过滤了,在对经常使用到的getParameter()方法结果进行过滤,最简单的方式是在SecurityHttpServletRequestWrapper 类中添加 private Map

    @Override
    public String getParameter(String name) {
        String[] values = params.get(name);
        if(values == null || values.length == 0) return null;
        return values[0];
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        return params;
    }

    @Override
    public String[] getParameterValues(String name) {
        return params.get(name);
    }

这里参考了:https://blog.csdn.net/tyyytcj/article/details/78528499

本以为到这里就完美结束了,但是,实际并非如此!现象:在系统中使用了spring @RequestBody注解的地方,未能获得页面所发送的请求内容。

经过一番源码查看,终于发现:@RequestBody注解调用了ServletRequest的getInputStream()方法。

那又是为什么使用getInputStream()就获取不到内容呢?

归根结底,程序在获取请求内容的时候,根据不同场景会使用到request.getParameter()、request.getInputStream()和request.getReader()这三者中的其中一个,而这三种方法是有冲突的,因为流只能被读一次,具体原因参考:https://www.cnblogs.com/v5hanhan/p/5646054.html

那么知道原因之后,我们现在要做的就是,重写getInputStream()方法,使之能够返回有效内容。此处参考:https://www.cnblogs.com/bigVGod/p/7240778.html

实践中还发现中文编码存在问题,解决方案参考:https://www.zhihu.com/question/35728721
调整之后,新的构造函数代码如下:

    // request.getParameter()、request.getInputStream()和request.getReader()这三种方法是有冲突的,
    // 原因是InputStream内容只能被读取一次,
    // 所以需要针对三种方法分别制作有效返回内容。其中request.getReader()被用到的情况比较少,暂未制作对应返回。
    private ServletInputStream servletInputStream;
    private Map<String, String[]> params = new HashMap<String, String[]>();
    public SecurityHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);

        String finalStr = null;
        try {
            byte[] originBytes = StreamUtils.copyToByteArray(request.getInputStream());
            //此处对内容进行过滤
            String safeStr = clearThreatChar(new String(originBytes));
            //字符串解码,如果不执行此操作,中文将无法正常显示
            finalStr = URLDecoder.decode(safeStr,"utf-8");
        } catch (IOException e) {
            e.printStackTrace();
        }
        //获取请求方式为get的请求参数,此类参数无法从InputStream中获取到。
        params.putAll(request.getParameterMap());
        //从InputStream中解析参数,并添加至params中。
        for(String k:finalStr.split("&")){
            int index = k.indexOf("=");
            if(index > 0){
                String key = k.split("=")[0];
                String value = "";
                if((index+1) < k.length()){
                    value = k.substring(index+1);
                }
                params.put(key,new String[]{value});
            }
        }

        byte[] requestBody = finalStr.getBytes();
        if(requestBody == null) requestBody = new byte[0];
        servletInputStream = generateInputStream(new ByteArrayInputStream(requestBody));
    }

另外关于request.getReader()相关方法重写参考:http://hae.iteye.com/blog/2175117

完整的代码由于有一百多行,就不贴在这里了,可以前往(https://download.csdn.net/download/chenjhit/10357697)下载,顺便挣两个积分,或者加我的QQ,我直接发送给你们!

开发Filter过滤器

这里直接贴代码,主要就是需要跳过负载过大的请求,避免内存溢出问题。

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

/**
 * Created by Administrator on 18-4-16.
 */
public class SecurityFilter implements Filter {
    // 用于排除不用进行安全过滤的请求;
    // 原因是由于部分请求内容过大,会导致溢出异常;
    // 使用Map的理由是:不使用for循环,节省时间。
    Map<String,String> excludeRequestMap = new HashMap<String,String>(){
        {
            put("upload",""); //请求示例
        }
    };

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        String path = ((HttpServletRequest)servletRequest).getServletPath();
        if(excludeRequestMap.containsKey(path)){
            filterChain.doFilter(servletRequest,servletResponse);
        }else {
            filterChain.doFilter(new SecurityHttpServletRequestWrapper((HttpServletRequest)servletRequest),servletResponse);
        }
    }

    public void destroy() {

    }
}

安全过滤

跨站脚本攻击(XSS)过滤的两种方法:https://blog.csdn.net/jwdstef/article/details/42082427

SQL注入过滤:https://blog.csdn.net/chenjhit/article/details/78253216

拓展思考

其实过滤还可以利用spring 的aop,在切面中进行过滤,可以跳过许多不必要的请求过滤,减少系统资源占用,但是由于原有系统代码凌乱,不敢轻易放过任何一个请求,所以还是写在了filter里,大家可以尝试在aop中实现,整体思路是差不多的。

==================================
==疑问?帮助?批评?欢迎评论 | QQ:593159978==
==================================

chenjhit
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring的过滤器、拦截器、切面区别及案例分析
2301_81922209的博客
04-22 1101
Spring的过滤器、拦截器、切面 三者的区别,以及对应案例分析。
Spring AOP切面注解类应用实例:请求入参参数特殊字符过滤、日志切面
weixin_41761540的博客
05-08 1274
一:请求入参参数特殊字符过滤 对接平安银行等第三方接口的时候,接口入参不能包含某些字符串,但是不能做过滤器,过滤器影响面过广。 1、自定义注解 package fly.cloud.bank.annotation; import java.lang.annotation.*; @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface ParamReplace { }
过滤器拦截并处理request请求
12-04
演示了过滤器捕获客户端发送的request请求,并对request请求进行分析处理,从而让后台得到处理后的请求
java对请求参数进行过滤_使用servlet过滤器修改请求参数
weixin_42297982的博客
02-24 331
为了记录,这是我最后写的课程:import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.Serv...
Servlet中HTML文本字符过滤
nuoWei_SenLin的博客
02-25 7583
当用户提交的数据中包含关键字符,例如 .  & " 等字符,必须对这些字符进行转码,否则在jsp页面显示这些字符时,会以html的语法解析这类字符 这里使用Servlet中的Filter解决特殊字符的转码 代码如下 //Html文本过滤器 /* * 如果客户计较的数据是一段html文本或者javascript脚本,传给后台后在页面显示浏览器会自动执行这段脚本, * 所以要将客户提交的ht
java对请求参数进行过滤_java web中使用过滤器对request及response中参数进行统一字符编码...
weixin_31509859的博客
02-24 810
java web中字符编码的处理是一件很繁琐的事情,如果不对编码进行处理,总会出现各种奇怪的字符,甚至如果代码写的不好,还可能引发莫名其妙的错误。所以,想偷懒的人们总会来研究一些能对字符编码进行统一处理的办法,此时,过滤器来担此大任!由于目前国际通用编码为utf-8,因此本文默认使用该编码对字符进行处理。下面开始进行讲解原理,已经理解原理的朋友可以直接跳到最下面,复制后可直接当工具类使用。首先在...
关于后端无法获取前端传来的超长字符串,导致数据被省略清空问题(图片uuid路径问题)
JackMa的博客
09-11 895
关于后端无法获取前端传来的超长字符串,导致数据被省略清空问题(图片uuid路径问题)
Java Web过滤器详解
08-29
Java Web过滤器详解 Java Web过滤器是一种服务端组件,用于截取用户端的请求与响应信息。过滤器的应用场景非常广泛,以下是其中的一些: 一、统一认证 过滤器可以对用户请求进行统一认证,保证不会出现用户账户...
java web权限访问过滤
09-02
本教程将详细讲解如何使用Java Web中的过滤器(Filter)来实现这样的访问控制。过滤器是Servlet API的一部分,它允许我们在请求到达目标资源(如Servlet、JSP页面)之前或之后对请求和响应进行拦截处理。 首先,...
Java web过滤器验证登录防止未登录进入界面
09-01
Java Web过滤器是一种强大的工具,用于在用户请求到达实际处理请求的Servlet之前拦截请求和响应。在本场景中,我们关注的是如何使用过滤器来验证用户是否已经登录,以防止未授权的访问。以下是实现这一功能的详细...
java web 修改request携带的参数信息
09-08
Java Web开发中,我们经常需要处理HTTP请求(Request)。Request对象封装了客户端发送到服务器的所有数据,包括URL参数、请求头、请求体等。在某些场景下,可能需要对这些参数信息进行修改,比如安全过滤、数据校验...
Java Web Filter 过滤器学习教程(推荐)
09-02
Java Web Filter过滤器是Servlet技术中的关键组件,它允许开发者在请求到达目标资源(如Servlet、JSP或静态文件)之前和之后进行拦截处理。这种技术对于实现多种高级功能非常有用,比如权限控制、内容过滤、日志记录...
java 请求参数过滤_SpringBoot过滤器(过滤请求参数)
weixin_28726391的博客
02-17 1205
包结构paramsfilter.png创建ParamsFilter实现Filter接口package com.example.filter;import javax.servlet.*;import javax.servlet.http.HttpServletRequest;import java.io.IOException;/*** @author chengdongyi* @descript...
Servlet过滤器简介与字符串过滤
cbynietg的专栏
01-25 1310
一.Servlet过滤器的用途(1)用户认证与授权管理(2)统计Web应用的访问量和访问的命中率,形成访问报告.(3)实现Web应用的日志处理功能.(4)实现数据压缩功能.(5)对传输的数据进行加密.(6)实现XML文件的XSLT转换. 二.实现Servlet过滤器编写实现javax.servlet.Filter接口的类配置Servlet过滤器 EncodingFilter.jav
web中页面向服务器传输数据解决中文乱码过滤器(解决get、post、delete、put请求乱码问题)CharacterEncodingFilter
IT_CREATE的博客
01-17 536
1、在项目中创建一个filter包,然后创建一个类实现Filter接口,取名为CharacterEncodingFilter,将下面代码复制进去 import java.io.IOException; import java.io.UnsupportedEncodingException; import java.net.URLDecoder; import java.util.ArrayLi...
java过滤非常规数据,Java Web 中对 ServletRequest 的一些非常规操作解决方案
weixin_33499715的博客
03-13 121
1. 前言ServletRequest 是我们搞 Java Web 经常接触的 Servlet Api 。有些时候我们要经常对其进行一些操作。这里列举一些经常的难点操作。2. 提取 body 中的数据前后端交互我们会在 body 中传递数据。我们如何从 body 中提取数据。通常我们会通过 IO 操作:/*** obtain request body** @param request the S...
通过filter过滤器对请求参数进行处理-完整
热门推荐
Muscleheng的博客
04-24 3万+
遇见的问题:前台把参数通过报文或者使用表单、ajax提交到后台,如果我们的请求参数是加密的,那么我们在controller里面的每一个方法里都需要进行解密处理。如果方法太多,那就太麻烦了。 解决方案:在请求参数到达controller之前,在filter里面进行解密;这样,通过简单的过滤器处理,把需要处理的请求都在过滤器里进行解密操作,这样就等于实现了自动化处理。 这里我们针对两种不同的请求方...
Servlet过滤器用法总结一
求知
08-02 384
一、字符编码的过滤器  import javax.servlet.*;  import java.io.IOException;  /**  * 用于设置 HTTP 请求字符编码的过滤器,通过过滤器参数encoding指明使用何种字符编码,用于处理Html Form请求参数的中文问题  */  public class CharacterEncodingFilter  imple
java 可变参数方法不支持多个可变参数以及多种类型的替代方法
chenjhit的博客
05-17 8760
记录了 java 可变参数方法不支持多个可变参数以及多种类型的替代方法。
Java Web过滤器(Filter)示例转换为大写
最新发布
06-01
好的,以下是将Java Web过滤器(Filter)示例中的所有请求参数转换为大写的示例代码: ```java import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值