JAVAWEB开发实现对请求头、请求参数的过滤

最新推荐文章于 2024-08-12 15:29:57 发布
最新推荐文章于 2024-08-12 15:29:57 发布
阅读量542 收藏
点赞数
文章标签: java web.xml
原文链接:https://my.oschina.net/u/1176770/blog/801203
版权

1、服务器容器取得客户端发送的参数都是通过HttpServletRequest来获取的,HttpServletRequest存在如下三种获取参数的方法:

  • getParameter(name),返回单个值。
  • getParameterValues(name),返回一个数组。
  • getParameterMap(),把客户端提交参数封装为一个Map返回。K:name,V:value。

当我们使用servlet的时候一般都是使用前两种,struts1使用的第2种,struts2(xwork)则使用的第3种

2、 根据JavaEE servlet2.5规范要求,ServletRequest.getParameterMap()需返回一个immutable(不可改变)的java.util.Map实现,tomcat在这方面没有严格遵照规范,而weblogic严格遵照规范。JavaEE规范之所以这样要求,是出于“安全因素”的考虑。规范描述如下:
public java.util.Map getParameterMap()


Returns a java.util.Map of the parameters of this request. Request parameters are extra information sent with the request. For HTTP servlets, parameters are contained in the query string or posted form data.


Returns: an immutable java.util.Map containing parameter names as keys and parameter values as map values. The keys in the parameter map are of type String. The values in the parameter map are of type String array.

3、对 2 中描述的情况进行代码调整,已在tomcat、weblogic下验证过,其中包括:请求装饰类、过滤器、web.xml下配置过滤器:

请求装饰类:JzHttpServletRequest

package com.juno.fw.wrapper;

import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Map.Entry;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang3.StringUtils;

/**
 * 使用装饰模块模式(Decorator)包装HttpServletRequest对象,实现请求头、请求参数的特定字符转义功能。
 * 
 * @author       Juno
 * @since		 1.6
 * @version      1.0
 * @date 	     2016.04.14
 * @date 	     Juno update at 2016.12.05
 */
public class JnHttpServletRequest extends HttpServletRequestWrapper {

    public HttpServletRequest request;
    public Map<String, String[]> params = new HashMap<String, String[]>(); 

    public JnHttpServletRequest(HttpServletRequest request) {
    	
        super(request);
        this.request = request;
        // 创建对象时,将immutable请求对象MAP复制到本实例的内部对象params中
        // 通过过滤params以实现过虑请求参数的特定字符
        this.params.putAll(request.getParameterMap()); 
    }

    @Override
	public String getHeader(String name) {
    	
    	String value = this.request.getHeader(name);
        if (value == null) {
            return null;
        }
        return filterDatas(value);
        // return super.getHeader(name);
	}

    @Override
    public String getParameter(String name) {
    	
    	
    	String value = super.getParameter(name);
    	if (value == null) {
            return null;
        }
    	return filterDatas(value);
    	
    	// return super.getParameter(name);
    }
    
    @Override
    public String[] getParameterValues(String name) {
        
        String[] values = super.getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                values[i] = filterDatas(values[i]);
            }
        }
        return values;
        // return super.getParameterValues(name);
    }
    
    /*
     * STRUTS2调用此方法获取请求参数
     * 
     * WEBLOGIC下不允许修改request.getParameterMap()返回的MAP对象
     * 
     * 
     * @see javax.servlet.ServletRequestWrapper#getParameterMap()
     */
    @Override
    public Map<String, String[]> getParameterMap() {
    
    	// HashMap<String, String[]> paramMap = (HashMap<String, String[]>) super.getParameterMap();

        for (Iterator<Entry<String, String[]>> iterator = params.entrySet().iterator(); iterator.hasNext(); ) {
            Map.Entry<String, String[]> entry = (Map.Entry<String, String[]>) iterator.next();
            String[] values = (String[]) entry.getValue();
            for (int i = 0; i < values.length; i++) {
                if (values[i] instanceof String) {
                    values[i] = filterDatas(values[i]);
                }
            }
            entry.setValue(values);
        }
        
        return params;
        // super.getParameterMap();
    }
    
	/**
	 * 过滤参数内容中的敏感字符
	 * 
	 * @param input 被过滤字符串
	 * @return
	 * @author Juno add at 2016.09.05.
	 * @author Juno update at 2016.12.05.
	 */
	private String filterDatas(String input) {
		
		if (StringUtils.isBlank(input)) {
			return "";
		}
		// 过滤敏感字符
		return input.replaceAll("\\s+\'|\'\\s+|\\s+\"|\"\\s+|<|>|(?i)\\s+or\\s+|(?i)\\s+and\\s+|(?i)exec\\s+|(?i)insert\\s+|(?i)select\\s+|(?i)delete\\s+|(?i)update\\s+|(?i)count\\s+|(?i)chr\\s+|(?i)mid\\s+|(?i)master\\s+|(?i)truncate\\s+|(?i)char\\s+|(?i)declare\\s+|(?i)script\\s+|(?i)frame\\s+|(?i)etc\\s+|(?i)style\\s+|(?i)expression\\s+", "");
	}
}

过滤器类:

package com.jz.org.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.jz.org.wrapper.JzHttpServletRequest;

/**
 * HTTP请求头、请求参数等的转义过滤器
 * 
 * @author       Juno
 * @since		 1.6
 * @version      1.0
 * @date 	     Juno add at 2016.04.14
 */
public class JzServletRequestFilter implements Filter {

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;

        JzHttpServletRequest jzHttpServletRequest = new JzHttpServletRequest(httpServletRequest);
        
        chain.doFilter(jzHttpServletRequest, response);
    }

    public void init(FilterConfig filterConfig) throws ServletException {
        
    }
    
    public void destroy() {
        
    }
}

过滤器配置:

  	<!-- 请求头、请求参数等的转义过滤器-->
  	<filter>
		<filter-name>JzServletRequestFilter</filter-name>
		<filter-class>com.jz.org.filter.JzServletRequestFilter</filter-class>
  	</filter>

	<filter-mapping>
		<filter-name>JzServletRequestFilter</filter-name>
		<url-pattern>/*</url-pattern>
  	</filter-mapping>

 

转载于:https://my.oschina.net/u/1176770/blog/801203

cijian7131
关注
java请求参数进行过滤_javaWeb如何写拦截器过滤前端所有请求中的数据
weixin_36035610的博客
02-24 1291
1、重新对request进行包装,需要继承HttpServletRequestWrapperpackage com.topcheer.common;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletRequestWrapper;import org.apache.commons.lan...
java 过滤http请求头_JAVAWEB开发实现请求头请求参数过滤
weixin_31486383的博客
02-16 1814
1、服务器容器取得客户端发送的参数都是通过HttpServletRequest来获取的,HttpServletRequest存在如下三种获取参数的方法:getParameter(name),返回单个值。getParameterValues(name),返回一个数组。getParameterMap(),把客户端提交参数封装为一个Map返回。K:name,V:value。当我们使用servlet的时候...
java判断浏览器杂项_java简单代码判断浏览器代码
weixin_33401529的博客
02-13 148
java简单代码判断浏览器代码import java.util.regex.Matcher;import java.util.regex.Pattern;public class BrowseTool {private final static String IE9="MSIE 9.0";private final static String IE8="MSIE 8.0";private fina...
请求数据含有特殊字符进行转义的过滤器-Java
最新发布
2301_77191133的博客
08-12 383
请求数据含有特殊字符进行转义的过滤器-Java
java过滤请求参数中的非法字符,防止XSS攻击、SQL盲注等
platformadmin的博客
04-21 1021
//过滤请求参数中的非法字符,防止XSS攻击、SQL盲注等 String reg = “(?:’)|(?:–)|(/\(?:.|[\n\r])?\*/)|(\b(frame|<frame|iframe|<iframe|img|<img|javascript|<javascript|script|<script|alert|select|update|and|or|de...
Java Web Service中的 过滤器(Filter)
iteye_14385的博客
09-28 392
一直对java web service中的过滤器比较迷惑,仔细读了一下sun 的文章《The Essentials of Filters》。作一下总结:文章网址:htttp://java.sun.com/products/servlet/Filters.html Filter是用来拦截request 或 response的程序。对request或response作相应转换,或使用其中的信息。...
javaweb项目实(含笔记与详细实现步骤)
07-20
过滤器用于在请求处理前后进行拦截和修改,监听器则可以监听特定的Web事件,如session创建、销毁等,从而实现一些额外的功能。 8. **Struts、Spring MVC或JSF框架**:除了基础的Servlet和JSP,还可以学习使用流行的...
JavaWeb开发实战源码
06-11
JavaWeb开发实战源码是学习和理解Web应用程序开发的一个重要资源。这个压缩包可能包含了从基础到高级...同时,对于初学者来说,这是一个很好的实践和学习平台,可以对照源码逐步学习和调试,加深对JavaWeb开发的理解。
javaweb中Filter(过滤器)的常见应用
09-03
Java Web开发中,Filter(过滤器)是一个强大的工具,它可以拦截HTTP请求和响应,对数据进行预处理或后处理,以实现各种功能。本文将深入探讨javaweb中Filter的常见应用,以及如何解决全站字符编码问题。 首先,...
通过继承HttpServletRequestWrapper过滤请求参数
qq_41505160的博客
10-14 1005
一、过滤请求参数首先要创建一个过滤器 1.实现 javax.servlet.Filter接口 2.如有必要可重写过滤器的初始化方法和销毁方法 3.配置过滤器使其生效,这里使用SpringBoot注解的方式配置 @javax.servlet.annotation.WebFilter和@org.springframework.core.annotation.Order() 详情见下面示例 4.重写 doFilter 过滤方法实现过滤 二、实现参数过滤 1. 继承HttpServletRequestWrapper
HttpServletRequestWrapper 用法
fishhappy365的专栏
10-10 908
Servlet规范中所引入的filter令人心动不已,因为它引入了一个功能强大的拦截模式。Filter是这样一种Java对象,它能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。你可以使用filter来实现特定的任务,比如验证用户输入,以及压缩web内容。但你拟富有成效地使用过滤...
HttpServletRequestWrapper结合过滤实现参数自动填充
OUOll的博客
11-08 338
import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import java.util.HashMap; import java.util.Map; public class RequestParamWrapper extends HttpServlet...
关于HttpServletRequestWrapper及Filter过滤器的使用
f374157531的博客
05-09 653
解决HttpServletRequest只能读取一次流后无法获取的问题。解决整合Filter过滤器时遇到的问题:过滤器urlPatterns不生效、过滤器不起作用。
继承HttpServletRequestWrapper以实现在Filter中修改HttpServletRequest参数
热门推荐
lawliet的博客
02-17 1万+
一 简介 如题所示,有时候我们需要在一个请求到达Controller之前能够截获其请求,并且根据其具体情况对 HttpServletRequest 中的参数进行过滤或者修改。这时,有的同学可能会想:我们是否可以在一个Filter中将 HttpServletRequest 里的所有参数都取出来分别进行过滤然后再放回到该HttpServletRequest 中呢? 很显然,在 HttpServle
java请求参数进行过滤_使用servlet过滤器修改请求参数
weixin_42297982的博客
02-24 343
为了记录,这是我最后写的课程:import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.Serv...
使用过滤过滤请求参数中的敏感信息
zlliuh的博客
06-14 1784
上节已经介绍了过滤器的使用方法,现在我们来看下实际场景中,如何使用过滤过滤请求参数中的敏感信息,主要针对get、post两种请求方式过滤。 1. get请求参数过滤 get请求,可以从request中拿到请求参数,看参数中是否包含敏感信息,假设敏感信息是"傻瓜" HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest; boolean flag = true; String b
servlet请求参数和返回页面内容的处理(HttpServletRequestWrapper与HttpServletResponseWrapper)...
xiaohuanxiong6616的专栏
05-07 609
        Servlet规范中的filter引入了一个功能强大的拦截模式。Filter能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。         你可以使用filter来实现特定的任务,比如验证用户输入、请求参数以及压缩web内容等操作。还可以在response...
Filter过滤请求,处理请求头及返回数据
qq_41945661的博客
07-06 1760
闲话少说,上代码: 代理类,主要为过滤Response返回数据: public class ResponseWrapper extends HttpServletResponseWrapper { private ByteArrayOutputStream buffer; private ServletOutputStream out; public ResponseWrapper(HttpServletResponse httpServletResponse) {
JavaWEB开发深入理解Servlet过滤
"JavaWEB开发-Servlet过滤器教学材料,主要介绍了Servlet过滤器的基本概念、工作原理以及在JavaWEB开发中的应用。" 在JavaWEB开发中,Servlet过滤器(Filter)是一个重要的组件,用于增强和扩展Web应用程序的功能。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值