解决在Filter中读取Request中的流后, 然后在Controller中@RequestBody的参数无法注入而导致 400 错误

最新推荐文章于 2024-03-29 22:13:51 发布
最新推荐文章于 2024-03-29 22:13:51 发布
阅读量7k 收藏 3
点赞数
分类专栏: web spring 文章标签: 400错误 RequestBody 流不能被重复读取 springmvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_gchsh/article/details/79207460
版权

摘要: 大家知道, StringMVC中@RequestBody是读取的流的方式, 如果在之前有读取过流后, 发现就没有了.

我的Filter为了验证请求参数(包括Request Payload的数据)是否有非法符号(sql注入)

package com.ks.tow.common.filter;


import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.PrintWriter;
import java.io.Reader;
import java.nio.charset.Charset;
import java.util.ArrayList;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.List;
import java.util.Map;


import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletInputStream;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import javax.servlet.http.HttpServletResponse;


import org.apache.commons.io.IOUtils;
import org.springframework.web.util.ContentCachingRequestWrapper;


import com.alibaba.fastjson.JSONObject;
import com.ks.shop.util.secure.CheckSQLInjectionUtil;
import com.ks.tow.common.enums.HttpStatus;
import com.ks.tow.util.StringUtil;


/**
 * 防sql注入攻击过滤
 * @author LIU
 *
 */
public class CheckSQLInjectionFilter implements Filter {
	
	private List<String> excludes = new ArrayList<>();
	
	public void setExcludes(List<String> excludes) {
		this.excludes = excludes;
	}
	public List<String> getExcludes() {
		return excludes;
	}


	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		String excludes = filterConfig.getInitParameter("excludes");
		if (StringUtil.isNotBlank(excludes)) {
			String[] array = excludes.split(",");
			for (String url : array) {
				this.excludes.add(url);
			}
		}
	}


	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest)request;
		HttpServletResponse resp = (HttpServletResponse)response;
		String requestPath = req.getRequestURI();
		requestPath = requestPath.substring(req.getContextPath().length() + 1);
		while (requestPath.endsWith("/")){ //预防uri末尾有 ‘/’
			requestPath = requestPath.substring(0, requestPath.length()-1);
		}
		for (String str : excludes) {
			if (str.endsWith("*")) {
				if (requestPath.startsWith(str.substring(0, str.length() - 1))){
					chain.doFilter(req, resp);
					return;
				}
			}
			if(str.equals(requestPath)) {
				chain.doFilter(req, resp);
				return;
			}
		}
		Map<String, Object> paramMap = new HashMap<>();
		String type = req.getContentType();
		ServletRequest requestWrapper = null;  
	    if(req instanceof HttpServletRequest) {  
	    	   requestWrapper = new ReaderReuseHttpServletRequestWrapper(req); 
	    }
		Reader reader = requestWrapper.getReader();
		// 读取Request Payload数据
		String Payload = IOUtils.toString(reader);
		if (type != null && type.startsWith("application/json")){
			JSONObject jsonObject = JSONObject.parseObject(Payload);
			if (jsonObject != null) {
				for(Map.Entry<String, Object> entry : jsonObject.entrySet()) {
					paramMap.put(entry.getKey(), entry.getValue());
				}
			}
		} else if(type != null && type.startsWith("text/plain")) {
			String[] kvs = Payload.split("&");
			for (String kv : kvs) {
				String[] lf = kv.split("=");
				paramMap.put(lf[0], lf[1]);
			}
			
		}
		// 获取请求参数
		Enumeration en = req.getParameterNames();
		while(en.hasMoreElements()) {
			String name = (String) en.nextElement();
			String value = req.getParameter(name);
			paramMap.put(name, value);
		}
		for(Map.Entry<String, Object> node : paramMap.entrySet()) {
			boolean valid = true;
			if (node.getValue() instanceof String)
				valid = CheckSQLInjectionUtil.validate((String)node.getValue());
			if (!valid) {
				resp.setContentType("application/json;charset=UTF-8");
				PrintWriter writer = resp.getWriter();
				writer.write("{\"success\":false,\"msg\":\""+HttpStatus.SECURITY.getName()+"\",\"code\":"+HttpStatus.SECURITY.getCode()+"}");
				writer.flush();
				return;
			}
		}
		chain.doFilter(requestWrapper, resp);
	}


	@Override
	public void destroy() {
		
	}
	
	/**
	 * 两个方法都注明方法只能被调用一次,由于RequestBody是流的形式读取,
	 * 那么流读了一次就没有了,所以只能被调用一次。
	 * 既然是因为流只能读一次的原因,那么只要将流的内容保存下来,就可以实现反复读取了
	 * @author LIU
	 *
	 */
	public static class ReaderReuseHttpServletRequestWrapper extends HttpServletRequestWrapper 	{


	    private final byte[] body;  
	      
	    public ReaderReuseHttpServletRequestWrapper(HttpServletRequest request)   
	    		throws IOException {  
	        super(request);
	        body = IOUtils.toString(request.getReader()).getBytes(Charset.forName("UTF-8"));
	    }  
	  
	    @Override  
	    public BufferedReader getReader() throws IOException {  
	        return new BufferedReader(new InputStreamReader(getInputStream()));  
	    }  
	  
	    @Override  
	    public ServletInputStream getInputStream() throws IOException {  
	        final ByteArrayInputStream bais = new ByteArrayInputStream(body);  
	        return new ServletInputStream() {


	            @Override
	            public int read() throws IOException {
	                return bais.read();
	            }
	
	        }; 
	    }  
	}
}

请注意这里的编码, 最好将其转换成UTF-8的编码格式, 不然你获取到的中文则会使乱码的. 我自己也习惯于UTF-8的编码.

这样子就应该差不多了哦~

以下是校验sql注入的关键代码

public final class CheckSQLInjectionUtil {
	private static final String sqlReg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"  
            + "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|"
            + "ascii|declare|exec|count|master|into|drop|execute)\\b)";
	
	private static Pattern pattern = Pattern.compile(sqlReg, Pattern.CASE_INSENSITIVE);
	
	/**
	 * 检查SQL注入
	 * @param str
	 */
	public static boolean validate(String str) {
		if (pattern.matcher(str).find()) {
			return false;
		}
		return true;
	}
	/**
	 * 检查SQL注入
	 * @param strs
	 */
	public static boolean validate(String[] strs) {
		for (String str : strs) {
			if (pattern.matcher(str).find()) {
				return false;
			}
		}
		return true;
	}
	
}
冷down
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过过滤器(Filter解决JSP的Post和Request文乱码问题
10-25
主要介绍了jsp通过过滤器(Filter解决JSP的Post和Request文乱码问题的方法,需要的朋友可以参考下
SpringBoot过滤器获取Request的body数据
Crystalqy的博客
11-16 574
由于在SpringBoot过滤器或者拦截器requestgetReader()和getInputStream()只能调用一次,到controller里数据就为空了,因此会导致Controller@RequestBody参数无法注入导致 400 错误
参数有空格_使用SpringBoot使用过滤器去除@RequestBody参数两端的空格
weixin_39676633的博客
12-24 622
使用SpringBoot使用过滤器去除@RequestBody参数两端的空格使用SpringBoot使用过滤器去除@RequestBody参数两端的空格;一般我们去普通的请求我们都会对请求参数进行验证。Java也提供了@notNull和@notBlank这种验证方式,但是对@RequestBody 这种只能验证是不是非空,对数据两端的空格未进行处理,同时大家也不想遍历一遍参数然后再处理再...
Java的注解 @valid @RequestBody @ApiOperation @Builder@NoArgsConstructor@AllArgsConstructor@Data
最新发布
weixin_41715954的博客
03-29 333
在 Java ,特别是在 Spring 框架,@Valid 是一个常用的注解,用于在方法参数上执行 Bean Validation。Bean Validation 是 Java EE 的一部分,它提供了一组用于验证 JavaBean 属性的注解。注意:要使用 @Valid 注解,你需要确保你的项目包含了 Bean Validation 的依赖,并且已经配置了 Spring 的验证支持。当你使用 @Valid 注解时,Spring 会检查标注了该注解的对象的属性,以确保它们满足指定的验证规则。
SpringBoot+Xss过滤(@RequestBody参数过滤Xss)
Answer0902的博客
07-07 2515
记一次SpringBoot+Xss过滤 XssFilter过滤器 import org.springframework.stereotype.Component; import org.springframework.web.multipart.MultipartHttpServletRequest; import org.springframework.web.multipart.commons.CommonsMultipartResolver; import javax.servlet.*; im.
通过过滤器filter修改request的body请求数据、拦截器进行token登录验证
weixin_45100257的博客
12-03 4818
通过过滤器filter修改request的body请求数据、拦截器进行token登录验证 过滤器: 1、以stream的方式获取requestbody(json)参数。 2、递归获取userIdSet集合并写入request的stream。 3、重写HttpServletRequestWrapper将保存的reqest保存下来再填充进去;以便controller@RequestBody再次读取。 拦截器: 1、根据token从redis获取用户信息验证(登录验证)。 1.过滤器Encryptio
拦截器与过滤器(二)拦截器和过滤器获取@RequestBody封装的参数
w_t_y_y的博客
12-05 7273
业务,我们经常需要自定义拦截器来记录用户行为日志,普通的参数可以从request的getParameterMap获取,而@RequestBody参数需要从request的InputStream获取,但是InputStream只能读取一次,如果拦截器读取参数,controler层就读取不到参数了,所以这类参数需要单独获取,可以把request封装一下,copy一份requet,一个用于在拦...
【Bug】使用Filter替换@RequestBody注解参数的指定字符无效
不务正业的野猴子
09-01 1706
项目前后端交互数据类型使用json字符串,由于显示原因需要对指定字符进行转义处理,以前的处理方式是将HttpServletRequest重新封装,重写getParameter()等取值方法,在重写的取值方法获取到参数值后对该值进行处理。使用Filterrequest对象转换成我们之定义的HttpServletRequest对象。这样当我们使用request对象取值时就会对指定的字符进行处理。 ...
SpringBoot之Filter拦截器的使用 — 获取requestBody解决nested exception is java.io.IOException: Stream closed
热门推荐
liaonanfeng88的CSDN博客
10-17 2万+
直接问题处理过程; 异常如下: 异常摘要:I/O error while reading input message; nested exception is java.io.IOException: Stream closed org.springframework.http.converter.HttpMessageNotReadableException: I/O error whil...
XssFilter过滤之后导致@RequestBody无法解析的参数的问题
SugarSunset的博客
05-19 3736
问题: 我们遇到的问题是,使用XssFilter对请求参数过滤之后,接口无法再接受到请求参数。 原因:在工程定义了处理请求的MessageConverter。而定义的Converter对编码有要求。 本质:(以下为个人理解) spring在处理消息时,先循环内部的messageConverter,找出可用的并且可读的。然后根据对应的解析类去解析对应的输入。我们使用fastJsonMessag...
web篇(一)过滤器、拦截器、监听器
一切安好
11-10 1315
项目之前也都用过这些东西,现在写出来,一是记录在项目的使用,二是全面认识一下三大利器。思来想去,我认为这三大利器总的目的是为了解耦,让代码更加简洁可读,所以问题来了,它是怎样实现的呢?这种方式是不是我也可以用到我自己编码的过程呢?这都要自己一点点去探索,可能这篇不能马上解决这个问题,但在后续的文章会慢慢解读。 目录 一、过滤器和拦截器的区别 二、监听器 三、使用场景 四、总结 ...
java 在Jetty9使用HttpSessionListener和Filter
08-30
主要介绍了java 在Jetty9使用HttpSessionListener和Filter的相关资料,需要的朋友可以参考下
在Spring MVC或Spring Boot使用Filter打印请求参数问题
12-21
使用Spring MVC或Spring Boot打印或记录日志一般使用AOP记录Request请求和Response响应参数,在不使用AOP的前提下,如果在Filter打印日志,在打印或消费请求类型为Content-Type:application/json的请求时,会...
详解在Spring MVC或Spring Boot使用Filter打印请求参数问题
08-19
主要介绍了详解在Spring MVC或Spring Boot使用Filter打印请求参数问题,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Java-filter过滤器在项目开发的应用.docx
12-13
Java-filter过滤器在项目开发的应用.docx
HttpServletRequestWrapper的使用:二次封装/处理Request
weixin_38370441的博客
08-31 3795
ResponseWrapper同理 背景 有段程序使用Http的方式与业务方交互,而且是明文传输数据。我方的代码已经打包放在服务器上运行了很长时间,这时突然要求修改数据传输的方式,要求加密后再传输,而我方的原有的代码不能改变,以防止引发其它问题。 如何在不修改我方现有的代码的前提下,满足合作商的要求? 技术方案 采用Filter+HttpServletRequestWrapper就可以解决这个问题。 首先:在filter拦截到加密后的请求,将参数解密,然后组装成一个新的明文请求串。 然后:重写HttpSe
乱码过滤器 tomcat7 乱码处理后 servlet 跳转 空白页 wrapper包装request无法取值
AaronSwarts的博客
01-22 976
一下是过滤器处理tomcat 7 8 乱码问题 @WebFilter("/*") // 过滤所有资源 public class EncodingFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest serv
【SpringBoot】SpringBoot项目 报java.nio.charset.MalformedInputException: Input length = 1异常
03-03 1553
因重写了HttpServletRequestWrapper的相关方法, 未过滤掉MultipartFiler, 导致报java.nio.charset.MalformedInputException:Inputlength=1异常
Java Web项目解决 sql 注入问题(过滤器进行过滤解决
qq_37537009的博客
07-03 1750
** 1、编写过滤器类—SqlFilter.java ** package com.yl.zp.controller; import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException
springbootfilter获取了body,导致controller无法获取body,如何解决
05-26
为了解决这个问题,可以使用HttpServletRequestWrapper来包装HttpServletRequest,从而在Filter读取Body后,仍然可以将HttpServletRequest传递给Controller。 以下是一个示例代码: ```java public class ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值