public void init(FilterConfig arg0) throws ServletException {
}
@Override
public void destroy() {
}
}
复制代码
添加参数过滤配置文件:
import gc.cnnvd.framework.core.filter.ParamsFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import javax.servlet.DispatcherType;
@Configuration
public class ParameterTrimConfig {
/**
-
去除参数头尾空格过滤器
-
@return
*/
@Bean
public FilterRegistrationBean parmsFilterRegistration() {
FilterRegistrationBean registration = new FilterRegistrationBean();
registration.setDispatcherTypes(DispatcherType.REQUEST);
registration.setFilter(new ParamsFilter());
registration.addUrlPatterns(“/*”);
registration.setName(“paramsFilter”);
registration.setOrder(Integer.MAX_VALUE-1);
return registration;
}
}
复制代码
处理都交给了这货:
import com.alibaba.fastjson.JSON;
import gc.cnnvd.framework.config.converter.JsonValueTrimUtil;
import gc.cnnvd.framework.util.JsoupUtil;
import org.apache.commons.io.IOUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.http.HttpHeaders;
import org.springframework.http.MediaType;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.nio.charset.StandardCharsets;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
/**
-
@Auther linmengmeng
-
@Date 2021-03-25 15:47
-
Description : 请求参数的处理,
-
- 去除参数前后空格
-
- 过滤XSS非法字符
*/
public class ParameterRequestWrapper extends HttpServletRequestWrapper {
private Map<String , String[]> params = new HashMap<>();
public ParameterRequestWrapper(HttpServletRequest request) {
// 将request交给父类,以便于调用对应方法的时候,将其输出,其实父亲类的实现方式和第一种new的方式类似
super(request);
//将参数表,赋予给当前的Map以便于持有request中的参数
Map<String, String[]> requestMap=request.getParameterMap();
this.params.putAll(requestMap);
this.modifyParameterValues();
}
/**
- 重写getInputStream方法 post类型的请求参数必须通过流才能获取到值
*/
@Override
public ServletInputStream getInputStream() throws IOException {
//非json类型,直接返回
if (!MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(super.getHeader(HttpHeaders.CONTENT_TYPE))){
return super.getInputStream();
}
//为空,直接返回
String json = IOUtils.toString(super.getInputStream(), StandardCharsets.UTF_8);
if (StringUtils.isEmpty(json)) {
return super.getInputStream();
}
Object resultObject = JsonValueTrimUtil.jsonStrTrim(json);//这里处理的是json传参的参数
ByteArrayInputStream bis = new ByteArrayInputStream(JSON.toJSONString(resultObject).getBytes(StandardCharsets.UTF_8));
return new CustomServletInputStream(bis);
}
/**
- 将parameter的值去除空格后重写回去
*/
public void modifyParameterValues(){
Set set = params.keySet();
Iterator it = set.iterator();
while(it.hasNext()){
String key = it.next();
String[] values = params.get(key);
values[0] = values[0].trim();
values[0] = JsoupUtil.clean(values[0]);//这里处理的是form传参的参数
params.put(key, values);
}
}
/**
- 重写getParameter 参数从当前类中的map获取
*/
@Override
public String getParameter(String name) {
String[]values = params.get(name);
if(values == null || values.length == 0) {
return null;
}
return values[0];
}
/**
- 重写getParameterValues
*/
@Override
public String[] getParameterValues(String name) {//同上
return params.get(name);
}
class CustomServletInputStream extends ServletInputStream{
private ByteArrayInputStream bis;
public CustomServletInputStream(ByteArrayInputStream bis){
this.bis=bis;
}
@Override
public boolean isFinished() {
return true;
}
@Override
public boolean isReady() {
return true;
}
@Override
public void setReadListener(ReadListener listener) {
}
@Override
public int read() throws IOException {
return bis.read();
}
}
}
复制代码
上面form传的参数直接处理了,那么要是JSON传的参数,就要借助下面的工具类了:
import cn.hutool.json.JSONTokener;
import com.alibaba.fastjson.JSONArray;
import com.alibaba.fastjson.JSONObject;
import gc.cnnvd.framework.util.JsoupUtil;
import org.apache.commons.lang3.StringUtils;
import java.util.Map;
import java.util.Set;
/**
-
@Auther linmengmeng
-
@Date 2021-03-25 15:47
-
- 去除Json字符串中的属性值前后空格的工具类
-
- 去除 XSS 攻击字符
*/
public class JsonValueTrimUtil {
public static Object jsonStrTrim(String jsonStr){
if (StringUtils.isBlank(jsonStr)){
return “”;
}
Object typeObject = new JSONTokener(jsonStr).nextValue();
if (typeObject instanceof cn.hutool.json.JSONObject){
return jsonObjectTrim(JSONObject.parseObject(jsonStr));
}
if (typeObject instanceof cn.hutool.json.JSONArray){
return jsonArrayTrim(JSONArray.parseArray(jsonStr));
}
jsonStr = JsoupUtil.clean(jsonStr);
return jsonStr.trim();
}
/**
-
@Description: 传入jsonObject 去除当中的空格
-
@param jsonObject
-
@return
*/
public static JSONObject jsonObjectTrim(JSONObject jsonObject){
// 取出 jsonObject 中的字段的值的空格
Set<Map.Entry<String, Object>> entrySets = jsonObject.entrySet();
entrySets.forEach(entry -> {
Object value = entry.getValue();
if (value == null){
return;
}
if (value instanceof String) {
String resultValue = (String) value;
if (StringUtils.isNotBlank(resultValue)){
resultValue = resultValue.trim();
resultValue = JsoupUtil.clean(resultValue);
jsonObject.put(entry.getKey(), resultValue);
}
return;
}
if (value instanceof JSONObject){
jsonObject.put(entry.getKey(), jsonObjectTrim((JSONObject) value));
return;
}
if (value instanceof JSONArray){
jsonObject.put(entry.getKey(), jsonArrayTrim((JSONArray) value));
return;
}
});
return jsonObject;
}
/**
-
@Description: 将 jsonarry 的jsonObject 中的value值去处前后空格
-
@param arr
-
@return
*/
public static JSONArray jsonArrayTrim(JSONArray arr){
if( arr != null && arr.size() > 0){
Object tempObject = null;
for (int i = 0; i < arr.size(); i++) {
tempObject = arr.get(i);
if (tempObject instanceof String){
arr.set(i, tempObject );
continue;
}
JSONObject jsonObject = (JSONObject) arr.get(i);
// 取出 jsonObject 中的字段的值的空格
jsonObject = jsonObjectTrim(jsonObject);
arr.set(i, jsonObject );
}
}
return arr;
}
}
复制代码
测试一下:
import gc.cnnvd.framework.common.api.ApiResult;
import gc.cnnvd.framework.log.annotation.OperationLogIgnore;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiModel;
import io.swagger.annotations.ApiModelProperty;
import io.swagger.annotations.ApiOperation;
import lombok.Data;
import lombok.experimental.Accessors;
import lombok.extern.slf4j.Slf4j;
import org.springframework.validation.annotation.Validated;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。
因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**
深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。
因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
[外链图片转存中…(img-Ur0vPw5m-1714955480649)]
[外链图片转存中…(img-jCSzrL7B-1714955480650)]
[外链图片转存中…(img-NRHjTH5x-1714955480650)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!