过滤器
依赖于servlet容器。在实现上基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作,获取我们想要获取的数据,比如:在过滤器中修改字符编码;在过滤器中修改HttpServletRequest的一些参数,包括:过滤低俗文字、危险字符等。
-
通过过滤器的名字,进行顺序的约定,比如LogFilter和AuthFilter,此时AuthFilter就会比LogFilter先执行,因为首字母A比L前面。
-
通过@Order指定执行顺序,值越小,越先执行
利用WebFilter注解配置
MyWebFilter:
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import org.springframework.stereotype.Component;
/*
* @author uv
* @date 2018/9/28 18:34
*
* 使用@WebFilter首先过滤器
* 通过过滤器预防xss
*/
@Component
@WebFilter(filterName = "myWebFilter", urlPatterns = {"/*"})
public class MyWebFilter implements Filter{
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
throws IOException, ServletException {
//修改编码
request.setCharacterEncoding("utf-8");
//预防xss攻击
//链路 直接传给下一个过滤器
System.out.println("test");
filterChain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
}
@Override
public void destroy() {
}
}
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.commons.lang.StringEscapeUtils;
/*
* @author uv
* @date 2018/9/28 18:45
* 处理request中的参数
*/
public class XSSRequestWrapper extends HttpServletRequestWrapper{
//构造方法
public XSSRequestWrapper(HttpServletRequest request) {
super(request);
}
//处理参数
@Override
public String getParameter(String name) {
String value = super.getParameter(name);
return dealString(value);
}
//处理参数值
@Override
public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = dealString(values[i]);
}
return encodedValues;
}
//处理字符串,过滤
private String dealString(String value) {
if (value != null) {
// 采用spring的StringEscapeUtils工具类 实现
value = StringEscapeUtils.escapeHtml(value);
value = StringEscapeUtils.escapeJavaScript(value);
value = StringEscapeUtils.escapeSql(value);
}
return value;
}
}
拦截器
以上的过滤器属于Servlet的api,我们在开发中处理利用以上的进行过滤web请求时,还可以使用Spring提供的拦截器(HandlerInterceptor)进行更加精细的控制。
自定义拦截器
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
/*
* @author uv
* @date 2018/9/28 19:12
* 自定义拦截器
*/
public class MyInterceptor implements HandlerInterceptor{
//请求前调用
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String name = request.getParameter("name");
if("Tom".equals(name)) {
return true;
}
//返回false,请求中断
return false;
}
//请求后调用
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
//相关处理...
}
//请求调用完成后回调方法,即在视图渲染完成后回调
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
//相关处理...
}
}
拦截器注册
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
/*
* @author uv
* @date 2018/9/28 19:19
* 拦截器注册类
*/
@Configuration
public class WebMvcConfigurer extends WebMvcConfigurerAdapter{
//添加拦截器
@Override
public void addInterceptors(InterceptorRegistry registry) {
//注册拦截器 拦截规则
//多个拦截器时 以此添加 执行顺序按添加顺序
registry.addInterceptor(new MyInterceptor()).addPathPatterns("/*");
}
}