接口安全防线注解加解密(三):HttpServletRequestWrapper处理文件被破坏的问题

最新推荐文章于 2024-07-24 14:08:33 发布
最新推荐文章于 2024-07-24 14:08:33 发布
阅读量167 收藏
点赞数 2
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30240219/article/details/139819535
版权

1.对文件上传的的请求不进行string读取,进行byte[] 转换
2.不对文件上传加密
3.文件上传有数据时,原路返还

重点是

 bodyBytes= StreamUtils.copyToByteArray(inputStream);


   if(bodyBytes!=null&&bodyBytes.length>0){
            byteArrayInputStream = new ByteArrayInputStream(bodyBytes);
        }else {
            byteArrayInputStream = new ByteArrayInputStream(body.getBytes());
   }


import org.springframework.http.MediaType;
import org.springframework.util.StreamUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.util.*;

public class RequestWrapper extends HttpServletRequestWrapper {
    private String body;
    private byte[] bodyBytes;
    private Map<String, String[]> params = new HashMap<String, String[]>();

    public RequestWrapper(HttpServletRequest request) {
        super(request);
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        InputStream inputStream = null;
        try {
            inputStream = request.getInputStream();
            String contentType = request.getContentType();
            //RequestWrapper继承了HttpServletRequestWrapper,获取request并读取了inputstream把inputsream转为string,而文件上传时,inpustream转为string,就会出现解析出错,文件损坏
            if (contentType!=null&& contentType.startsWith(MediaType.MULTIPART_FORM_DATA_VALUE)) {
                bodyBytes= StreamUtils.copyToByteArray(inputStream);
                inputStream= new ByteArrayInputStream(bodyBytes);
            }

            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
                char[] charBuffer = new char[128];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {

        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        this.body = stringBuilder.toString();
        this.params.putAll(request.getParameterMap());
    }


    @Override
    public Map<String, String[]> getParameterMap() {
        return params;
    }


    @Override
    public ServletInputStream getInputStream() throws IOException {

         ByteArrayInputStream byteArrayInputStream =null;
        if(bodyBytes!=null&&bodyBytes.length>0){
            byteArrayInputStream = new ByteArrayInputStream(bodyBytes);
        }else {
            byteArrayInputStream = new ByteArrayInputStream(body.getBytes());
        }

        ByteArrayInputStream finalByteArrayInputStream = byteArrayInputStream;
        ServletInputStream servletInputStream = new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {
            }

            @Override
            public int read() throws IOException {
                return finalByteArrayInputStream.read();
            }
        };
        return servletInputStream;
    }


    // 重载一个构造方法
    public RequestWrapper(HttpServletRequest request, Map<String, Object> extendParams, String body) {
        this(request);
        if (body != null && body.length() > 0) {
            setBody(body);
        }
        if (extendParams.size() > 0) {
            addAllParameters(extendParams);// 这里将扩展参数写入参数表
        }
    }


    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }

    public String getBody() {
        return this.body;
    }

    // 赋值给body字段
    public void setBody(String body) {
        this.body = body;
    }


    @Override
    public String getParameter(String name) {// 重写getParameter,代表参数从当前类中的map获取
        String[] values = params.get(name);
        if (values == null || values.length == 0) {
            return null;
        }
        return values[0];
    }

    public String[] getParameterValues(String name) {// 同上
        return params.get(name);
    }


    /**
     * 修改此方法主要是因为当RequestMapper中的参数为pojo类型时,
     * 会通过此方法获取所有的请求参数并进行遍历,对pojo属性赋值
     *
     * @return
     */
    @Override
    public Enumeration<String> getParameterNames() {// 同上
        ArrayList<String> list = list = new ArrayList<>();
        for (Map.Entry<String, String[]> entry : params.entrySet()) {
            list.add(entry.getKey());
        }
        return Collections.enumeration(list);
    }

    public void addAllParameters(Map<String, Object> otherParams) {// 增加多个参数
        for (Map.Entry<String, Object> entry : otherParams.entrySet()) {
            addParameter(entry.getKey(), entry.getValue());
        }
    }


    public void addParameter(String name, Object value) {// 增加参数
        if (value != null) {
            if (value instanceof String[]) {
                params.put(name, (String[]) value);
            } else if (value instanceof String) {
                params.put(name, new String[]{(String) value});
            } else {
                params.put(name, new String[]{String.valueOf(value)});
            }
        }
    }

    public byte[] getBodyBytes() {
        return bodyBytes;
    }

    public void setBodyBytes(byte[] bodyBytes) {
        this.bodyBytes = bodyBytes;
    }
}
Bright_ Chen
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HttpServletRequestWrapper应用(二):包装文件上传请求
03-19
在标题“HttpServletRequestWrapper应用(二):包装文件上传请求”中,我们将探讨如何利用这个类来处理文件上传的场景。在这个过程中,我们将深入理解`HttpServletRequestWrapper`的工作原理,以及如何与Servlet...
HttpServletRequestWrapper
05-08
这是一个关于HttpServletRequestWrapper使用的列子,工作需要,所以传上来的。
Springboot上传文件,但是使用CommonsMultipartResolver解析 并 使用 Multipartfile接收到文件后发现文件变大,且文件打不开,文件损坏
daily886的博客
06-14 964
/ 保存request body的数据// 保存body byte[]// 解析request的inputStream(即body)数据,转成字符串try {//TODO 克隆 inputstream 到 byte[]= null) {} else {= null) {try {= null) {try {@Override。
HttpServletRequestWrapper 上传文件问题
zx07160501的博客
01-13 2755
HttpServletRequestWrapper 结合 filter上传文件出错 在方法中已经解决;主要思路是,request进入过滤器时,判断类型如果是multipart类型,则将request手动封装为multipart类型。 HttpServletRequest request = (HttpServletRequest) req; String contentType = req.getContentType(); String method = "m
关于servlet inputstream stream closed异常,以及HttpServletRequestWrapper 上传文件问题
smlie_shuihan的博客
08-06 4469
项目场景: 现有需求提供出一些接口对第使用,在接口签名的过程中出现了问题问题描述: 通过AOP获得请求中@RequestBody数据时,出现 "stream closed"异常的问题。 java.io.IOException: Stream closed 原因分析: 在进入AOP前,spring框架在使用 对象类型转换器(converter)时,已经使用过一次body了(获取body是以流的形式),所以在切面中处理再想获取body体数据时,发生"stream closed"异常。 &
自定义httpservletrequestwrapper导致form表单提交数据丢失
qq_26093341的博客
12-22 2065
自定义httpservletrequestwrapper导致form表单提交数据丢失
谈谈我对Struts2文件上传的理解(顺便讲了一下Struts2处理请求的大体过程)
难得悠闲自得
12-05 138
在写上传文件的程序时,出现了异常,引发了我对Struts2上传文件的过程的Debug,结果有点心得,也想明白了我的一些疑惑,把整个过程与大家共享一下。 [b] 没有图只有字,大家如果看着不爽,可以直接看问题以及解决方法。[/b] 下文书中包的版本:commons-fileupload-1.2.1.jar、struts2-core-2.1.2.jar 孙鑫的书《Struts2 深入详...
HttpServletRequestWrapper使用:解决HttpServletRequest只能读取一次流后无法获取的问题,封装request.getInputStream()
qq_42513284的博客
11-16 1257
文章目录1.背景2.过滤器3.RequestWrapper4.业务处理(获取请求参数并且加密) 1.背景 ​ 在过滤器中获取请求的参数信息,并对参数信息进行校验。 2.过滤器 package com.qin.filter; import com.qin.common.util.RequestWrapper; import org.springframework.context.annotation.Configuration; import org.springframework.core.annotat
接口安全防线加解密:springboot 全局/指定接口解密(同时支持参数在body和param)
LATER
03-21 3915
优势:通过注解形式,不需要改变原接口请求参数,在拦截器里面把加密数据解密为原接口请求参数 接口安全防线加解密:springboot 全局/指定接口解密(同时支持参数在body和param) 1.原理 1.1.过滤器,过滤所有请求,利用HttpServletRequestWrapper解决request中流读取一次的处理,方便后续修改请求内容 1.2.自定义注解,通过自定义注解可以标识,指定哪些接口在拦截器中处理数据 1.3.拦截器,拦截带有指定注解的请求,把数据进行加密解密后返回处理
HttpServletRequestWrapperHttpServletResponseWrapper结合 过滤器 实现接口加解密、国际化
lmj3732018的博客
12-22 1980
【代码】HttpServletRequestWrapperHttpServletResponseWrapper结合 过滤器 实现接口加解密、国际化。
问题记录:HttpServletRequestWrapper导致跨域失败的问题
热门推荐
何忆清风
01-10 5万+
spring filter跨域问题
HttpServletRequestWrapper 用法
05-26
`HttpServletRequestWrapper`是Java Servlet API中的一个类,它允许我们对`HttpServletRequest`对象进行包装,以便在请求处理过程中添加自定义的行为或者修改默认的行为。这个类位于`javax.servlet.http`包下,是`...
使用HttpServletRequestWrapper在filter修改request参数
04-12
源码分析可以帮助我们更好地理解`HttpServletRequestWrapper`的工作机制,而工具则可能是指使用这个技术来解决实际问题。 至于`ForwardParameter`这个文件名,它可能是演示示例代码的一部分,可能包含了如何将参数...
spring-start:Spring安全应用
05-11
这些过滤器按照预定义的顺序执行,例如`HttpServletRequestWrapperFilter`用于包装请求,`DelegatingAuthenticationEntryPoint`处理未认证的请求,`RememberMeAuthenticationFilter`处理记住我功能等。 4. **安全性...
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 411
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
大坝安全监测设备有哪些主要功能?
最新发布
yyth13276363312的博客
07-24 286
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1052
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
内网安全:IPC横向
8888的博客
07-23 675
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
SpringBoot接口加密解密实战:通用Starter与安全传输
"这篇文档是关于在SpringBoot应用中实现接口加密解密的教程,主要关注如何通过创建一个通用的starter来提供加密解密功能,同时解决了request流只能读取一次的问题。" 在SpringBoot应用中,接口安全性至关重要,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值