截取request并处理

已于 2023-08-18 15:47:35 修改
阅读量108 收藏
点赞数
文章标签: 网络
于 2023-08-18 15:42:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ruangongtaotao/article/details/132362847
版权

SpringMVC在处理@RequestBody类型的参数的时候,是不是使用的我重写的这些方法呢?(getQueryString()、getParameter(String name)、getParameterValues(String name)、getParameterMap())。打了个日志,发现还真不是这些方法。

于是搜索了一下Springboot拦截器获取@RequestBody参数,碰到了这篇文章。首先的新发现是Spring MVC 在获取@RequestBody参数的时候使用的是getInputStream()方法。嗯?(斜眼笑)那我是不是可以重写这个方法获取到输入流的字符串,然后直接处理一下?

import org.apache.commons.text.StringEscapeUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
 
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.StandardCharsets;
import java.util.Map;
 
/**
 * 重新包装一下Request。重写一些获取参数的方法,将每个参数都进行过滤
 */
public class XSSHttpServletRequestWrapper extends HttpServletRequestWrapper {
    private static final Logger logger = LoggerFactory.getLogger(XSSHttpServletRequestWrapper.class);
 
    private HttpServletRequest request;
    /**
     * 请求体 RequestBody
     */
    private String reqBody;
 
    /**
     * Constructs a request object wrapping the given request.
     *
     * @param request The request to wrap
     * @throws IllegalArgumentException if the request is null
     */
    public XSSHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        logger.info("---xss XSSHttpServletRequestWrapper created-----");
        this.request = request;
        reqBody = getBodyString();
    }
 
 
    @Override
    public String getQueryString() {
        return StringEscapeUtils.escapeHtml4(super.getQueryString());
    }
 
    /**
     * The default behavior of this method is to return getParameter(String
     * name) on the wrapped request object.
     *
     * @param name
     */
    @Override
    public String getParameter(String name) {
        logger.info("---xss XSSHttpServletRequestWrapper work  getParameter-----");
        String parameter = request.getParameter(name);
        if (StringUtil.isNotBlank(parameter)) {
            logger.info("----filter before--name:{}--value:{}----", name, parameter);
            parameter = StringEscapeUtils.escapeHtml4(parameter);
            logger.info("----filter after--name:{}--value:{}----", name, parameter);
        }
        return parameter;
    }
 
    /**
     * The default behavior of this method is to return
     * getParameterValues(String name) on the wrapped request object.
     *
     * @param name
     */
    @Override
    public String[] getParameterValues(String name) {
        logger.info("---xss XSSHttpServletRequestWrapper work  getParameterValues-----");
        String[] parameterValues = request.getParameterValues(name);
        if (!CollectionUtil.isEmpty(parameterValues)) {
         // 经 “@Belief_7” 指正 这种方式不能更改parameterValues里面的值,要换成下面👇的写法
            //for (String value : parameterValues) {
            //    logger.info("----filter before--name:{}--value:{}----", name, value);
            //    value = StringEscapeUtils.escapeHtml4(value);
            //    logger.info("----filter after--name:{}--value:{}----", name, value);
            // }
            for (int i = 0; i < parameterValues.length; i++) 
         { 
             parameterValues[i] = StringEscapeUtils.escapeHtml4(parameterValues[i]); 
         } 
        }
        return parameterValues;
    }
 
    /**
     * The default behavior of this method is to return getParameterMap() on the
     * wrapped request object.
     */
    @Override
    public Map<String, String[]> getParameterMap() {
        logger.info("---xss XSSHttpServletRequestWrapper work  getParameterMap-----");
        Map<String, String[]> map = request.getParameterMap();
        if (map != null && !map.isEmpty()) {
            for (String[] value : map.values()) {
                /*循环所有的value*/
                for (String str : value) {
                    logger.info("----filter before--value:{}----", str, str);
                    str = StringEscapeUtils.escapeHtml4(str);
                    logger.info("----filter after--value:{}----", str, str);
                }
            }
        }
        return map;
    }
 
    /*重写输入流的方法,因为使用RequestBody的情况下是不会走上面的方法的*/
    /**
     * The default behavior of this method is to return getReader() on the
     * wrapped request object.
     */
    @Override
    public BufferedReader getReader() throws IOException {
        logger.info("---xss XSSHttpServletRequestWrapper work  getReader-----");
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }
 
    /**
     * The default behavior of this method is to return getInputStream() on the
     * wrapped request object.
     */
    @Override
    public ServletInputStream getInputStream() throws IOException {
        logger.info("---xss XSSHttpServletRequestWrapper work  getInputStream-----");
        /*创建字节数组输入流*/
        final ByteArrayInputStream bais = new ByteArrayInputStream(reqBody.getBytes(StandardCharsets.UTF_8));
        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }
 
            @Override
            public boolean isReady() {
                return false;
            }
 
            @Override
            public void setReadListener(ReadListener listener) {
            }
 
            @Override
            public int read() throws IOException {
                return bais.read();
            }
        };
    }
 
 
    /**
     * 获取请求体
     *
     * @return 请求体
     */
    private String getBodyString() {
        StringBuilder builder = new StringBuilder();
        InputStream inputStream = null;
        BufferedReader reader = null;
 
        try {
            inputStream = request.getInputStream();
 
            reader = new BufferedReader(new InputStreamReader(inputStream));
 
            String line;
 
            while ((line = reader.readLine()) != null) {
                builder.append(line);
            }
        } catch (IOException e) {
            logger.error("-----get Body String Error:{}----", e.getMessage(), e);
        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                } catch (IOException e) {
                    logger.error("-----get Body String Error:{}----", e.getMessage(), e);
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    logger.error("-----get Body String Error:{}----", e.getMessage(), e);
                }
            }
        }
        return builder.toString();
    }
}

private String reqBody;
可以定义一个private byte[] reqBody = null; 取代上述变量
定义getReqBody方法,如果reqBody为空的话,从super.getInputStream()中获取(int read = inputStream.read(byteBuffer, readBytesOff, contentLength - readBytesOff);)。
同理获取super.getContentLength()。

篡改时改reqBody。

重写getInputStream,优先从reqBody中取数据(通过bias)。

ruangongtaotao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java string 截取中文乱码_Java如何处理中文乱码问题
weixin_42465885的博客
02-16 2293
在Java编程中,经常会碰到汉字的处理及显示问题,以不小心就会产生一大堆乱码或者问号。造成这种问题的根本原因是Java中默认的编码方式是Unicode,而中国人通常使用的文件和DB都是基于GB2312或BIG5等编码,故会出现此问题。对于不同的问题,不同的JDK版本,不同的应用服务器(如Tomcat,Jboss,Weblogic),处理方法都会有一些微小的差异。在这里,主要针对Tomcat中JSP...
Request获取html中id,request.form
weixin_34665990的博客
06-09 1242
request.form()和request()的区别?两者各有什么异同?有什么优点和缺点Request.Form:获取以POST方式提交的数据(接收Form提交来的数据); Request.QueryString:获取地址栏参数(以GET方式提交的数据) Request:包含以上两种方式(优先获取GET方式提交的数据),它会在QueryString、Form、ServerVariable中都搜寻...
头像截取上传并预览
热门推荐
殷自豪的博客
01-13 1万+
本人使用的是jfinal+ajaxSubmit异步提交+jcrop截取,说下思路:点击上传图片并保存在服务器(原始图),然后初始化jcrop,并计算预览图。保存时提交截取的图片位置等信息后台在同比缩放之后截取保存即可。 一、页面 <div class="pic-wrap"> <a class="pass-port
python request 请求超时处理_python接口自动化20-requests获取响应时间(elapsed)与超时(timeout)...
weixin_39963744的博客
12-03 1257
前言requests发请求时,接口的响应时间,也是我们需要关注的一个点,如果响应时间太长,也是不合理的。如果服务端没及时响应,也不能一直等着,可以设置一个timeout超时的时间关于requests请求的响应时间,官网上没太多介绍,并且我百度搜了下,看很多资料写的是r.elapsed.microseconds获取的,然而都是错的!!!elapsed官方文档requests.Responseelap...
注解-处理request
tyust512的专栏
07-23 1942
boolean required() default true;@RequestBody 将HTTP请求正文转换为适合的HttpMessageConverter对象。作用: i) 该注解用于读取Request请求的body部分数据,使用系统默认配置的HttpMessageConverter进行解析,然后把相应的数据绑定到要返回的对象上; ii) 再把HttpMessag
http-request(http-request例子)
欧气满满大顺顺的博客
04-09 1769
HTTP 概念:Hyper Text Transfer Protocol 超文本传输协议 传输协议:定义了,客户端和服务器端通信时,发送数据的格式 特点: 基于TCP/IP的高级协议 默认端口号:80 基于请求/响应模型的:一次请求对应一次响应 无状态的:每次请求之间相互独立,不能交互数据 历史版本: 1.0:每一次请求响应都会建立新的连接 1.1:复用连接 请求消...
Matlab-数字图像处理-获取图片rgb颜色分量及截取子图
chenxinyun921的博客
05-04 4656
Matlab-数字图像处理基础实验-获取图片rgb颜色分量及截取子图 Problem Statement 问题描述 1.Proficient in Matlab tools and complete two Matlab functions GetColorCom() & GetSubImage(). 2.Write a Matlab function (GetColorCom) with input string of an image name, read image in and disp.
java 截取路径_java 获取路径的各种方法
weixin_30972131的博客
02-15 1384
https://www.cnblogs.com/guoyuqiangf8/p/3506768.html(1)、request.getRealPath("/");//不推荐使用获取工程的根路径(2)、request.getRealPath(request.getRequestURI());//获取jsp的路径,这个方法比较好用,可以直接在servlet和jsp中使用(3)、request.getSe...
413 Request Entity Too Large错误处理
泊涯
05-26 1527
起因说明: 因业务要求,客户需要对以往客户进行阶段性做客户挖掘分析,分析内容包含,客户消费记录、消费内容、客户基本信息情况等行为操作进行分析,客户要求的前端展现行为分析方式是一个页面尽量展现越多的数据越好,因浏览器容量问题,最终跟客户协商一个页面展现2000行记录,四十个字段,而且展现的字段内容有问题反馈等文字描述性的内容,然后对该内容在进行更新提交给服务器,然后在查看更新结果,因提交和展现的页面...
nginx截取字符串
依步_的专栏
10-19 7064
测试nginx代理转发时,遇到这样一个问题: 请求url:http://1.1.1.1:8080/testimp/abcd/123?a=1&b=2&ip_port=2.2.2.2:1234 要求nginx,使用参数ip_port重新转发,转发的url如下:http://2.2.2.2:1234/abcd/123?a=1&b=2&ip_port=2.2.2.2:1234 如下nginx配置可实现: location ~^/testimp/(.*)$ { pro
WinForm窗体程序中使用CefSharp获取加载后的资源、截取request参数、拦截response数据、注入jquery文件和js代码。
07-10
环境:vs2019、.net 4.6。 WinForm窗体程序中使用CefSharp获取加载后的资源、截取request参数、拦截response数据、注入jquery文件和js代码。有问题可联系q369628105
RequestDemo:使用request 抓取网页并将文本解压缩,自动转换为UTF8
05-13
request demo使用抓取网页,并对网页内容处理示例request = require('./app')request 'http://www.baidu.com', (error, resp, body)-> console.log error console.log body特性检测HTTP响应头中的编码或者响应体的...
如何利用nginx通过正则拦截指定url请求详解
01-20
nginx是非常出色web服务器,对于静态文件的处理非常高效,同时它的代理转发功能和其它后台服务器搭配起来也非常的简单高效。 location 我们知道nginx会对请求进行解析,然后回得到关于请求的url等信息,我们只需要对...
微信小程序-对微信设计指南中的Web设计和小程序基础控件库的练习
08-07
微信小程序通过 Data 构建...> 在 Rails 程序中,客户端的请求 (request) 会到达对应的 Controller 实例,然后由这个 Controller 实例中的对应的 action 来处理请求, > 处理后的数据会通过 render 方法响应给客户端。
JAVA_API1.6文档(中文)
04-12
java.sql 提供使用 JavaTM 编程语言访问并处理存储在数据源(通常是一个关系数据库)中的数据的 API。 java.text 提供以与自然语言无关的方式来处理文本、日期、数字和消息的类和接口。 java.text.spi java.text ...
计算机网络(6) ICMP协议
qq_42761215的博客
06-14 437
ICMP是网络通信中不可或缺的协议,虽然不传输用户数据,但在网络管理和诊断中起着重要作用。理解ICMP及其各种消息类型对于网络管理员和工程师来说是至关重要的,它有助于维护网络的正常运行和性能优化。
Wireshark TS | 应用传输丢包问题
7ACE的博客
06-09 748
Wireshark TS | 应用传输丢包问题
网络安全技术实验一 信息收集和漏洞扫描
zzzfff__的博客
06-09 985
了解信息搜集和漏洞扫描的一般步骤,利用Nmap等工具进行信息搜集并进行综合分析;掌握TCP全连接扫描、TCP SYN扫描的原理,利用Scapy编写网络应用程序,开发端口扫描功能模块;使用漏洞扫描工具发现漏洞并进行渗透测试。
工业网关在智能制造中的具体应用和效果-天拓四方
最新发布
2401_84969963的博客
06-14 523
通过对数据的处理和分析,我们可以获得设备的运行状态、生产效率、故障预警等信息,为企业提供决策支持和优化建议。未来,随着技术的不断进步和应用场景的拓展,工业网关将在智能制造领域发挥更加重要的作用,为企业创造更多的价值。网关设备通过有线或无线方式与生产设备进行连接,实时收集设备的运行状态、生产数据等信息,并将数据通过安全可靠的通信协议传输至企业的数据中心或云平台。通过工业网关的应用,企业实现了对生产设备的实时监控和数据分析,能够及时发现并解决设备故障和生产瓶颈,提高生产效率。
如何截取这段sql语句查询到的结果SELECT STUFF( (SELECT DISTINCT ',' + a.lastname AS [text()] FROM (SELECT a.requestid,a.userid,b.lastname FROM workflow_currentoperator a JOIN hrmresource b ON a.userid=b.id WHERE a.requestid=$requestid$) a FOR XML PATH('')), 1, 1, '') as name
05-24
如果你想要截取查询结果中的某一部分,可以在该 SQL 语句的基础上再进行处理。比如,如果你想要获取查询结果中的前三个姓名,可以使用以下 SQL 语句: ``` SELECT TOP 3 name FROM ( SELECT STUFF( (SELECT ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值