Springboot 在Fliter中读取Request请求流后,在Controller中为空的问题

最新推荐文章于 2024-05-05 16:15:38 发布
最新推荐文章于 2024-05-05 16:15:38 发布
阅读量1.8k 收藏 3
点赞数
文章标签: xss request wrapper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012977486/article/details/88821887
版权

问题描述

     A系统和B系统需要通讯,A系统对参数加密,B系统在Fliter拦截器中拦截后,读取流,解析参数做数据校验处理,正常读取解析后,发现流到达Controller层后,报错,请求流已经被读取,为空的问题。

解决办法

   对于Request请求流只能被读取一次的问题,解决问题的主题思想,将Request请求流复制保存到一个final 字节数组中,这样,request请求流到达Controller后就不会为空,问题解决。

新建 BodyReaderHttpServletRequestWrapper类,继承HttpServletRequestWrapper,重写getReader()和getInputStream()方法,将复制的流保存到byte[] body中,还可以对请求的流做一些XSS攻击过滤处理,代码如下:

package com.test.wrapper;

import com.test.util.XssUtils;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import jodd.io.StreamUtil;

/*
*@author lucasliang
* filter Read the URL parameter and copy the request body stream transformation class.
* */
public class BodyReaderHttpServletRequestWrapper extends HttpServletRequestWrapper {

  private final byte[] body;

  /*
*@param: [request]
*@return
*@author lucasliang
*@date
*@Description save the post request parameter to byte[]
*/
  public BodyReaderHttpServletRequestWrapper(HttpServletRequest request)
      throws IOException {
    super(request);
    body = StreamUtil.readBytes(request.getReader(), "utf-8");
  }

  /*
   *@param: []
   *@return java.io.BufferedReader
   *@author lucasliang
   *@date 11/12/2018
   *@Description obtain the request header
  */
  @Override
  public BufferedReader getReader() throws IOException {
    return new BufferedReader(new InputStreamReader(getInputStream()));
  }


  /*
   *@param: []
   *@return javax.servlet.ServletInputStream
   *@author lucasliang
   *@date 11/12/2018
   *@Description obatin request inputstream
  */
  @Override
  public ServletInputStream getInputStream() throws IOException {
    final ByteArrayInputStream bais = new ByteArrayInputStream(inputHandlers(body).getBytes());
    return new ServletInputStream() {

      @Override
      public boolean isFinished() {
        return false;
      }

      @Override
      public boolean isReady() {
        return false;
      }

      /*
         *@param: [readListener]
         *@return void
         *@author lucasliang
         *@date 11/12/2018
         *@Description set read listener
        */
      @Override
      public void setReadListener(ReadListener readListener) {
        // do nothing
      }

      @Override
      public int read() throws IOException {
        return bais.read();
      }
    };
  }

  /*
  *@param: [servletInputStream]
  *@return java.lang.String
  *@author lucasliang
  *@date 25/01/2019
  *@Description turn input param to string
 */
  private String inputHandlers(byte[] bytes) {
    return XssUtils.stripXss(new String(bytes));
  }
}

查看源码可知 

ByteArrayInputStream 继承Inpustream,实现了markSupported方法返回true同时实现了reset方法,而ServletInputStream 没有重写markSupported方法和reset方法,Inputstream markSupported方法返回false;

XssUtils工具类

package com.test.util;

import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
import org.apache.commons.lang3.StringUtils;

/**
 * @author lucasliang
 * @date 20/02/2019 5:12 afternoon
 * @Description XssUtils
 */
public class XssUtils {

  private XssUtils() {

  }

  private static List<Pattern> patterns = null;

  /*
   *@param: []
   *@return java.util.List<java.lang.Object[]>
   *@author lucasliang
   *@date 25/01/2019
   *@Description  regex
  */
  private static List<Object[]> getXssPatternList() {
    List<Object[]> ret = new ArrayList<>();
    ret.add(new Object[]{"<(no)?script[^>]*>.*?</(no)?script>", Pattern.CASE_INSENSITIVE});
    ret.add(new Object[]{"eval\\((.*?)\\)",
        Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
    ret.add(new Object[]{"expression\\((.*?)\\)",
        Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
    ret.add(new Object[]{"(javascript:|vbscript:|view-source:)*", Pattern.CASE_INSENSITIVE});
    ret.add(new Object[]{"<(\"[^\"]*\"|\'[^\']*\'|[^\'\">])*>",
        Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
    ret.add(new Object[]{
        "(window\\.location|window\\.|\\.location|document\\.cookie|document\\.|alert\\(.*?\\)|window\\.open\\()*",
        Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
    ret.add(new Object[]{
        "<+\\s*\\w*\\s*(oncontrolselect|oncopy|oncut|ondataavailable|ondatasetchanged|ondatasetcomplete|ondblclick"
            + "|ondeactivate|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|onerror=|onerroupdate|"
            + "onfilterchange|onfinish|onfocus|onfocusin|onfocusout|onhelp|onkeydown|onkeypress|onkeyup|onlayoutcomplete|onload|"
            + "onlosecapture|onmousedown|onmouseenter|onmouseleave|onmousemove|onmousout|onmouseover|onmouseup|onmousewheel|onmove|"
            + "onmoveend|onmovestart|onabort|onactivate|onafterprint|onafterupdate|onbefore|onbeforeactivate|onbeforecopy|onbeforecut|"
            + "onbeforedeactivate|onbeforeeditocus|onbeforepaste|onbeforeprint|onbeforeunload|onbeforeupdate|onblur|onbounce|oncellchange|"
            + "onchange|onclick|oncontextmenu|onpaste|onpropertychange|onreadystatechange|onreset|onresize|onresizend|onresizestart|onrowenter|"
            + "onrowexit|onrowsdelete|onrowsinserted|onscroll|onselect|onselectionchange|onselectstart|onstart|onstop|onsubmit|onunload)+\\s*=+",
        Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
    return ret;
  }

  /*
   *@param: []
   *@return java.util.List<java.util.regex.Pattern>
   *@author lucasliang
   *@date 25/01/2019
   *@Description  get all regex
  */
  private static List<Pattern> getPatterns() {
    if (patterns == null) {
      List<Pattern> list = new ArrayList<>();
      String regex;
      Integer flag;
      int arrLength;
      for (Object[] arr : getXssPatternList()) {
        arrLength = arr.length;
        for (int i = 0; i < arrLength; i++) {
          regex = (String) arr[0];
          flag = (Integer) arr[1];
          list.add(Pattern.compile(regex, flag));
        }
      }
      patterns = list;
    }
    return patterns;
  }

  /***
   *@param: [value]
   *@return java.lang.String
   *@author lucasliang
   *@date 23/01/2019
   *@Description strip xss
   */
  public static String stripXss(String value) {
    if (StringUtils.isNotBlank(value)) {
      Matcher matcher;
      for (Pattern pattern : getPatterns()) {
        matcher = pattern.matcher(value);
        // 匹配
        if (matcher.find()) {
          // 删除相关字符串
          value = matcher.replaceAll("");
        }
      }
      value = value.replaceAll("<", "<").replaceAll(">", ">");
    }
    return value;
  }

}

总结 

只要思想不滑坡,方法总比困难多!

l梁晴
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
SpringMVC在Controller类之前取出body参数导致@RequestBody值为的解决方案
路上有个、坑的博客
10-16 2110
SpringMVC在Controller前取出body参数导致@RequestBody值为的解决方案问题的产生环境问题的产生的原因解决方案 问题的产生环境 经常有需要需要在访问到具体的接口前需要对请求过来的参数做一些处理,比如用户权限校验,入参打印之类的。一般我们都会使用Filter,Interceptor里面的preHandle去操作。如果是url的话还好request.getParameter(“xxx”)就能取出想要的值,但是如果在body里面,那自然会想request.getInputStream
SpringBoot解决拦截器InputStream只能获取一次问题
yyghls的博客
10-18 750
在代码编写过程,我们使用拦截器做通用的业务拦截处理。但通过request.getInputStream()获取了后,再到Controller就获取不到流了。本文对此问题处理过程如下。 第一步:先创建自定义CustomRequestWrapper import jodd.io.StreamUtil; import javax.servlet.ReadListener; import javax.servlet.ServletInputStream; import javax.servlet.ht
Spring拦截器和过滤器读取body内容后Controller数据为问题解决
MrLee的博客
04-20 5178
1,RequestBody只能读取一遍请求数据流 原因:那是因为流对应的是数据,数据放在内存,有的是部分放在内存。read 一次标记一次当前位置(mark position),第二次read就从标记位置继续读(从内存copy)数据。 所以这就是为什么读了一次第二次是了。 怎么让它不为呢?只要inputstream 的pos 变成0就可以重写读取当前内存的数据。javaAPI有一个...
Springboot 使用【过滤器】实现在请求到达 Controller 之前修改请求参数和在结果返回之前修改响应体
最新发布
赵士杰——成功并非一蹴而就,而是在持之以恒的努力中逐渐实现。
05-05 3536
Springboot 使用【过滤器】实现在请求到达 Controller 之前修改请求参数和在结果返回之前修改响应体
Spring boot 在拦截器里或者过滤器获取 Request body里的json请求参数
Json的知识梦工厂
03-13 6581
请求参数传到后台的时候做一个参数检验时,使用SpringMVC的拦截器,在拦截器里把request的数据读取出来然后校验。但是在使用了拦截器的时候会出现一个问题,在拦截器读取request的数据,在Controller里面@RequestBody注解获取Json就会失败就读取不到数据。这种方法就是通过重写HttpServletRequestWrapperrequest的保存下来,然后通过过滤器保存下来的request在填充进去,这样就可以多次读取request了。这个类已经把这些问题都解决了。
request.getInputStream()取值为问题
热门推荐
qq_31941773的博客
10-11 1万+
今天在项目获取request请求数据为,消耗了一天的时间 百度了两篇文章解决了这个问题:原因 解决方案 阐述下问题: 项目是记录请求数据及响应数据,但在获取请求数据时使用request.getInputStream()为,而使用 Enumeration enu=request.getParameterNames(); while(enu.hasMoreElemen...
SpringMVC @RequestBody 为null问题排查
u013332124的专栏
09-11 8729
今天写一个springmvc接口,希望入参为json,然后自动转成自己定义的封装对象 ,于是有了下面的代码 @PostMapping(&quot;/update&quot;) @ApiOperation(&quot;更新用户信息&quot;) public CumResponseBody update(@RequestBody UserInfoParam param) { int userId = getUserId...
完美解决request请求流只能读取一次的问题
08-24
在后边的代码应用到请求参数值时,我们可能会遇到request的json数据为问题。这是因为InputStream只能读取一次,如果我们想要重复读取的数据,就需要自定义一个HttpServletRequestWrapper。 通过继承...
详解在Spring MVC或Spring Boot使用Filter打印请求参数问题
08-19
总之,正确处理在Spring MVC或Spring Boot使用Filter打印请求参数的关键在于在传递给过滤链之前先读取和保存请求体,以避免“Stream closed”异常。同时,了解和利用Spring提供的高级API如`WebMvcConfigurer`和`...
springboot使用filter获取自定义请求头的实现代码
08-26
在上面的代码,我们可以看到,在使用 Filter 获取自定义请求头时,也可能会遇到 OPTIONS 请求问题。OPTIONS 请求是一种预检查请求,用于检查服务器是否支持某些操作。在 Spring Boot ,可以通过判断请求方法...
在Spring MVC或Spring Boot使用Filter打印请求参数问题
12-21
当尝试在Filter再次读取请求体时,流可能已经被关闭,导致`IOException`。 为了解决这个问题,我们需要在Filter正确处理请求体,通常是通过以下步骤: 1. **复制请求体**:在调用`filterChain.doFilter()`之前...
springboot 解决InputStream只能读取一次的问题
04-30
本篇文章将详细讲解如何在Spring Boot应用解决`InputStream`只能读取一次的问题。 首先,了解`InputStream`的工作原理。`InputStream`是Java I/O的基础类,它定义了读取字节流的基本操作。当我们尝试从`...
url参数script注入攻击 防御
iteye_16661的博客
09-06 2014
package net.survey.util;import java.util.ArrayList;import java.util.List;import java.util.regex.Matcher;import java.util.regex.Pattern;import org.apache.commons.lang.StringUtils;/** * 处理非法字符 * * @auth...
Spring Boot 异步线程静态获取request对象为 RequestContextHolder 为 Java 异步线程获取request
HaHa_Sir的博客
09-25 6066
1、在写异步线程代码时,一定要注意异常情况的捕获和处理;若未正确的捕获或处理异常,会导致程序没有达到预期的执行结果,且没有任何异常输出,造成出现问题,难以排查的情况。
springboot接收参数null的情况(lombok)
nihao37的博客
08-03 3260
初学者遇到的springboot接收参数null的坑
SpringBoot通过请求对象获取输入流无数据
蒋固金(jianggujin)的专栏
01-25 3887
昨天下午在开发的时候遇到了奇怪的事情,在SpringBootController里面直接使用HttpServletRequest的getInputStream()方法的时候获得的输入流无数据,通过getContentLength()获得内容长度的时候又是有值的,由于昨天比较晚了就没有研究,今天花了点时间查一下原因。 出现这种情况,首先怀疑输入流已经被使用了,由于请求输入流是不带缓存的,使用一次后...
项目验收安全漏洞解决之sql盲注和跨站点脚本编制和重定向问题
weixin_30776863的博客
12-21 198
了解网络安全知识,能够在编写代码时预防常见的跨站脚本攻击、跨站请求伪造、框架钓鱼、SQL注入、直接对象引用等攻击; 一:解决sql盲注 if (!StringUtil.isAllNullOrEmpty(bt)) { // 对过闸须知标题进行格式化 String btName = WebUtil.encodeSqlLike(bt.trim(), "/"); // 增加...
HttpServletRequestWrapper和HttpServletResponseWrapper使用时的坑
苦海行舟
01-26 1920
HttpServletRequestWrapper和HttpServletResponseWrapper使用时的坑 WrapperRequestWrapperResponse的使用 在做JavaWeb开发过程如果想拿到请求参数和返回数据的话我们就会使用到这两个类,从类名上就可以看出是包装类,通过这两个类的包装我们可以使用移花接木的方式获取到对应的参数数据。 这里涉及到的坑 坑1 如果请求参数在Body内时取出参数后,后端程序就无法再次取出数据 这个和InputStream不能重复读有关 ,这里需要将Re
文件字节输入流读取字节数据(包含如何避免乱码)
cgj-horizons
07-15 443
这个和前面学的stream流一样,一个流用完就没了。
springbootfilter获取了body,导致controller无法获取body,如何解决
05-26
为了解决这个问题,可以使用HttpServletRequestWrapper来包装HttpServletRequest,从而在Filter读取Body后,仍然可以将HttpServletRequest传递给Controller。 以下是一个示例代码: ```java public class ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值