springboot 统一处理请求非法参数

最新推荐文章于 2024-05-21 09:20:35 发布
最新推荐文章于 2024-05-21 09:20:35 发布
阅读量467 收藏 7
点赞数 3
文章标签: spring boot 后端 java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013811335/article/details/137288418
版权

通过拦截器和过滤器实现,话不多说上代码。

1、重写HttpServletRequestWrapper读取body里面的内容。这里特殊处理了文件上传的内容。

import org.springframework.web.multipart.support.StandardServletMultipartResolver;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;

public class RequestWrapper extends HttpServletRequestWrapper {
    private final String body;

    public RequestWrapper(HttpServletRequest request) {
        super(request);
        String contentType = request.getContentType();
        String method = "multipart/form-data";
        if (contentType != null && contentType.contains(method)) {
            // 将转化后的 request 放入过滤链中
            request = new StandardServletMultipartResolver().resolveMultipart(request);
        }
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        InputStream inputStream = null;
        try {
            inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
                char[] charBuffer = new char[128];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {

        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        body = stringBuilder.toString();
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes());
        ServletInputStream servletInputStream = new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }
            @Override
            public boolean isReady() {
                return false;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
            }
            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }
        };
        return servletInputStream;

    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }

    public String getBody() {
        return this.body;
    }

}
HttpServletRequestWrapper

2、因为reque里面的内容只能读取一次,需要重写回去。增加ChannelFilter

import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

@Component
@WebFilter(urlPatterns = "/*",filterName = "channelFilter")
public class ChannelFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        ServletRequest requestWrapper = null;
        if(servletRequest instanceof HttpServletRequest) {
            requestWrapper = new RequestWrapper((HttpServletRequest) servletRequest);
        }
        if(requestWrapper == null) {
            filterChain.doFilter(servletRequest, servletResponse);
        } else {
            filterChain.doFilter(requestWrapper, servletResponse);
        }
    }

    @Override
    public void destroy() {

    }
}
ChannelFilter

3、增加拦截器,获取请求的body

@Component
public class ParamInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
         String method = request.getMethod();
         String contentType = request.getContentType() == null ? "" : request.getContentType();
        if (HttpMethod.POST.name().equals(method) && !contentType.equals(MediaType.MULTIPART_FORM_DATA_VALUE)) {
            RequestWrapper requestWrapper = new RequestWrapper(request);
            String body = requestWrapper.getBody();
            testParam(body);
        }
        return true;
    }


    private void testParam(String param){
        try {
            param = param.replace(" ", "");
            param = param.replace("&", "");
            param = param.replace("#", "");
            param = param.replace(" ", "");
            param = param.replace("\"\"", "");
            if (param.toLowerCase().contains("<script")
                    || param.contains("<")
                    || param.contains(">")
                    || param.toLowerCase().contains("<html")
                    || param.toLowerCase().contains("<header")
                    || param.toLowerCase().contains("alert")
                    || param.toLowerCase().contains("console")
            ) {
                throw new BusinessException("500", "非法参数!");
            }
        } catch (Exception ex) {
            if (ex instanceof BusinessException) {
                throw new BusinessException("500", ((BusinessException) ex).getMsg());
            }
        }
    }
}
ParamInterceptor

4、拦截器配置(略)

5、过滤器配置,在启动类上增加@ServletComponentScan注解

6、后续(使用三方工具做敏感词,就不用自己写过滤规则了)

引用

<dependency>
  <groupId>com.github.houbb</groupId>
  <artifactId>sensitive-word</artifactId>
  <version>0.2.0</version>
</dependency>

在拦截器里面加入如下代码

@Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler){

        String method = request.getMethod();
        String contentType = request.getContentType() == null ? "" : request.getContentType();
        if ((HttpMethod.POST.name().equals(method) ||HttpMethod.PUT.name().equals(method) )&& !contentType.equals(MediaType.MULTIPART_FORM_DATA_VALUE)) {
            RequestWrapper requestWrapper = new RequestWrapper(request);
            String body = requestWrapper.getBody();
            Assert.isTrue(!SensitiveWordHelper.contains(body), MessageFormat.format("参数包含敏感词:{0},请修改后提交!",SensitiveWordHelper.findAll(body, WordResultHandlers.word())));
        }
        return true;
    }
View Code

这样更加科学,具体更多用法参考:https://github.com/houbb/sensitive-word 或者 SpringBoot使用SensitiveWord实现敏感词过滤_sensitive-word-CSDN博客

Rolay-R
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【微服务】springboot 自定义注解+反射+aop实现动态修改请求参数
congge
09-01 5496
springboot 动态修改请求参数常用方案
公共服务响应:SpringBoot 统一后端返回格式、处理全局异常
iOS逆向与安全
03-26 472
status 状态值:由后端统一定义各种返回结果的状态码message 描述:本次接口调用的结果描述data 数据:本次返回的数据。sign : 签名信息@Getter@Setter@ApiModelProperty(value = "请求结果状态000000成功 其他是失败")@ApiModelProperty(value = "附加消息")@ApiModelProperty(value = "返回签名")@ApiModelProperty(value = "数据")
Spring Boot 项目中参数校验和异常拦截
m0_71777195的博客
03-28 1488
比如前端提交的某个参数必须是枚举值中的一个,我们尝试用自定义注解来完成该校验逻辑。定义校验注解String message() default "必须指定颜色类型";// 所有允许的颜色值Class
SpringBoot 全局处理以及注入请求参数
diaomin7808的博客
01-21 857
后端接口,经常会用token获取对应的账号信息。于是考虑将这个步骤封装起来。 之前项目使用ThreadLocal去做这样的事情,但昨天看SpringBoot的官方文档,发现借助框架的功能也可以做这样的事情,而且更方便,直观 @ModelAttribute 介绍 FOR EXAMPLE: @RestController public class TestController { ...
SpringBoot统一功能处理
一步一个脚印,踏实努力,向着目标前进
06-22 1151
Spring Boot中,可以使用统一功能处理来实现对请求统一处理和响应的统一格式化。下面是一些常用的统一功能处理的方法:全局异常处理:可以通过使用@ControllerAdvice注解和@ExceptionHandler注解来实现全局异常处理。在@ControllerAdvice注解的类中,使用@ExceptionHandler注解来捕获不同类型的异常,并返回统一的错误信息。全局数据绑定:可以通过使用@ControllerAdvice注解和@ModelAttribute注解来实现全局数据绑定。
正规军springboot如何处理参数校验、统一异常、统一响应
最新发布
weixin_45131680的博客
05-21 119
本篇主要要介绍的就是controller层的处理,一个完整的后端请求由4部分组成:1.接口地址(也就是URL地址)、2.请求方式(一般就是get、set,当然还有put、delete)、3.请求数据(request,有head跟body)、4.响应数据(response)当接收到请求时,如何优雅的校验参数返回响应数据该如何统一的进行处理接收到请求处理业务逻辑时抛出了异常又该如何处理
SpringBoot项目必会技能——统一功能处理
LYJbao的博客
03-29 516
实现HandlerInterceptor接口重写preHeadler方法,在方法中编写自己的业务代码@Override//用户登录业务判断if(session!= null) {//用户已登录//用户未登录//可以调整到登录页面,返回一个401/403没有权限码@Override.addPathPatterns("/**") //拦截所有请求.excludePathPatterns("/user/login") //不拦截的url地址//不拦截html页面。
SpringSpringBoot重写HttpServletRequestWrapper进行parameter处理
热门推荐
IM507的博客
11-20 1万+
前言:   日常开发中,我们常常需要对接口接入的数据参数进行处理,比如解密,关于@RequestBody这类流参数处理,上一章已经有处理方法,链接:RequestBodyAdvice 和 ResponseBodyAdvice增强器使用 这篇主要讲对request的参数进行处理。 实现步骤   众所周知,获取request的参数无非三种方式:   (1)getParameter(String nam...
SpringBoot---请求参数处理
tianynnb的博客
07-23 1275
1.请求映射 1.1 rest 请求 Rest风格支持(使用HTTP请求方式动词来表示对资源的操 以前:/getUser 获取用户 /deleteUser 删除用户 /editUser 修改用户 /saveUser 保存用户 现在: /user GET-获取用户 DELETE-删除用户 PUT-修改用户 POST-保存用户 核心Filter;HiddenHttpMethodFilter 用法: ①表单method=post,隐藏域 _meth
SpringBoot2.x系列教程05-springboot统一响应格式、全局异常处理
松花江畔
07-29 377
在前后端分离的大趋势下, 服务端如何制定一套行至有效的规则供前端开发使用,显得尤为的重要,既然是前后端分离,那么服务端的架构设计必须满足下面的几个点:首先响应的格式必须统一,其次针对异常能够做到全局响应。下面将针对这个目标来展开讲解。 统一响应类的设计 要想实现针对前端的统一格式响应,就必然需要将最终的结果包装到制定的响应类里,一个好的统一响应类的设计需要具备下面的几个要素:第一包含响应的编码;第二包含响应的信息;第三包含响应的数据;第四设计到的相关的响应码全部以枚举类的形式包含在一个枚举类中 1、枚举类
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
springboot统一restful返回值及统一异常处理
java1856905的博客
04-09 1300
统一返回restful数据: 首先确定需要返回的json数据的格式,定义一个统一返回类 package com.unicom.microservice.peixun.peixun_matb3.Response; import com.unicom.microservice.peixun.peixun_matb3.enums.UnicomResponseEnums; /** * @pro...
SpringBoot统一结果返回、异常处理
softshow1026的博客
01-30 1069
当实现统一结果返回时,需要创建一个通用的响应对象,定义成功和失败的返回情况,并确保在接口中使用这个通用返回对象。@Setter@Getter/*** 接口响应状态码*//*** 接口响应信息*//*** 接口响应的数据*/统一结果返回的关键之一是规定一套通用的状态码。这有助于客户端更容易地理解和处理 API 的响应,同时也为开发者提供了一致的标准。200 OK:表示成功处理请求。:表示成功创建资源。:表示成功处理请求,但没有返回任何内容。:客户端请求错误。
javax.servlet报红原因以及解决办法
qzj13的博客
10-12 9143
报红原因:项目中没有引进 servlet-api.jar包 在tomcat安装路径中 lib目录下找到 servlet-api.jar包,将其复制到项目中WEB-INF下的lib中,再build path就ok了。
javax.servlet-api-4.0.1
weixin_46259203的博客
11-06 5984
*javax.servlet-api\4.0.1\javax.servlet-api-4.0.1.jar\javax\servlet\http* javax.servlet.http包 包含了大量的 描述和定义在运行于HTTP协议之下的servlet类和通过遵从servlet容器为这样一个类的实例提供运行环境之间的契约 的类和接口. annotation descriptor http ServletRequestEvent.class Registration.class LocalStrings.p
springboot 参数异常拦截(3种)
个人主页
01-19 1733
/** * 参数异常拦截 (model 里面的) * @author * @date 2020/11/17 0017 * @param e * @return GenericResponse **/ @ExceptionHandler(MethodArgumentNotValidException.class) public GenericResponse methodArgumentNotValidExceptio...
javax.servlet.WriteListener
weixin_34077371的博客
08-23 1287
http://www.programcreek.com/java-api-examples/index.php?api=javax.servlet.WriteListener
aop springboot 传入参数_SpringBoot使用AOP拦截请求获得对象参数的JSON
weixin_39528219的博客
12-20 1427
SpringBoot使用AOP拦截请求获得对象参数的JSON例如Entity类:public class Company {private Integer id;private String companyName;private Integer companyState;public Company(Integer id, String companyName, Integer companyS...
java过滤请求参数中的非法字符,防止XSS攻击、SQL盲注等
02-14 1万+
过滤请求参数中的非法字符,防止XSS攻击、SQL盲注等
Springboot如何处理请求
07-12
Spring Boot中,请求处理主要通过控制器(Controller)来实现。 1. 创建控制器类:在Spring Boot项目中,可以通过创建一个带有@Controller注解的类来定义控制器。这个类中的方法就是用来处理具体的请求。 2. 定义请求映射:在控制器类中的方法上使用@RequestMapping注解来定义请求映射。这个注解指定了处理请求的URL路径。 3. 处理请求:在方法体中编写具体的处理逻辑,可以通过方法的参数来获取请求参数、路径变量等信息。方法的返回值可以是一个视图名称,也可以是一个JSON对象等。 4. 处理不同的HTTP请求方法:可以使用@GetMapping、@PostMapping等注解来指定处理不同HTTP请求方法(如GET、POST等)的方法。 5. 处理路径变量和请求参数:可以通过在@RequestMapping注解中使用占位符{}来定义路径变量,并通过@PathVariable注解将路径变量绑定到方法参数上。可以通过@RequestParam注解将请求参数绑定到方法参数上。 6. 返回视图和数据:可以通过返回一个视图名称来实现页面跳转,也可以通过使用@ResponseBody注解将返回值直接作为响应体返回给客户端。 7. 其他功能:Spring Boot还提供了许多其他功能,如拦截器、全局异常处理等,可以通过自定义拦截器、异常处理器等来进一步处理请求。 总之,Spring Boot通过控制器类和注解的方式来处理请求,使得开发者可以快速、简洁地编写请求处理逻辑,提高开发效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值