HttpServletRequestWrapper处理request数据流多次读取问题

已于 2023-05-31 10:58:01 修改
阅读量2.4k 收藏 5
点赞数 2
文章标签: HttpServlet RequestWrapper java 多次读取 CRSF防护
于 2023-05-31 10:47:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014362882/article/details/130964199
版权

本次讨论post方式获取参数,request.getInputStream()获取一次以后不能第二次获取,以及
request.getParameter()与request.getInputStream()也存在这种情况

一、获取请求参数
1、request.getParameter()
2、request.getInputStream()或request.getReader()
二、请求方contentType
1、application/x-www-form-urlencoded

@RequestMapping("/testWwwFrom")
@ResponseBody
public Book testWwwFrom(Book req, HttpServletRequest servletRequest) {
    logger.info("查询所有1用户信息" + JSON.toJSONString(req));
    return req;
}

2、multipart/form-data

@RequestMapping("/testFormData")
@ResponseBody
public Book testFormData(Book req, HttpServletRequest servletRequest) {
    logger.info("查询所有1用户信息" + JSON.toJSONString(req));
    return req;
}

3、application/json

@RequestMapping("/testJson")
@ResponseBody
public Book testJsonFrom(@RequestBody Book req, HttpServletRequest servletRequest) {
    logger.info("查询所有1用户信息" + JSON.toJSONString(req));return req;
}

1、request.getParameter()对应application/x-www-form-urlencoded
2、request.getInputStream()或request.getReader()对应application/json
那么现在有一个这样的需求如果是form表单就获取formToken然后和缓存的进行CRSF防护
思路根据上面说的form表单参数获取分为2大类。
其中request.getInputStream()获取一次以后不能第二次获取,以及
request.getParameter()与request.getInputStream()也存在这种情况。
1、application/x-www-form-urlencoded以及multipart/form-data通过request.getParameter()获取
2、application/json通过request.getInputStream()或request.getReader()获取,这种要依赖HttpServletRequestWrapper

package com.study.ju.web.interceptor;import org.apache.commons.io.IOUtils;import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
​
/**
 * <p>https://blog.csdn.net/kaizhangzhang/article/details/97900961</p>
 *
 * 
 * @version v 0.1 2023/5/29 15:37
 */
public class ResettableServletRequestWrapper extends HttpServletRequestWrapper {
    //保存流中的数据
    private byte[] data;
​
    /**
     * Constructs a request object wrapping the given request.
     *
     * @param request
     * @throws IllegalArgumentException if the request is null
     */
    public ResettableServletRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        //从流中获取数据
        data = IOUtils.toByteArray(request.getInputStream());
    }
​
    @Override
    public ServletInputStream getInputStream() throws IOException {
        //在调用getInputStream函数时,创建新的流,包含原先数据流中的信息,然后返回
        return new NewServletInputStream(new ByteArrayInputStream(data));
    }
​
    class NewServletInputStream extends ServletInputStream{
        private InputStream inputStream;
​
        public NewServletInputStream(InputStream inputStream){
            this.inputStream = inputStream;
        }
​
        @Override
        public int read() throws IOException {
            return inputStream.read();
        }
​
        @Override
        public boolean isFinished() {
            return false;
        }
​
        @Override
        public boolean isReady() {
            return false;
        }
​
        @Override
        public void setReadListener(ReadListener readListener) {}
    }
    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }
​
​
}

package com.study.ju.web.interceptor;import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONArray;
import com.alibaba.fastjson.JSONObject;
import org.apache.commons.collections4.CollectionUtils;
import org.apache.commons.io.IOUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.List;
import java.util.Map;
​
/**
 * <p>form表单提交校验token</p>
 *
 * 
 * @version v 0.1 2023/5/29 13:45
 */
public class FormSubmitTokenInterceptor implements HandlerInterceptor {
​
​
    private String formSubmitTokenInterceptorUrls = "[\"/testJson\",\"/test/testJson\",\"/test/testWwwFrom\",\"/test/testRequestParam\"]";
​
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String requestURI = getRequestURI(request);
        if ("POST".equals(request.getMethod().toUpperCase()) && StringUtils.isNotEmpty(formSubmitTokenInterceptorUrls)) {
            List<String> formInterceptorUrls = JSONArray.parseArray(formSubmitTokenInterceptorUrls, String.class);
            if (CollectionUtils.isNotEmpty(formInterceptorUrls)) {
                boolean contains = formInterceptorUrls.stream().anyMatch(e -> e.contains(requestURI));
                if (contains) {
                    String contentType = request.getContentType();
                    System.out.println(contentType);
                    if ("application/json".equalsIgnoreCase(contentType)) {
                        ResettableServletRequestWrapper resettableServletRequestWrapper = new ResettableServletRequestWrapper(request);
                        String bodyParam = IOUtils.toString(resettableServletRequestWrapper.getInputStream());
                        System.out.println(bodyParam);
                        if (StringUtils.isNotEmpty(bodyParam)) {
                            JSONObject jsonObject = JSONObject.parseObject(bodyParam);
                            if (jsonObject.containsKey("formToken")) {
                                String formToken = (String) jsonObject.get("formToken");
                                System.out.println("formToken:"+formToken);
                            }
                        }} else {
                        if (StringUtils.isNotEmpty(request.getParameter("formToken"))) {
                            System.out.println("formToken2:"+request.getParameter("formToken"));
                        }
                        System.out.println("name:"+request.getParameter("name"));
                    }
​
​
                }}
        }
        return true;
    }
​
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {}
​
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {}
​
    /**
     * 获取用户请求的path,不带contextPath
     * 如:/index.htm
     */
    public static String getRequestURI(HttpServletRequest request) {
        return StringUtils.replace(request.getRequestURI(), request.getContextPath(), "");
    }
}

web.xml放在前面

<filter>
   <filter-name>requestFilter</filter-name>
   <filter-class>com.study.ju.web.Filter.HttpServletRequestReplacedFilter</filter-class>
</filter>
<filter-mapping>
   <filter-name>requestFilter</filter-name>
   <url-pattern>/*</url-pattern>
</filter-mapping>
小旋风-java
关注
解决request请求流中数据只能读取一次问题
懵齐的博客
04-07 3928
解决request请求流中数据只能读取一次问题 实际开发中碰到的问题 公司内应用想使用平台功能时,需要先进行注册与配置,编写过滤器,过滤掉没有注册和配置的应用,如果应用注册并且配置则继续向下执行,但在后面的代码中想获取应用相关信息,发现request中body的内容为空 问题在于request的输入流只能读取一次不能重复读取,所以我们在过滤器器或拦截器里读取request的输入流之后,请求走到controller层就会报错 HttpServletRequest的输入流只能读取一次的原因 当我们调用getI
实现HttpServletRequest多次获取流数据
m0_62943934的博客
03-08 2029
​众所周知request的输入流只能读取一次,不能重复读取。而在`HttpServletRequest`中,获取请求体数据的流(通过getInputStream()方法)默认只能被读取一次。一旦读取后,流将处于末尾状态,再次尝试读取会返回EOF(文件结束符),无法重新获取原始数据。 如果在过滤器或者拦截器中有业务需求对输入流进行一些其他操作,那么此处读取过后再到`controller`层就会报错,提示IO异常,本次的需求就是在拦截器中获取请求体中的数据。 如果多次调用会出现如下错误【如果拦截器中将请求体
接口安全防线加解密:springboot 全局-指定接口解密(同时支持参数在body和param)
最新发布
Karka_的博客
07-14 659
1.application/json 加密参数在body2.application/x-www-form-urlencoded 支持参数在body或者在param/***/@Override@Override=null){}else{/***/try {= null) {} else {= null) {try {= null) {try {@Override@Override@Override。
使用HttpServletRequestWrapper在filter修改request参数
04-12
NULL 博文链接:https://rensanning.iteye.com/blog/1706208
HttpServletRequestWrapper 用法
fishhappy365的专栏
10-10 910
Servlet规范中所引入的filter令人心动不已,因为它引入了一个功能强大的拦截模式。Filter是这样一种Java对象,它能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。你可以使用filter来实现特定的任务,比如验证用户输入,以及压缩web内容。但你拟富有成效地使用过滤...
利用HttpServletRequestWrapper来支持可重复读取HttpServletRequest中的请求输入流且不影响Controller层的参数获取
LSL1618的博客
01-20 3195
HttpServletRequest中的请求输入流不可重复读取的原因就不叙述了,一堆搜索结果随便看,直接看步骤正文: 1.定义请求包装器,继承于 HttpServletRequestWrapper import lombok.extern.slf4j.Slf4j; import org.apache.commons.lang3.ArrayUtils; import org.apache.commons.lang3.StringUtils; import org.springframework.ht.
记录HttpServletRequestWrapper处理multipart/form-data类型包含参数和文件的问题
qq_62837275的博客
03-25 1671
一开始负责修改这部分代码的时候,我发现getPostData方法中捕获了IOException,在获取stream的时候,其实已经出错了,但是由于代码的逻辑,正常情况下,文件上传在url过滤的时候就已经放行了,不涉及到文件的请求,exception被消费掉了之后,后续代码对参数进行解密,添加到params中,并且使用自定义的request放行,在后续的controller中也能正确的通过重写的getParameter方法获取到参数,不会有任何问题。原本的自定义filter部分代码如下。
springboot通过HttpServletRequestWrapper获取所有请求参数
OceanSky的专栏
08-26 1万+
springboot通过拦截器获取参数有两种方式,一种通过request.getParameter获取Get方式传递的参数,另外一种是通过request.getInputStream或reques.getReader获取通过POST/PUT/DELETE/PATCH传递的参数; 1.拦截器获取参数有哪些方式 @PathVariable注解是REST风格url获取参数的方式,只能用在GET请求类型,通过getParameter获取参数 @RequestParam注解支持GET和POST/PUT/DELE.
完美解决request请求流只能读取一次的问题
08-24
解决request请求流只能读取一次的问题,我们可以使用自定义的HttpServletRequestWrapper,覆写getInputStream()和getReader()方法,从而实现流的重复读取。这可以在SpringBoot项目中使用Filter拦截器对所有请求流中...
使用 HttpServletRequestWrapper 重复读取 HttpServletRequest多次读取 request 请求)
HeatDeath的博客
05-16 6234
今天尝试在切面中读取 request 请求,校验请求的参数,解析异常则报错 但是,在 切面读取了一次 request 后,再到 controller 的时候,request 就变成了空的 找了一圈找到这种方法,通过继承 HttpServletRequestWrapper ,来操作 HttpServletRequest package xxxxx; import org.apache.comm...
HttpServletRequestWrapper
05-08
这是一个关于HttpServletRequestWrapper使用的列子,工作需要,所以传上来的。
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
spring应用中多次读取http post方法中的流遇到的问题
08-26
总结来说,处理Spring应用中多次读取HTTP POST方法中的流的关键在于创建一个可多次读取HttpServletRequest包装类,并在Filter中替换原始请求,使得AOP和Controller都能正确处理请求数据。这个解决方案不仅解决了流...
request body数据多次读取解决方案及通用签名校验方式
fajing_feiyue的博客
11-02 3125
当用请求体里面的参体的参数用以签名的时候,就会遇到request body里面数据只能读取一次,再次读取就null的情况。故这里将解决多次读取request body的解决方案。 扩展HttpServletRequestWrapper,使用请求InputStream和基本缓存字节。并将过滤的优先级设为最前的优先级,是后续再请求体获取数据不至于为空。 @Configuration public cl...
关于HttpServletRequestWrapper及Filter过滤器的使用
f374157531的博客
05-09 655
解决HttpServletRequest只能读取一次流后无法获取的问题。解决整合Filter过滤器时遇到的问题:过滤器urlPatterns不生效、过滤器不起作用。
使用HttpServletRequestWrapper解决web项目request数据流无法重复读取问题
dream_xin2013的专栏
01-26 1109
在做web项目开发时,我们有时候需要做一些前置的拦截判断处理,比如非法参数校验,防攻击拦截,统一日志处理等,而请求参数如果是form表单提交还好处理;对于json这种输入流的数据就会有问题,统一处理如果读取数据流就会将流进行关闭,这就会导致接下来的业务处理无法读取数据流。封装成这个类就是为了解决需要重复读取输入流的地方就使用这个包装类替换原有的request对象。
HttpServletRequestWrapper的应用
G0_hw
05-19 1677
    最近的一个项目前后端分离,然后后端自定义Filter,通过继承org.springframework.web.filter.OncePerRequestFilter实现在请求到达Controller层之前进行统一的参数验签(MD5+盐)和token验证。其中,在进行验签时,需要获取body中的JSON数据,这时想着直接通过HttpServletRequest#getInputStream() 获取到请求的输入流,从该输入流中可以读取到请求体。但这里就有个坑了,
过滤器通过HttpServletResponseWrapper包装HttpServletResponse实现获取response中的返回数据,以及对数据进行gzip压缩
热门推荐
落尘
11-24 3万+
前几天我们项目总监给了我一个任务,就是将请求的接口数据进行压缩,以达到节省流量的目的。对于实现该功能,有以下思路:1.获取到response中的值, 2.对数据进行gzip压缩(因为要求前端不变,所以只能选在这个浏览器都支持的压缩方式) 3.将数据写入到response中, 4.将response返货前端但是,当我执行第一步的时候,就遇到了很蛋疼的事情,response中的返回数据拿不到,这里
SpringBoot下解决request请求流重复读取问题的策略
在开发过程中,我们可能会遇到一个常见的问题,即在Spring Boot项目中,由于安全需求(如防止SQL注入),...这种解决方案可以方便地在需要多次使用请求数据的场景下,如校验、解析或处理JSON数据时,确保数据的可用性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值