用户输入的虎狼之词,怎么校验之后不见了?

最新推荐文章于 2024-10-14 15:47:29 发布
最新推荐文章于 2024-10-14 15:47:29 发布
阅读量438 收藏 1
点赞数
文章标签: 过滤器 队列 servlet jwt rabbitmq
本来来自公众号-一个程序员的成长
本文链接:https://blog.csdn.net/weixin_37158722/article/details/106368983
版权

不知道你们有没有对用户输入的东西进行过敏感校验,如果不进行校验,用户属于一些攻击脚本,那么我们的服务就挂逼啦!所以我们首先需要通过过滤器将用户的数据读出来进行安全校验,这里面涉及到一个动作,就是需要将用户的数据在过滤器中读出来,进行校验,通过之后再放行。

问题

如果我们的数据是get请求倒还好,但是如果是一些数据量比较大,我们需要通过post json的方式来说传递数据的时候,这个时候其实是通过流的方式传递的,如果在过滤器中将参数读取出来之后,然后放行,等到到Servlet的时候,@RequestBody是无法获取到数据的,因为post json使用流传递,流被读取之后就不存在了,所以我们在过滤器中读取之后,@ReqeustBody自然就读不到数据了,同时会报如下一个错误。

  • 在过滤器中读取body中的数据

@WebFilter
@Slf4j
public class CheckUserFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;

        // 在过滤器中读取数据
        BufferedReader reader = request.getReader();

        StringBuilder sb = new StringBuilder();

        String line;
        while ((line = reader.readLine()) != null) {
            sb.append(line);
        }
        reader.close();

        System.out.println(sb.toString());

        filterChain.doFilter(request, res);
    }
}

  • 出现异常,就是说内容已经被读取了,你不能调用了

{	"id":"1",	"username":"bingfeng"}
java.lang.IllegalStateException: UT010003: Cannot call getInputStream(), getReader() already called
	at io.undertow.servlet.spec.HttpServletRequestImpl.getInputStream(HttpServletRequestImpl.java:666)
	at javax.servlet.ServletRequestWrapper.getInputStream(ServletRequestWrapper.java:152)
	at javax.servlet.ServletRequestWrapper.getInputStream(ServletRequestWrapper.java:152)

解决

  • HttpServletRequestWrapper

那么出现这种问题怎么办呢?能不能通过一个中间的变量将这些数据保存下来,然后我们就可以一直读取了,这样不就解决了这个问题了吗?那保存在哪里呢?这个时候 HttpServletRequestWrapper 就派上用场了。

这个其实你可以把它理解为Request的包装类,Reqeust中有的方法它都有,我们通过继承这个类,重写该类中的方法,将body中的参数保存一个byte数组中,然后放行的时候将这个包装类传递进去,不就可以一直拿到参数了?

  • 封装Request类

public class BodyReaderHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private final byte[] body;

    /**
     * 所有参数的集合
     */
    private Map<String, String[]> parameterMap;


    public BodyReaderHttpServletRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        BufferedReader reader = request.getReader();
        body = readBytes(reader);
        parameterMap = request.getParameterMap();
    }


    @Override
    public BufferedReader getReader() throws IOException {

        ServletInputStream inputStream = getInputStream();

        if (null == inputStream) {
            return null;
        }

        return new BufferedReader(new InputStreamReader(inputStream));
    }

    @Override
    public Enumeration<String> getParameterNames() {
        Vector<String> vector = new Vector<>(parameterMap.keySet());
        return vector.elements();
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {

        if (body == null) {
            return null;
        }

        final ByteArrayInputStream bais = new ByteArrayInputStream(body);
        return new ServletInputStream() {

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener listener) {

            }

            @Override
            public int read() throws IOException {
                return bais.read();
            }
        };
    }

    /**
     * 通过BufferedReader和字符编码集转换成byte数组
     *
     * @param br
     * @return
     * @throws IOException
     */
    private byte[] readBytes(BufferedReader br) throws IOException {
        String str;
        StringBuilder retStr = new StringBuilder();
        while ((str = br.readLine()) != null) {
            retStr.append(str);
        }
        if (StringUtils.isNotBlank(retStr.toString())) {
            return retStr.toString().getBytes(StandardCharsets.UTF_8);
        }
        return null;
    }
}

  • 将过滤器改造

@WebFilter
@Slf4j
public class CheckUserFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;

        BodyReaderHttpServletRequestWrapper requestWrapper = new BodyReaderHttpServletRequestWrapper(request);

        // 从Request的包装类中读取数据
        BufferedReader reader = requestWrapper.getReader();

        StringBuilder sb = new StringBuilder();

        String line;
        while ((line = reader.readLine()) != null) {
            sb.append(line);
        }
        reader.close();

        System.out.println(sb.toString());

        filterChain.doFilter(requestWrapper, res);
    }
}

经过这样的配置之后,我们即使在过滤器中获取了参数,请求也会到达Servlet。

如果基础知识IO那块不是很扎实的话,第一眼看到这个问题确实挺懵逼的。我也是百度之后解决的,确实值得记录一下,有时候我们会对所有请求进来的参数进行保存输出什么的,这个时候如果是post json数据的话,如果不是特别明白,可能也会出现这种问题。

日拱一卒,功不唐捐

今日推荐

RabbitMQ工作队列之公平分发消息与消息应答(ACK)

如何利用RabbitMQ生产一个简单的消息

RabbitMQ如何高效的消费消息

好文章,我在看

一个程序员的成长
关注
每个人的商学院--管理基础(第二章:从物质激励到精神激励)--读书笔记
方子的博客
01-11 1371
读后感:今天学到了很多激励层面的底层逻辑和上层逻辑,底层逻辑就是金钱,上层逻辑就是尊重,自我实现,愿景、使命和价值观。以马洛斯需求模型为参照,一层一层剥开商业激励背后的面纱。从提成到奖金,从奖金到超额奖励,从超额奖励到行为奖励,从行为奖励到奖励权重,从奖励权重到股权激励,等等。受益匪浅,值得深度思考和沉淀。 第二章:从物质激励到精神激励 销售激励:如何把销售变成虎狼之师 读书笔记: 懂得分...
外贸B2C独立站玩不下去?
v13076927178的博客
03-10 1119
现在做独立站也许您应该仔细看完下面的内容 一、 平台和独立站的区别是什么? 平台就是==100%卖货模式,需要有库存必须囤货,是重模式,而独立站有很多轻模式可以做。所以选择做独立站还是平台或者2个一起做,是需要进行判断的,不能盲目随大流。 二、 独立站的引流成本问题? 根据我们的经验会玩独立站的往往集中在北京、福建、广州这边,一些工业发达地区往往不懂玩信息营销,比如深圳几乎是做平台的,北京、福建这边做独立站的更多。所以独立站引流难并不是普遍问题,有好的营销技术,引流成本根本不是问题。 三、 重点:现在独立站
@RequestBody 传数组的两种方式
Jadan-Z的博客
01-09 1万+
1、@RequestBody List&lt;MarketFullReduce&gt; marketFullReduce 2、@RequestBody MarketFullReduce[] marketFullReduce
如何使用apifox传入数组参数
最新发布
WiteAlbum2的博客
10-14 461
如何用apifox发送数组参数
制作一个简单的chrome插件
weixin_47043419的博客
10-25 4159
首先说明做一个chrome插件运用到的有html,css,JavaScript,以及json这几种语言,当然,不会也没关系,不过是依葫芦画瓢罢了。 开始 首先创建一个文件夹,我的文件夹叫做ChromeExtensions,然后在文件夹中建立两个文件,分别是manifest.json和index.js,注意:manifest的文件名不能改,但是index随便看你自己喜欢。项目文件目录如图 然后就是开始编辑了。 接下来部分实现的是把浏览器的背景变为黑色 接下来就是输入代码了 在manifest文件中输入以下代
body区域怎么传一个数组_「译」C ++到WebAssembly: 传递数组给C++
weixin_34803738的博客
11-30 235
原文链接:https://medium.com/@tdeniffel/c-to-webassembly-pass-and-arrays-to-c-86e0cb0464f5 by Thomas Deniffel.译者注:补齐上篇文章中内联的《传递数组给C++...》的翻译,下划线或数字标记的部分是翻译卡壳的地方,可以参看文末的注解或原文。重要提醒:本文基于我前一篇文章《C ++到WebAssemb...
charles抓取https请求_Charles抓包
weixin_39573512的博客
11-28 216
欢迎关注公众号 学习资料不会少Windows端设置抓取https请求安装证书打开Charles,选择 Help -- SSL Proxying -- Install Charles Root Certificate信任证书弹出安装证书对话框,选择安装证书即可。但是需要注意的是:默认安装的证书不被信任,需要在安装证书的时候注意选择放在 受信任的证书存储 。Mac端配置抓取https请求安装...
数字化降回压撬在虎狼峁作业区的应用效果分析.pdf
06-06
数字化降回压撬在虎狼峁作业区的应用效果分析 在虎狼峁作业区,数字化降回压撬的应用效果分析中,我们可以看到的是降回压撬在油田生产中的重要性。降回压撬是一种常用的油田设备,用于降低井口压力,提高输油压力,...
初中历史知识难以破解之谜秦朝百万大军何以在三年内消失素材.docx
10-13
在近150年的时间里,秦军以其强大的战斗力,击败了六国,歼灭敌军超过150万,被誉为“虎狼之师”。 秦统一六国的过程,大致可分为精心策划和逐一消灭的策略。从公元前230年至公元前221年,秦国对韩、赵、燕、魏、楚...
初中历史知识 难以破解之谜 秦朝百万大军何以在三年内消失素材(通用).doc
10-11
3. 秦军的战斗力:秦军被称为“虎狼之师”,在战国时期以强大战力闻名,共歼灭六国军队约150万,体现了其军事优势。 4. 统一六国的战略:秦王赢政采取精心策划,逐一消灭六国,每两年消灭一个对手,这种战略体现了...
request java获取参数body_@RequestBody参数已经被读取,究竟是何原因?
weixin_35840387的博客
02-27 1656
不知道你们有没有对用户输入的东西进行过敏感校验,如果不进行校验用户属于一些攻击脚本,那么我们的服务就挂逼啦!所以我们首先需要通过过滤器用户的数据读出来进行安全校验,这里面涉及到一个动作,就是需要将用户的数据在过滤器中读出来,进行校验,通过之后再放行。问题如果我们的数据是get请求倒还好,但是如果是一些数据量比较大,我们需要通过post json的方式来说传递数据的时候,这个时候其实是通过流的方...
异常处理:getReader()/getInputStream() has already been called for this request
qq_39517116的博客
05-12 2257
若依项目中需要在JwtAuthenticationTokenFilter的doFilterInternal方法中获取request中body中的toklen做权限验证,发现了这个问题getRead() has already been called for this request/getInputStream() has already been called for this request 原因是request.getInputStream()或request.getReader()获取到请求内容后,
解决:getReader() has already been called for this request
woaiwojialanxi的专栏
04-11 7807
在 Filter 中对 request 中的 body 进行参数签名校验, 会报如下错误: getReader() has already been called for this request 原因是 request.getReader() 和 request.getInputStream() 都是只能调用一次 并且 getReader() 方法底层也是调用 getInputStream() 来实现的. 所以我们要使用 HttpServletRequestWrapper 来实现自定义的 Cust
解决多次读取request输入流 : getInputStream/getReader() has already been called for this request
FeelTouch Labs
11-27 9291
需求 实际开发中可能需要多次读取request中的输入流进行参数校验和修改,但HttpServletRequest是只能被读取一次 问题 public java.io.BufferedReader getReader() Throws: java.lang.IllegalStateException - if getInputStream() method has been...
java.lang.IllegalStateException: getInputStream() has already been called for this request
lhc66666的博客
06-27 3265
ExcelptionHandler中可以传入ServerletRequest作为入参,但是ServerletRequest的inputStream只能被读取一次,发生异常的时候再想去读取body只能悲催的得到一个已经Closed的Stream。 当某些时候, tomcat已经读取过一次了,导致抛异常! 使用ContentCachingRequestWrapper 1. 通过过滤器将ServerletRequest封装成Cont...
http post提交数组
日拱一卒,功不唐捐
12-07 1万+
http post提交数组
深度使用@RequestBody,传入实体?传入数组?传入集合?这都过于低端,我所说的是如何获取前端传来多个不同的对象实体,并且是不同的对象类型
wzhyanshen的博客
08-01 4184
https://www.cnblogs.com/mahuan2/p/6008832.html 有的人可能认为这样直接传入使用多个@RequestBody不就可以吗?哦!这样的话,博主给你看看是这样的形式不  看代码-------------------controller   API接口     @RequestMapping("/searchImprove")     @ResponseB...
@RequestBody 接收数组、List 参数、@Deprecated 标记废弃方法
热门推荐
蚩尤后裔-汪茂雄
07-09 11万+
目录 @RequestBody 概述 接收单个 String 参数 接收 字符串数组 参数 接收 List<Map<String,Object> 参数 接收整形数组 接收单个 POJO 对象 接收 POJO List 参数 @RequestBody 概述 1、@RequestBody 主要用来接收前端传递给后端的 json 格式的数据的(请求体中的数据的) 2、...
body区域怎么传一个数组_小程序之八,对象数组、循环及条件渲染
weixin_34055902的博客
12-05 319
富力丹麦小镇P20-602的春天一、对象数组很多情况下,我们需要多次显示同一个条目(item),或者说是某个类的不同实例对象。类似如下:那么,你可以写很复杂的WXML,“手工”地为每个对象书写一块WXML,显示一个对象,向下面这个代码:<viewclass="allbody-flex"><viewclass="title">TOMMY游记view&gt...
DB2编程与SQL实战指南(第7版)
此外,该书还强调了适应性,因为IBM定期为DB2 for OS/390和z/OS的用户发布技术更新,这些可以通过CD-ROM或网站(目前在www.ibm.com/software/data/db2/os390)获取。因此,读者在阅读过程中应该确保他们使用的书籍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值