HttpServletRequestWrapper的使用场景总结

已于 2024-06-26 17:54:47 修改
阅读量750 收藏 11
点赞数 8
分类专栏: 框架 网络编程 文章标签: java
于 2024-01-16 23:05:23 首次发布
好好学习天天向上
本文链接:https://blog.csdn.net/weixin_37646636/article/details/135637534
版权

目录标题

[Q&A] jakarta.servlet.http.HttpServletRequestWrapper

该类作为 HttpServletRequest 接口的包装器实现。并且设计为一个装饰器模式的实现,主要用于在不修改原有请求对象的基础上,扩展或修改HttpServletRequest对象的行为,而不需要直接实现 HttpServletRequest 接口。

[Q&A] 使用场景

1・安全过滤:可以在请求到达目标Servlet之前,对请求参数进行安全检查或过滤敏感信息。
2・日志记录:记录请求的详细信息,如URL、参数、Header等,用于监控或审计。
3・参数修改:动态修改请求中的参数或添加新的参数,以适应特定业务需求。
4.请求模拟:在单元测试中,可以创建一个模拟的HttpServletRequest对象来测试Servlet的行为。

样例:获取requestBody的内容

添加或删除请求头信息
实现请求级的安全控制,如防止 XSS(跨站脚本攻击)或 SQL 注入等安全风险

import com.zhangziwa.practisesvr.utils.stream.StreamIUtils;
import jakarta.servlet.ReadListener;
import jakarta.servlet.ServletInputStream;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletRequestWrapper;
import org.apache.commons.text.StringEscapeUtils;

import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.UnsupportedEncodingException;

public class FilterHttpRequestBodyWrapper extends HttpServletRequestWrapper {
    private final byte[] bodyByteArr; // 字节数组
    private final ByteArrayInputStream byteArrayInputStream; // 从字节数组读取数据的输入流
    private BufferedReader bufferedReader; // getReader()
    private ServletInputStream servletInputStream; // getInputStream()

    public FilterHttpRequestBodyWrapper(HttpServletRequest request) throws IOException {
        super(request);
        bodyByteArr = StreamIUtils.readStream2Bytes(request.getInputStream());
        byteArrayInputStream = new ByteArrayInputStream(bodyByteArr);
    }

    public String getBodyByteArr() throws UnsupportedEncodingException {
        return new String(bodyByteArr, getCharacterEncoding());
    }

    /**
     * 覆盖父类方法,实现获取参数时自动对参数值进行XSS攻击过滤。
     *
     * @param name 参数名
     * @return 如果参数存在,则返回经过HTML转义的、已过滤XSS攻击的参数值;若参数不存在,则返回null
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (value != null) {
            // 使用StringEscapeUtils.escapeHtml4对请求参数进行XSS攻击过滤
            return StringEscapeUtils.escapeHtml4(value);
        }
        return null;
    }

    /**
     * 重写父类的getCharacterEncoding方法,获取请求的字符编码。
     * 若当前请求的字符编码未设置或为空,则默认返回"utf-8"作为字符编码。
     *
     * @return 请求的字符编码,若原编码为空则返回"utf-8"
     */
    @Override
    public String getCharacterEncoding() {
        String encoding = super.getCharacterEncoding();
        return encoding == null ? "utf-8" : encoding;
    }

    /**
     * 重写父类或接口中的getReader方法,提供一个BufferedReader对象。
     *
     * @return 返回一个根据请求体内容和字符编码方式创建的BufferedReader对象
     */
    @Override
    public BufferedReader getReader() {
        if (bufferedReader == null) {
            try {
                // 封装一个BufferedReader对象以提高读取效率
                bufferedReader = new BufferedReader(new InputStreamReader(byteArrayInputStream, getCharacterEncoding()));
            } catch (UnsupportedEncodingException e) {
                throw new RuntimeException("Unsupported encoding: ", e);
            }
        }
        return bufferedReader;
    }

    /**
     * 重写父类的 getInputStream 方法,提供一个自定义的 ServletInputStream 实例,
     * 该实例从内部的 byteArrayInputStream 中读取数据,并支持监听器模式。
     *
     * @return 自定义的 ServletInputStream 实例,用于读取请求体数据
     */
    @Override
    public ServletInputStream getInputStream() {
        // 确保 servletInputStream 的初始化在多线程环境下是安全的
        if (servletInputStream == null) {
            synchronized (this) {
                // 创建并初始化一个 ServletInputStream 子类实例
                servletInputStream = new ServletInputStream() {
                    /**
                     * 从内部的 byteArrayInputStream 中读取下一个字节数据
                     *
                     * @return 下一个可读字节,如果已到达流末尾则返回 -1
                     */
                    @Override
                    public int read() {
                        return byteArrayInputStream.read();
                    }

                    /**
                     * 判断是否已经读取完所有数据,即 byteArrayInputStream 是否还有可用数据
                     *
                     * @return 如果没有更多数据可供读取,则返回 true;否则返回 false
                     */
                    public boolean isFinished() {
                        return byteArrayInputStream.available() == 0;
                    }

                    /**
                     * 指示此输入流是否准备好进行读取操作
                     *
                     * @return 始终返回 true,表示此输入流始终处于就绪状态
                     */
                    public boolean isReady() {
                        return true;
                    }

                    /**
                     * 设置 ReadListener 监听器,用于异步读取数据。此处未实现具体逻辑。
                     *
                     * @param readListener 用于处理数据读取事件的 ReadListener 实例
                     */
                    @Override
                    public void setReadListener(ReadListener readListener) {
                    }
                };
            }
        }
        return servletInputStream;
    }
}

样例使用

public class RequestCheckFilter extends GenericFilterBean {
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        if (!(request instanceof HttpServletRequest)) {
            chain.doFilter(request, response);
            return;
        }
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        
        FilterHttpRequestBodyWrapper filterHttpRequest = new FilterHttpRequestBodyWrapper(httpRequest);
        String body = filterHttpRequest.getBodyByteArr();
        filterHttpRequest.setAttribute("requestBodyData", body);
        
        chain.doFilter(filterHttpRequest, response);
    }
}

样例:获取requestBody的内容

转换请求体数据

StudentParamHttpRequestWrapper 是一个自定义的 HttpServletRequest 包装类,主要用于在处理 HTTP 请求时对学生的特定参数进行封装和预处理。它主要用于解决以下问题:
1・对请求参数的统一管理和验证,例如检查学号(studentId)、姓名(name)等字段的有效性。
2・在过滤器、拦截器或控制器中便捷地访问和操作学生相关信息,无需重复解析原始请求参数。

import com.zhangziwa.practisesvr.model.Student;
import com.zhangziwa.practisesvr.utils.JsonUtils;
import jakarta.servlet.ReadListener;
import jakarta.servlet.ServletInputStream;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletRequestWrapper;

import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;

/
 * StudentParamHttpRequestWrapper 是一个自定义的 HttpServletRequest 包装类,它继承或实现 HttpRequestWrapper 类,
 * 主要用于在处理 HTTP 请求时对学生的特定参数进行封装和预处理。此类允许开发者方便地获取、验证以及修改请求中的学生相关参数,
 * 提供了一种集中管理与学生信息相关的请求参数的方式。
 * 它主要用于解决以下问题:
 * 1. 对请求参数的统一管理和验证,例如检查学号(studentId)、姓名(name)等字段的有效性。
 * 2. 在过滤器、拦截器或控制器中便捷地访问和操作学生相关信息,无需重复解析原始请求参数。
 * 注意:此包装类的具体实现可能需要根据实际项目需求来调整。
 */
public class StudentParamHttpRequestWrapper extends HttpServletRequestWrapper {
    private final String body;

    public StudentParamHttpRequestWrapper(HttpServletRequest request, Student vo) {
        super(request);
        this.body = JsonUtils.toJson(vo);
    }

    @Override
    public String getCharacterEncoding() {
        String encoding = super.getCharacterEncoding();
        return encoding == null ? "utf-8" : encoding;
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream(), getCharacterEncoding()));
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes(getCharacterEncoding()));
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }

            public boolean isFinished() {
                return byteArrayInputStream.available() == 0;
            }

            public boolean isReady() {
                return true;
            }

            @Override
            public void setReadListener(ReadListener readListener) {
            }
        };
    }
}

样例使用

# 使用
StudentParamHttpRequestWrapper filterHttpRequest = new StudentParamHttpRequestWrapper(httpRequest, new Student());
chain.doFilter(filterHttpRequest, response);

参考

[Ref] StreamIUtils 共通方法最佳实践

张紫娃
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【SpringBoot笔记30】SpringBoot之自定义HttpServletRequestWrapper实现流的重复使用
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 CSDN 记录学习心得和笔记内容。
06-10 1623
HttpServletRequestWrapperjavax.servlet包下提供的一个类,它是专门用于对HttpServletRequest请求对象进行包装的类,通过继承HttpServletRequestWrapper类,重写其中的方法,就可以对HttpServletRequest对象进行一些自定义的修改,例如:自定义HttpServletRequestWrapper类,对request流进行包装,实现流的重复使用,解决流关闭问题,这在实际的开发项目中,可能会经常遇到。
HttpServletRequestWrapper
05-08
这是一个关于HttpServletRequestWrapper使用的列子,工作需要,所以传上来的。
HttpServletRequestWrapper 用法
05-26
NULL 博文链接:https://fishhappy365.iteye.com/blog/484185
使用HttpServletRequestWrapper解决web项目request数据流无法重复读取的问题
dream_xin2013的专栏
01-26 970
在做web项目开发时,我们有时候需要做一些前置的拦截判断处理,比如非法参数校验,防攻击拦截,统一日志处理等,而请求参数如果是form表单提交还好处理;对于json这种输入流的数据就会有问题,统一处理如果读取了数据流就会将流进行关闭,这就会导致接下来的业务处理无法读取数据流。封装成这个类就是为了解决需要重复读取输入流的地方就使用这个包装类替换原有的request对象。
解决RequestContextHolder获取请求的javax与Jakarta不匹配的问题
最新发布
chdhdhbv的博客
05-27 261
是来自javax.servlet.http.HttpServletRequest;HttpServletRequest request来自jakarta.servlet.http.HttpServletRequest;但凡不匹配,找不到类等问题都来自于版本问题,同学们可以查阅版本。更新依赖spring web依赖就成功解决。
HttpServletRequestWrapper作用
哈哈
04-11 721
[code="java"] HttpServletRequestWrapper相关 应用一:解决tomcat下中文乱码问题(先来个简单的) 在tomcat下,我们通常这样来解决中文乱码问题: 过滤器代码: package filter; import java.io.*; import javax.servlet.*; import ja...
Spring: HttpServletRequestWrapper的作用
玉汝于成
02-29 1076
定制请求参数:通过继承 HttpServletRequestWrapper 类,你可以重写 getParameter()、getParameterValues() 等方法,实现对请求参数的自定义处理逻辑,例如添加、修改、删除某些参数。过滤请求内容:可以在 HttpServletRequestWrapper 中重写 getInputStream() 和 getReader() 方法,实现对请求体内容的过滤或修改,比如日志记录、数据加密等操作。
HttpServletWrapperHttpServletResponseWrapper
qq_41781070的博客
07-14 253
1). Servlet API 中提供了一个 HttpServletRequestWrapper 类来包装原始的 request 对象, HttpServletRequestWrapper 类实现了 HttpServletRequest 接口中的所有方法, 这些方法的内部实现都是仅仅调用了一下所包装的的 request 对象的对应方法 //包装类实现 ServletRequest 接口. publ...
HttpServletRequestWrapper使用技巧(自定义session和缓存InputStream)
aipiannian6725的博客
10-10 1096
一、前言   javax.servlet.http.HttpServletRequestWrapper 是一个开发者可以继承的类,我们可以重写相应的方法来实现session的自定义以及缓存InputStream,在程序中可以多次获取request body的内容。 二、自定义seesion import javax.servlet.http.*; public class...
使用HttpServletRequestWrapper在filter修改request参数
04-12
标题“使用HttpServletRequestWrapper在filter修改request参数”揭示了主要知识点,即如何在过滤器中通过自定义`HttpServletRequestWrapper` 子类来动态改变请求参数。这通常用于处理如数据验证、安全过滤、参数转换...
HttpServletRequestWrapper应用(二):包装文件上传请求
03-19
在标题“HttpServletRequestWrapper应用(二):包装文件上传请求”中,我们将探讨如何利用这个类来处理文件上传的场景。在这个过程中,我们将深入理解`HttpServletRequestWrapper`的工作原理,以及如何与Servlet...
通用签名SDK源码+使用教程.zip
02-13
作用是保证指定时间(当前是2分钟)内请求不重复 sign:签名结果通用签名SDK源码+使用教程.zip通用签名SDK源码+使用教程.zip通用签名SDK源码+使用教程.zip通用签名SDK源码+使用教程.zip通用签名SDK源码+使用教程.zip...
继承HttpServletRequestWrapper自定义,重复消费请求参数
Coco_chun的博客
03-25 3286
package com.xxx.request; import javax.servlet.ReadListener; import javax.servlet.ServletInputStream; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import java.io.ByteArrayInputStream; import java.io.IO.
【Filter操作Request/Response数据】HttpServletRequestWrapper使用技巧(自定义session和缓存InputStream)
MayMatrix 的博客
09-11 1045
一、前言   javax.servlet.http.HttpServletRequestWrapper 是一个开发者可以继承的类,我们可以重写相应的方法来实现session的自定义以及缓存InputStream,在程序中可以多次获取request body的内容。 二、自定义seesion import javax.servlet.http.*; public class CustomizeHttpServletRequest extends HttpServletRequestWrapper {
阿昌教你自定义拦截器&自定义参数解析器&自定义包装HttpServletRequest
阿昌爱Java
11-05 1304
前言 这次也是依然在学习开源项目Tduck-填鸭收集器的时,阿昌在研究这项目是如何进行安全校验的,我一开始在项目里面查Shiro/SpringSecurity,我以为他使用了市面主流的安全框架,但是发现,他根本没有使用,而是自定义了一系列的 拦截器&过滤器 来实现安全的校验。 比如,通过自定义注解来决定这个资源是否需要用户登录才能够访问。 在项目中我发现的自定义注解有三个 @Login @LoginUser @NoRepeatSubmit 在开始前,放上SpringMVC的执行流程 镇场:
HttpServletRequestWrapper 使用笔记
热门推荐
lin1214000999的博客
06-01 1万+
产生背景: HttpServletRequest 不能对前端传来的参数进行修改,但实际场所像过滤xss攻击,取认证token统一去除token前缀等需要进行请求参数的处理。此时HttpServletRequestWrapper 就应运而生了。原理: HttpServletRequestWrapper 采用装饰者模式对HttpServletRequest进行包装,我们可以通过继承HttpServletRequestWrapper 类去重写getParameterValues,getParameter等方
HttpServletRequestWrapper介绍
weixin_48453772的博客
06-06 1326
HttpServletRequest 对参数值的获取实际调的是org.apache.catalina.connector.Request,没有提供对应的set方法修改属性,所以不能对前端传来的参数进行修改,实际场所像过滤xss攻击,获取认证token统一去除token前缀等需要进行请求参数的处理,此时HttpServletRequestWrapper 就应运而生。
利用HttpServletRequestWrapper来支持可重复读取HttpServletRequest中的请求输入流且不影响Controller层的参数获取
LSL1618的博客
01-20 3074
HttpServletRequest中的请求输入流不可重复读取的原因就不叙述了,一堆搜索结果随便看,直接看步骤正文: 1.定义请求包装器,继承于 HttpServletRequestWrapper import lombok.extern.slf4j.Slf4j; import org.apache.commons.lang3.ArrayUtils; import org.apache.commons.lang3.StringUtils; import org.springframework.ht.
Servlet规范系列 之 HttpServletRequestWrapper源码分析
键盘上流淌的日子
08-16 4574
欢迎大家关注本博,同时欢迎大家评论交流,可以给个赞哦!!!   实际应用场景中,有时可能会有这样的需求:需要在请求进入应用之前,对请求进行统一处理,增加或减少到达应用的数据量,或者变换应用使用HttpServletRequest的API,这时就可以创建一个类继承HttpServletRequestWrapper,它可以对HttpServletRequest进行再封装,然后之后的请求都会经过这个类,应用接收到的请求对象也会是这个类。   HttpServletRequestWrapper集成了Servl.
使用HttpServletRequestWrapper解决
04-29
HttpServletRequestWrapper 是一个用来增强 HttpServletRequest 的类,它实现了 HttpServletRequest 接口,并且可以通过继承它来对 HttpServletRequest 进行增强。 下面是一个使用 HttpServletRequestWrapper 的示例代码: ```java public class CustomHttpServletRequestWrapper extends HttpServletRequestWrapper { private Map<String, String[]> customParams; public CustomHttpServletRequestWrapper(HttpServletRequest request) { super(request); customParams = new HashMap<>(); } public void addParameter(String name, String value) { String[] values = customParams.get(name); if (values == null) { values = new String[] { value }; } else { values = Arrays.copyOf(values, values.length + 1); values[values.length - 1] = value; } customParams.put(name, values); } @Override public String getParameter(String name) { String[] values = customParams.get(name); if (values != null && values.length > 0) { return values[0]; } return super.getParameter(name); } @Override public String[] getParameterValues(String name) { String[] values = customParams.get(name); if (values != null && values.length > 0) { return values; } return super.getParameterValues(name); } } ``` 这个类继承了 HttpServletRequestWrapper,并且实现了添加参数和获取参数的方法。在 addParameter 方法中,我们将自定义的参数存储到 customParams 中;在 getParameter 和 getParameterValues 方法中,我们首先从 customParams 中获取参数值,如果没有则调用父类的方法获取。 使用这个类可以很方便地对 HttpServletRequest 进行增强,比如在参数中添加一些自定义参数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值