前端拦截器过滤接口

最新推荐文章于 2022-11-20 21:35:29 发布
最新推荐文章于 2022-11-20 21:35:29 发布
阅读量1.5k 收藏 1
点赞数
文章标签: 前端 javascript 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43837796/article/details/121244549
版权
本文介绍了如何通过JavaScript对API请求和响应进行拦截,以防止SQL注入攻击。通过使用正则表达式匹配并替换敏感字符,然后在响应中移除这些替换字符,确保前端显示正常。文章展示了原始代码和优化后的代码,减少了代码量并提高了性能,特别是在处理POST请求时。优化过程中,使用了JSON.stringify方法,并处理了值为undefined的情况。
摘要由CSDN通过智能技术生成

最近公司项目老有现场反馈,提交的字符被sql注入干掉了,我接到任务解决一下,过滤请求接口,判断一下是否存在会被屏蔽的字符,然后进行替换,在响应器之中再过滤一下替换过的字符,这样前端显示就没有问题了,在数据库里存储的就是被替换过的字符。

import {intercepts} from './intercepts';

// 请求拦截器
axios.interceptors.request.use((request) => {
    return request= intercepts.formatSql(request);
});

// 响应拦截器
axios.interceptors.response.use(
    response => {
        response.data = intercepts.formatRes(response.data);
        return response
    }    
);

下面是封装的js文件:

const intercepts = {
    formatSql: function(request) {
        let reg = /select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|drop|execute/;
        let regArr = ['select', 'update', 'and', 'or', 'delete', 'insert', 'trancate', 'char', 'into', 'substr', 'ascii', 'declare', 'exec', 'count', 'master', 'drop', 'execute'];
        for (let i in request.data) { // 判断data中每一项的数据类型
            if (Array.isArray(request.data[i])) { // 为数组项
                let isTwoArray = request.data[i].some(items => { // 判断是否为二维数组
                    return Array.isArray(items);
                });
                request.data[i].forEach(oneItem => {
                    if (Object.prototype.toString.call(oneItem) === '[object Object]') { // arr子项为obj
                        for (let a in oneItem) {
                            if (reg.test(oneItem[a])) {
                                oneItem[a] = this.checkSqlString(regArr, oneItem[a]); // 替换字符
                            }
                        }
                    } else { // arr子项为string
                        if (reg.test(oneItem)) {
                            oneItem = this.checkSqlString(regArr, oneItem); // 替换字符
                        }
                    }
                });
                if (isTwoArray) {
                    let twoIndex = request.data[i].findIndex(items => { // 寻找存在二维数组的项的index
                        return Array.isArray(items);
                    });
                    request.data[i][twoIndex].forEach(twoItem => {
                        if (Object.prototype.toString.call(twoItem) === '[object Object]') { // arr子项为obj
                            for (let b in twoItem) {
                                if (reg.test(twoItem[b])) {
                                    twoItem[b] = this.checkSqlString(regArr, twoItem[b]); // 替换字符
                                }
                            }
                        } else { // arr子项为string
                            if (reg.test(twoItem)) {
                                twoItem = this.checkSqlString(regArr, twoItem); // 替换字符
                            }
                        }
                    });
                }
            } else if (Object.prototype.toString.call(request.data[i]) === '[object Object]') { // 为对象类型
                for (let c in request.data[i]) {
                    if (reg.test(request.data[i][c])) {
                        request.data[i][c] = this.checkSqlString(regArr, request.data[i][c]); // 替换字符
                    }
                }
            } else { // 为字符串类型
                if (reg.test(request.data[i])) {
                    request.data[i] = this.checkSqlString(regArr, request.data[i]);
                }
            }
        }
    },
    formatRes: function(response) {
        let str = JSON.stringify(data, (key, val) => typeof val === 'undefined' ? '' : val);
        let reg = '`#@@#`';
        if (str.indexOf(reg) > -1) {
            str = str.replace(/`#@@#`/g, '');
        }
        return JSON.parse(str);
    },
    checkSqlString: function (regArr, string) {
        regArr.forEach(regItem => {
            if (string.indexOf(regItem) !== -1) {
                switch (regItem) {
                case 'select':
                    string = string.replace(/select/, 's`#@@#`elect');// 'select'
                    break;
                case 'update':
                    string = string.replace(/update/, 'u`#@@#`pdate');// 'update'
                    break;
                case 'and':
                    string = string.replace(/and/, 'a`#@@#`nd');// 'and'
                    break;
                case 'or':
                    string = string.replace(/or/, 'o`#@@#`r');// 'or'
                    break;
                case 'delete':
                    string = string.replace(/delete/, 'd`#@@#`elete');// 'delete'
                    break;
                case 'insert':
                    string = string.replace(/insert/, 'i`#@@#`nsert');// 'insert'
                    break;
                case 'trancate':
                    string = string.replace(/trancate/, 't`#@@#`rancate');// 'trancate'
                    break;
                case 'char':
                    string = string.replace(/char/, 'c`#@@#`har');// 'char'
                    break;
                case 'into':
                    string = string.replace(/into/, 'i`#@@#`nto');// 'into'
                    break;
                case 'substr':
                    string = string.replace(/substr/, 's`#@@#`ubstr');// 'substr'
                    break;
                case 'ascii':
                    string = string.replace(/ascii/, 'a`#@@#`scii');// 'ascii'
                    break;
                case 'declare':
                    string = string.replace(/declare/, 'd`#@@#`eclare');// 'declare'
                    break;
                case 'exec':
                    string = string.replace(/exec/, 'e`#@@#`xec');// 'exec'
                    break;
                case 'count':
                    string = string.replace(/count/, 'c`#@@#`ount');// 'count'
                    break;
                case 'master':
                    string = string.replace(/master/, 'm`#@@#`aster');// 'master'
                    break;
                case 'drop':
                    string = string.replace(/drop/, 'd`#@@#`rop');// 'drop'
                    break;
                case 'execute':
                    string = string.replace(/execute/, 'e`#@@#`xecute');// 'execute'
                    break;
                default: break;
                };
            }
        });
        return string;
    },
};
export {intercepts};

到这里就替换成功了 但是代码量实在是有点多,而且出于性能考虑,也不理想。于是就思考下其中的优化之道。在大佬指点下得到了可以使用 stringify 这个方法,而且只需要对post类型的接口进行请求过滤就可以了。而且stringify 这个方法有个弊端就是 会过滤掉值为 undefined 的 虚值,所以需要考虑到这种情况的出现。

下面是修改后的代码

import {intercept} from './intercept';

// 请求拦截器
axios.interceptors.request.use((request) => {
    if (request.method === 'post' && request.data) {
        request.data = intercept.formatSql(request.data);
    }
    return request;
});

// 响应拦截器
axios.interceptors.response.use(
    response => {
        response.data = intercept.formatRes(response.data);
        return response;
    }
);

下面是封装到js文件内的方法:

/** 
* @description 替换 sql 正则字符串 , 添加 `#@@#` 至字符串 第一位。.
* formatSql 在拦截器中定位添加.
* formatRes 在响应器中拦截删除.
* @Date 2021-11-09
*/
const intercept = {
    // sql注入
    formatSql: function(data) {
        let str = JSON.stringify(data);
        let reg = /\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|drop|execute)\b/g;
        let res = str.match(reg);
        if (res && res.length) {
            let list = Array.from(new Set(res));
            for (let i = 0; i < list.length; i++) {
                switch (list[i]) {
                case 'select': str = str.replace(/\b(select)\b/g, 'se`#@@#`lect'); break;
                case 'update': str = str.replace(/\b(update)\b/g, 'up`#@@#`date'); break;
                case 'and': str = str.replace(/\b(and)\b/g, 'an`#@@#`d'); break;
                case 'or': str = str.replace(/\b(or)\b/g, 'o`#@@#`r'); break;
                case 'delete': str = str.replace(/\b(delete)\b/g, 'de`#@@#`lete'); break;
                case 'insert': str = str.replace(/\b(insert)\b/g, 'in`#@@#`sert'); break;
                case 'trancate': str = str.replace(/\b(trancate)\b/g, 'tra`#@@#`ncate'); break;
                case 'char': str = str.replace(/\b(char)\b/g, 'ch`#@@#`ar'); break;
                case 'into': str = str.replace(/\b(into)\b/g, 'i`#@@#`nto'); break;
                case 'substr': str = str.replace(/\b(substr)\b/g, 'su`#@@#`bstr'); break;
                case 'ascii': str = str.replace(/\b(ascii)\b/g, 'as`#@@#`cii'); break;
                case 'declare': str = str.replace(/\b(declare)\b/g, 'dec`#@@#`lare'); break;
                case 'exec': str = str.replace(/\b(exec)\b/g, 'ex`#@@#`ec'); break;
                case 'count': str = str.replace(/\b(count)\b/g, 'co`#@@#`unt'); break;
                case 'master': str = str.replace(/\b(master)\b/g, 'ma`#@@#`ster'); break;
                case 'drop': str = str.replace(/\b(drop)\b/g, 'dr`#@@#`op'); break;
                case 'execute': str = str.replace(/\b(execute)\b/g, 'ex`#@@#`ecute'); break;
                default: break;
                }
            }
        }
        return JSON.parse(str);
    },
    formatRes: function(data) {
        let str = JSON.stringify(data, (key, val) => typeof val === 'undefined' ? '' : val);
        let reg = '`#@@#`';
        if (str.indexOf(reg) > -1) {
            str = str.replace(/`#@@#`/g, '');
        }
        return JSON.parse(str);
    }
};
export {intercept};

到此就解决啦,但是还有细节可以优化,可以将 switch 进行优化,使用变量来定义正则,然后通过截取字符串进行拼接的方式进行优化,可以节约很多的代码量,并且对异常情况进行了处理,尽可能规避掉。

优化后:

/**
 * @description 替换 sql 正则字符串 , 添加 `#@@#` 至字符串 第一位。.
 * formatSql 在拦截器中定位添加.
 * formatRes 在响应器中拦截删除.
 * @Date 2021-11-09
 */
const intercept = {
    // sql注入
    formatSql: function(data) {
        let str = JSON.stringify(data);
        let reg = /\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|drop|execute)\b/g;
        let res = str.match(reg);
        if (res && res.length) {
            let list = Array.from(new Set(res));
            for (let i = 0; i < list.length; i++) {
                let sqlReg = new RegExp('\\b(' + list[i] + ')\\b', 'g');
                str = str.replace(sqlReg, list[i].substr(0, 1) + '`#@@#`' + list[i].substr(1));
            }
            return JSON.parse(str);
        } else {
            return data;
        }
    },
    formatRes: function(response) {
        let str = JSON.stringify(response, (key, val) => typeof val === 'undefined' ? '' : val);
        let reg = '`#@@#`';
        if (str.indexOf(reg) > -1) {
            str = str.replace(/`#@@#`/g, '');
            return JSON.parse(str);
        } else {
            return response;
        }
    }
};
export {intercept};

到这里就圆满结束啦,感谢观看!(多谢丁大佬的指导)。

歹戏拖棚
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Filter接口实现的过滤
MCCdds的博客
11-04 1139
1.init(FilterConfig filterConfig):该方法是对filter对象进行初始化的方法,仅在容器初始化filter对象结束后被调用一次,参数FilterConfig可以获得filter的初始化参数;,也可以理解为一种预处理手段,对资源进行拦截后,将其中我们认为的杂质(用户自己定义的)过滤,符合条件的放行,不符合的则拦截下来。过滤器,顾名思义就是起到过滤筛选作用的一种事物,只不过相较于现实生活中的过滤器,这里的过滤过滤的对象是。过滤器中常用的是Filter接口
学习笔记之初始化前端项目---接口拦截 angular和vue的接口拦截
rain_tsubasa的博客
04-22 350
以下参考https://blog.csdn.net/jing165121/article/details/52064656学习 angularjs接口权限 通过实现 request 方法拦截请求: 该方法会在 $http 发送请求道后台之前执行,因此你可以修改配置或做其他的操作。该方法接收请求配置对象(request configuration object)作为参数,然后必须返回配置对象或者...
Vue:Axios前端拦截器
席木木的博客
07-26 3431
限制用户多次点击按钮,频繁地发送同一个请求,影响页面渲染效果,降低前端的无效接口请求操作(其中涉及到Map、Array、Promise的一些基本操作)。
前端拦截
weixin_34289454的博客
05-27 1121
(路由拦截) // 首先在定义路由的时候就需要多添加一个自定义字段requireAuth,用于判断该路由的访问是否需要登录。如果用户已经登录,则顺利进入路由, const routes = [ { path: '/', name: '/', component: Index }, { path: '/repo...
SpringMVC拦截器拦截器接口方法演示
weixin_40055163的博客
10-21 1187
SpringMVC拦截器拦截器接口方法演示 1.编写自定义拦截器的代码如下: package com.txw.controller.interceptor; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import javax.servlet.http.HttpServletRequest; import javax.serv
过滤器拦截并处理request请求
12-04
通过实现`javax.servlet.Filter`接口,我们可以创建自定义的过滤器。过滤器的主要方法有`init()`, `doFilter()`, 和`destroy()`。`doFilter()`方法是核心,它会在每次请求到达目标Servlet之前和之后被调用。 在`...
过滤器和ajax
11-17
过滤器是Servlet API提供的一种机制,它允许我们在请求被处理之前或之后进行拦截和处理。通过实现javax.servlet.Filter接口,我们可以创建自定义过滤器来执行诸如身份验证、数据转换、日志记录等任务。在描述中提到...
jsp用过滤器解决中文乱码问题的方法
01-20
`jsp用过滤器解决中文乱码问题的方法`这个标题所指的知识点是利用Servlet规范中的Filter接口来解决这个问题。Filter是Java Servlet API中的一种机制,允许我们在请求到达目标Servlet或JSP之前以及响应离开Servlet...
struts2 拦截器
05-28
1. **拦截器是什么**:拦截器是一种动态拦截Action调用的对象,它可以理解为一个过滤器,它在Action被调用之前和之后执行特定的逻辑。Struts2的拦截器是基于Java的Servlet Filter机制实现的,但是更加强大和灵活。 ...
java过滤器对所有参数去除前后空格
06-20
对项目中的所有参数去除前后空格...可以基于此过滤器实现过滤跨站脚本攻击,参数的增加,修改!敏感词汇过滤。实现原理为重写HttpServletRequestWrapper,获取参数的方法。include和 Forwarded 内部转发不在过滤之内。
前端过滤Ajax请求-Ajax代理
Java__dog的博客
03-09 220
;(function(){ if(typeof window.CustomEvent === 'function') return false; function CustomEvent(event, params) { params = params || {bubbles: false, cancelable: false, detail: undefined}; var evt = document.createElement('CustomEven.
接口错误拦截
qq_44880532的博客
04-20 400
接口错误拦截代码 // 发请求时设置基础值 axios.defaults.baseURL='/api'; axios.defaults.timeout=9000; // 接口错误拦截 axios.interceptors.response.use(function(response){ let res = response.data; if(res.status == 0){ return res.status; }else if (res.status == 10){ wi
30.(前端)请求拦截器设置token
m0_63953077的博客
10-16 1147
请求拦截器设置
前端开发-拦截器
Wsnbb007的博客
11-20 2559
请求拦截器和响应拦截器的作用.
接口错误拦截设置
qq_25503949的博客
05-25 988
接口错误拦截设置 一. 错误怎么提示,取决于后台的架构,后台分底层和业务层,后台把底层的错误抛出来,给业务层,业务层把开发者编写的错误,封装成用户能看懂得错误。 前端负责把错误展示给用户 二.接口错误拦截得种类: 统一报错 未登录同意拦截(在未登陆前,不允许加订单,购物车) 请求值,返回值统一处理 三.axios一个小知识点: 同时发送多个请求:axios.all 或者 promise.all 四.代码设置: 在main.js中: import axios from 'axios' import Vue
过滤器实现前端跨域请求
qq_24724387的博客
09-14 311
1)web.xml中配置过滤器信息 &lt;filter&gt; &lt;filter-name&gt;contextfilter&lt;/filter-name&gt; &lt;filter-class&gt;com.bussiness.wechat.CorsFilter&lt;/filter-class&gt; &lt;/filter&gt; &lt;filter-mapping&
关于用拦截器处理换行符这些特殊字符的方法
gbh666666的博客
12-25 1991
在web.xml中的配置 &lt;!-- 配置处理特殊字符的拦截器 --&gt;     &lt;filter&gt;         &lt;filter-name&gt;HRRecruitFilter&lt;/filter-name&gt;         &lt;filter-class&gt;com.suning.zphr.web.hrrecruit.filter.HRRecruitFi...
利用filter(过滤器)拦截非法字符
系阿升呀的博客
03-22 3619
一、需求 当用户发出非法言论的时候,提示用户言论非法。 二、分析 创建一个表单用于发表言论。 创建一个txt文件,其中存入非法字符。 创建一个Filter,拦截请求。在init方法中将txt文件中的非法字符读取到内存中。 获取请求中的参数,对请求的参数进行非法字符的校验。 如果言论中没有含有非法字符,就放行。 如果言论中含有非法字符,就拦截,并且提示用户非法言论。 三、实现过程 整个案例的结构...
前后端跨域多次拦截问题
王维的博客
11-27 548
最近在部署项目时发现前端请求后端的方法不通,后来发现是因为在gateway网关中配制了全局跨域处理,但微服务模块中的controller中的跨域注解@CrossOrigin没有去掉,导致前端请求被多次拦截,去掉了注解再测试就跑通了 ...
springboot过滤器和拦截器
最新发布
10-24
在Spring Boot中,过滤器可以使用@WebFilter注解来定义,而拦截器可以使用HandlerInterceptor接口来实现。在非Spring项目中,只能使用过滤器,而在处理controller前后,既可以使用拦截器也可以使用过滤器。如果是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值