SpringBoot 之 SpringMVC拦截器从Request中获取参数并解决request的请求流只能读取一次的问题

最新推荐文章于 2024-06-11 23:17:26 发布
最新推荐文章于 2024-06-11 23:17:26 发布
阅读量4k 收藏 9
点赞数 1
分类专栏: 微服务springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouzhiwengang/article/details/101031353
版权

为什么使用RequestBody只能读取一遍请求数据流?

         那是因为流对应的是数据,数据放在内存中,有的是部分放在内存中。read 一次标记一次当前位置(mark position),第二次read就从标记位置继续读(从内存中copy)数据。 所以这就是为什么读了一次第二次是空了。 怎么让它不为空呢?只要inputstream 中的pos 变成0就可以重写读取当前内存中的数据。javaAPI中有一个方法public void reset() 这个方法就是可以重置pos为起始位置,但是不是所有的IO读取流都可以调用该方法!ServletInputStream是不能调用reset方法,这就导致了只能调用一次getInputStream()。

解决办法:重写HttpServletRequestWrapper方法

        这种方法就是通过重写HttpServletRequestWrapper把request的保存下来,然后通过过滤器保存下来的request在填充进去,这样就可以多次读取request了

 

功能代码:

package com.digipower.erms.request.wrapper;

import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.nio.charset.Charset;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.commons.io.IOUtils;
import org.apache.commons.lang.StringEscapeUtils;

public class SQLInjectionHttpServletRequestWrapper extends HttpServletRequestWrapper {

	private final byte[] bytes;

	public SQLInjectionHttpServletRequestWrapper(HttpServletRequest request) throws IOException {
		super(request);

		// 读取输入流里的请求参数,并保存到bytes里
		bytes = IOUtils.toByteArray(request.getInputStream());
	}

	public String getRequestBodyParame() {
		return new String(bytes, Charset.forName("utf8"));
	}

	/**
	 * 
	 * <p>
	 * Title: getInputStream
	 * </p>
	 * <p>
	 * Description:处理POST请求参数 RequestBody is missing 问题
	 * </p>
	 * 
	 * @return
	 * @throws IOException
	 * @see javax.servlet.ServletRequestWrapper#getInputStream()
	 */
	@Override
	public ServletInputStream getInputStream() throws IOException {
		String body = new String(this.bytes);
		return new BufferedServletInputStream(cleanXSS(body).getBytes());
	}

	class BufferedServletInputStream extends ServletInputStream {
		private ByteArrayInputStream inputStream;

		public BufferedServletInputStream(byte[] buffer) {
			// 此处即赋能,可以详细查看ByteArrayInputStream的该构造函数;
			this.inputStream = new ByteArrayInputStream(buffer);
		}

		@Override
		public int available() throws IOException {
			return inputStream.available();
		}

		@Override
		public int read() throws IOException {
			return inputStream.read();
		}

		@Override
		public int read(byte[] b, int off, int len) throws IOException {
			return inputStream.read(b, off, len);
		}

		@Override
		public boolean isFinished() {
			// TODO Auto-generated method stub
			return false;
		}

		@Override
		public boolean isReady() {
			// TODO Auto-generated method stub
			return false;
		}

		@Override
		public void setReadListener(ReadListener listener) {
			// TODO Auto-generated method stub

		}
	}

	/**
	 * 
	 * <p>
	 * Title: getParameterValues
	 * </p>
	 * <p>
	 * Description: 解决html 和javascript 脚本注入问题
	 * </p>
	 * 
	 * @param name
	 * @return
	 * @see javax.servlet.ServletRequestWrapper#getParameterValues(java.lang.String)
	 */
	@Override
	public String[] getParameterValues(String parameter) {
		// TODO Auto-generated method stub
		String[] values = super.getParameterValues(parameter);
		if (values == null) {
			return null;
		}
		int count = values.length;
		String[] encodedValues = new String[count];
		for (int i = 0; i < count; i++) {
			encodedValues[i] = cleanXSS(values[i]);
		}
		return encodedValues;
	}

	@Override
	public String getParameter(String parameter) {
		String value = super.getParameter(parameter);
		return value;
	}

	@Override
	public String getHeader(String name) {
		String value = super.getHeader(name);
		return value;
	}

}

2、过滤器SQLInjectionFilter

package com.digipower.erms.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;

import com.digipower.erms.request.wrapper.SQLInjectionHttpServletRequestWrapper;
/**
 * 
 * @ClassName:  SQLInjectionFilter   
 * @Description: ServletRequest 读取RequestBody is miss的问题  
 * @date:   2018年11月7日 上午9:03:25   
 *     
 */
@WebFilter(filterName="SQLInjectionFilter",urlPatterns="/*")
public class SQLInjectionFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // TODO Auto-generated method stub
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        // TODO Auto-generated method stub
         if(request instanceof HttpServletRequest) {
             request = new SQLInjectionHttpServletRequestWrapper((HttpServletRequest) request);
         }
         chain.doFilter(request, response);
    }

    @Override
    public void destroy() {
        // TODO Auto-generated method stub

    }

}

springboot 配置Filter

package com.digipower;
 
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.builder.SpringApplicationBuilder;
import org.springframework.boot.web.servlet.ServletComponentScan;
import org.springframework.boot.web.support.SpringBootServletInitializer;
 
@SpringBootApplication
@ServletComponentScan("com.digipowert.erms.filter")
public class Application extends SpringBootServletInitializer {
 
	public static void main(String[] args) {
		// TODO Auto-generated method stub
		 SpringApplication.run(Application.class, args);
	}
	
	@Override
    protected SpringApplicationBuilder configure(SpringApplicationBuilder builder) {
        // 注意这里要指向原先用main方法执行的Application启动类
        return builder.sources(Application.class);
    }
}

现在我们已经完成HttpServletRequest  转换为自定义SQLInjectionHttpServletRequestWrapper  包装对象。

下面说一下其应用场景:SQL 攻击注入、SpringAOP 参数日志记录。

SQL 攻击注入:SpringBoot 之 SpringMVC 实现SQL注入过滤 完整版

SpringAOP 参数日志记录:SpringBoot 之SpringAOP 请求日志记录功能(支持POST和GET)

在奋斗的大道
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringMVC的Body参数拦截的问题
08-27
SpringMVC框架参数拦截是实现业务逻辑数据处理和验证的重要手段。SpringMVC提供了两种主要的拦截机制,用于对请求入参(RequestBody)和响应出参(ResponseBody)进行自定义处理:RequestBodyAdvice和...
在Spring MVC或Spring Boot使用Filter打印请求参数问题
12-21
然而,如果在处理JSON类型的POST请求时,直接在Filter打印请求参数,可能会遇到一些问题,如上述描述的`IOException: Stream closed`异常。这是因为当我们读取请求体时,如果没有正确地管理可能在我们尝试...
springboot进阶】HttpServletRequest输入只能读取一次问题
06-09 3623
本文主要介绍解决HttpServletRequest输入只能读取一次问题,发现这种问题的场景、引起的原因,最后通过HttpServletRequestWrapper + Filter 的方式解决可重复读取请求
Spring MVC 解决request.getInputStream只能读取一次问题(全局替换request)
weixin_30411239的博客
03-23 829
直奔主题   实现方法:     SpringMVC是通过前端控制器(DispatcherServlet)接收请求进行请求转发的,所以可以从这里入手把request对象替换为自定义的request对象,从而解决request的输入只能读取一次问题.   步骤:     1..重写service方法,实现替换request操作 package org.XXX.servlet; ...
SpringBoot通过过滤器获取请求参数
最新发布
Mu_Yue_Yue的博客
06-11 1242
SpringBoot使用过滤器获取请求参数、对参数进行操作或者日志记录
Spring Boot接口验签(拦截器实现&解决Post请求body的输入只能读取一次问题)
聚沙成塔
11-12 9507
SpringBoot集成拦截器-接口签名的统一验证 demo-web module添加拦截器实现类,接口验签使用MD5 package com.springboot.demo.web.interceptor; import com.google.gson.Gson; import com.springboot.demo.common.constants.Constants; import com...
解决HttpServletRequest的输入只能读取一次问题springMVC拦截器获取POST请求参数
NameLoadingFailed的博客
03-12 1705
背景 通常对安全性有要求的接口都会对请求参数做一些签名验证,而我们一般会把验签的逻辑统一放到过滤器拦截器里,这样就不用每个接口都去重复编写验签的逻辑。 在一个项目会有很多的接口,而不同的接口可能接收不同类型的数据,例如表单数据和json数据,表单数据还好说,调用request的getParameterMap就能全部取出来。而json数据就有些麻烦了,因为json数据放在body,我们需要通过request的输入读取。 但问题在于r...
springboot请求只能读取一次问题
weixin_30613343的博客
10-25 1238
场景交代 在springboot添加拦截器进行权限拦截时,需要获取请求参数进行验证。当参数在url后面时(queryString)获取参数进行验证之后程序正常运行。但是,当请求参数请求的时候,通过的方式将请求体取出参数进行验证之后,发现后续程抛出错误: Required request body is missing ... 经过排查,发现ServletInputStream的只能读...
springboot接管SpringMVC1
08-08
在 WebMvcConfigurer ,我们可以重写 addInterceptors 方法来添加拦截器,以防止表单重复提交。 ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void ...
spring mvc拦截器过滤json的null值
12-01
在`preHandle`方法,我们可以读取请求体(request body),将其转换为JSON对象,然后遍历并替换null值为""(空字符串)。 ```java import org.springframework.web.servlet.HandlerInterceptor; import org....
Spring MVC处理ajax请求的跨域问题与注意事项详解
08-28
解决办法是在服务器端设置`Access-Control-Allow-Credentials`为`true`,并在客户端的Ajax请求设置`withCredentials: true`。 2. **用户登录状态验证** 在用户访问受保护的资源时,服务器需要验证Session是否...
java输入错误重新输入无法获取_解决HttpServletRequest的输入只能读取一次问题...
weixin_36060465的博客
02-16 833
背景通常对安全性有要求的接口都会对请求参数做一些签名验证,而我们一般会把验签的逻辑统一放到过滤器拦截器里,这样就不用每个接口都去重复编写验签的逻辑。在一个项目会有很多的接口,而不同的接口可能接收不同类型的数据,例如表单数据和json数据,表单数据还好说,调用request的getParameterMap就能全部取出来。而json数据就有些麻烦了,因为json数据放在body,我们需要通过re...
springboot 处理request.getInputStream()输入只能读取一次问题
z69183787的专栏
08-17 2254
测试发现POST请求参数值可以在拦截器获取到了,本以为大功告成,又发现GET请求不好使了,开始报错Stream closed,一顿操作发现需要在过滤器进行判断,如果是POST请求走自己的继承的HttpServletRequestWrapper类请求,否则走普通的请求。于是网上找答案,发现是ServletRequest的getReader()和getInputStream()两个方法只能被调用一次,而且不能两个都调用。那么如果Filter调用了一次,在Controller里面就不能再调用了。
SpringBoot(10)AOP切入一个方法,只能获取该方法的参数
wgx_0504的博客
04-24 631
有一个Controller的方法addw(int name){},返回值为void,映射路径是/addw,前端传入的参数有name、id、age,现在希望在不改变Controller的方法的前提下,使用AOP切入一个新的方法addall(),此时,addall方法可以获取参数有什么?
SpringBoot 解决request请求只能被读一次问题,在全局异常@RestControllerAdvice ExceptionHandler打印参数
TOP丶Chen
05-10 1093
request.getInputStream()获取请求body里面的内容只能获取一次,ContentCachingRequestWrapper通过这个类能够解决解决HttpServletRequest inputStream只能读取一次问题,但是这个类有缺陷(前提必须是doFilter之前不能使用request.getInputStream()方法)全局异常捕获类打印异常POST请求参数。在全局异常捕获类使用。
SpringBoot HttpServletRequest 请求无法重复读取
weixin_44231769的博客
03-13 575
记录若依框架对HttpServletRequest 请求无法重复读的解决方案
如何解决请求参数为JSON时,采用IO读取只能请求一次问题
I wanna be myself, where I Belong.
05-10 597
当客户端发送一个参数为JSON的请求时,我现在想使用拦截器先将它拦截并缓存起来,但是发现拦截器拦截之后,请求就无法再一次获取到数据,如下
SpringBoot】——SpringBoot 使用@RequestBody 接受不到参数问题
热门推荐
weixin_37603867的博客
07-31 4万+
问题。接受不到参数,纠结。。。。。 1. 看错误接受不到参数:   2. 解决方式: 实体类上增加注解,解决。查看之前实体类截图:   增加注解: @JsonProperty(value = "IdentityCard") (原因: 因为实体类参数和 传入的参数不一致,驼峰命名,具体详细原因不详。增加上这个注解映射后,及可获取实体类参数值) 然后解决,参看增加注解后实...
Springboot踩坑-request body重复读问题
世界很大我很小
10-21 631
一次业务开发,由于需要在拦截器对一个http请求request body内容做解析和判断,所以用了的getInputStream解析了request body内容,之后导致了拦截器处理成功后,原来的业务接口处报request body not found的错误。
springMVC拦截器如何从properties文件获取参数来配置有参xml方式
06-01
可以通过在Spring MVC配置文件定义一个 PropertyPlaceholderConfigurer Bean,并在该 Bean 指定 properties 文件的路径,然后在拦截器的 XML 配置文件通过 ${key} 的方式引用 properties 文件的配置参数。具体步骤如下: 1. 在 Spring MVC 配置文件定义 PropertyPlaceholderConfigurer Bean,指定 properties 文件路径: ``` <bean class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer"> <property name="location"> <value>classpath:config.properties</value> </property> </bean> ``` 2. 在拦截器的 XML 配置文件通过 ${key} 的方式引用 properties 文件的配置参数: ``` <bean id="myInterceptor" class="com.example.MyInterceptor"> <property name="param1" value="${param1}" /> <property name="param2" value="${param2}" /> </bean> ``` 其,param1 和 param2 是在 properties 文件定义的参数名,可以根据实际情况替换成对应的参数名。在 MyInterceptor 类,可以通过 getter 和 setter 方法获取和设置 param1 和 param2 的值。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值