Spingboot使用Filter以及自定义RequestWrapper对post请求进行非法字符拦截

最新推荐文章于 2025-03-06 19:51:10 发布
最新推荐文章于 2025-03-06 19:51:10 发布
阅读量1k 收藏 3
点赞数
文章标签: java 非法字符
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Cz_csdn/article/details/102951987
版权
业务场景:
	微信小程序需要对文本内容进行检测,保障发布内容的安全。
解决方案:
	1.直接使用微信小程序的接口对文本内容进行检测

	2.使用Filter来对所有请求进行拦截 
	
	3.Filter中获取请求参数的方式: 
		get请求:参数可以直接使用request.getParameter获取。	
	    post请求:可以通过request.getInputStream()来获取,但是InputStream对象在被读取完成后,
	    		 将无法被再次读取,始终返回-1。可以通过继承 HttpServletRequestWrapper 类获取
	    		 request.getInputStream()中的数据
代码 :从上往下依次展示

1.自定义Filter

	import com.alibaba.fastjson.JSON;
import com.leadcom.constant.AppReturnContants;
import org.springframework.stereotype.Component;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @ Author     :Cz
 * @ Date       :Created in 16:49 2019/11/6
 * @ Description:
 * @ Modified By:
 */
@Component
@WebFilter(urlPatterns = "/**", filterName = "ParamsFilter", dispatcherTypes = DispatcherType.REQUEST)
public class SecFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        ParameterRequestWrapper parmsRequest = new ParameterRequestWrapper((HttpServletRequest) request);
        if(!parmsRequest.getIllegal()){ //向前端提示有非法字符
            response.setContentType("application/json; charset=UTF-8");
            Map<String, Object> modelMap = new LinkedHashMap<String,Object>();
            modelMap.put(AppReturnContants.Common.CODE, AppReturnContants.R_80000.code);
            modelMap.put(AppReturnContants.Common.MSG, AppReturnContants.R_80000.message);
            modelMap.put("timestamp", System.currentTimeMillis());
            PrintWriter out = response.getWriter();
            out.println(JSON.toJSONString(modelMap));
            out.flush();
        }else {
            chain.doFilter(parmsRequest, response);
        }
    }

    @Override
    public void destroy() {

    }
}

2.自定义ParameterRequestWrapper类继承HttpServletRequestWrapper

import com.alibaba.fastjson.JSON;
import com.leadcom.utils.SecCheckUtil;
import org.apache.commons.io.IOUtils;
import org.apache.commons.lang3.StringUtils;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.util.*;


/**
 * @ Author     :Cz
 * @ Date       :Created in 16:58 2019/11/6
 * @ Description:
 * @ Modified By:
 */
public class ParameterRequestWrapper extends HttpServletRequestWrapper {


    //保存流中的数据
    private byte[] data;

    private Boolean illegal = true;

    public ParameterRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        data = IOUtils.toByteArray(request.getInputStream());
        String json = new String(data, "utf-8");
        if(StringUtils.isNotBlank(json)){ //get请求json为null
            Map<String, Object> map = (Map<String, Object>) JSON.parse(json);
            for (Map.Entry<String, Object> entry : map.entrySet()) {
                //对value进行非法字符检测:非法返回false,反之
                Boolean result = SecCheckUtil.msgCheck(entry.getValue().toString());
                if(!result){
                    illegal = false;
                }
            }
        }
    }

    /**
     * 在使用@RequestBody注解的时候,其实框架是调用了getInputStream()方法,所以我们要重写这个方法
     * @return
     * @throws IOException
     */
    @Override
    public ServletInputStream getInputStream() {
        //在调用getInputStream函数时,创建新的流,包含原先数据流中的信息,然后返回
        return new MyServletInputStream(new ByteArrayInputStream(data));
    }

    class MyServletInputStream extends ServletInputStream {
        private InputStream inputStream;

        public MyServletInputStream(InputStream inputStream) {
            this.inputStream = inputStream;
        }

        @Override
        public int read() throws IOException {
            return inputStream.read();
        }

        @Override
        public boolean isFinished() {
            return false;
        }

        @Override
        public boolean isReady() {
            return false;
        }

        @Override
        public void setReadListener(ReadListener listener) {

        }
    }

    public Boolean getIllegal() {
        return illegal;
    }
}

3.检测是否非法的工具类

public class SecCheckUtil {
	
	/**
     * 文本检测
     * @param content
     * @return
     * @throws IOException
     */
    public static Boolean msgCheck(String content) throws IOException {
        String accessToken = getAccessToken();
        return checkContent(accessToken, content);
    }

	 public static Boolean checkContent(String accessToken, String content) throws IOException {
        CloseableHttpClient httpclient = HttpClients.createDefault();
        CloseableHttpResponse response = null;
        HttpPost request = new HttpPost("https://api.weixin.qq.com/wxa/msg_sec_check?access_token=" + accessToken);
        request.addHeader("Content-Type", "application/json");
        Map<String, String> map = new HashMap<>();
        map.put("content", content);
        String body = JSONObject.toJSONString(map);
        request.setEntity(new StringEntity(body, ContentType.create("text/json", "UTF-8")));
        response = httpclient.execute(request);
        HttpEntity httpEntity = response.getEntity();
        String result = EntityUtils.toString(httpEntity, "UTF-8");// 转成string
        JSONObject jso = JSONObject.parseObject(result);
        return getResult(jso);
    }
	
	 private static Boolean getResult(JSONObject jso) {
        Object errcode = jso.get("errcode");
        int errCode = (int) errcode;
        if (errCode == 0) {
            return true;
        } else if (errCode == 87014) {
            return false;
        }
        return true;
    }
	
	 //获取小程序accessToken
	 public static String getAccessToken() {
		//替换成你的appId和secret
        String requestUrl = "https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=" + WxConstants.APPLETID + "&secret=" + WxConstants.APPLETSECRET;
        JSONObject jsonObject = HttpRequest.httpRequest(requestUrl, "GET", null);
        return jsonObject.getString("access_token");
    }
}

4.postman测试

有非法字符

没有非法字符
在这里插入图片描述

有心usin
关注
SpringBoot笔记30】SpringBoot自定义HttpServletRequestWrapper实现流的重复使用
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 优快云 记录学习心得和笔记内容。
06-10 1803
HttpServletRequestWrapperjavax.servlet包下提供的一个类,它是专门用于对HttpServletRequest请求对象进行包装的类,通过继承HttpServletRequestWrapper类,重写其中的方法,就可以对HttpServletRequest对象进行一些自定义的修改,例如:自定义HttpServletRequestWrapper类,对request流进行包装,实现流的重复使用,解决流关闭问题,这在实际的开发项目中,可能会经常遇到。
【微服务】springboot 自定义注解+反射+aop实现动态修改请求参数
congge
09-01 1万+
springboot 动态修改请求参数常用方案
2022-10-31 拦截器过滤 GET POST 请求中的非法字符,包括可能出现的跨域问题
Patric_K_Star的博客
10-31 631
spring 是用拦截器处理字符的跨域问题处理
装饰器模式--RequestWrapper请求流request无法被重复读取
最新发布
weixin_45368812的博客
03-06 1117
曾经遇见这么一段代码,能看出来是把request又重新包装了一下,核心信息都不会改变后面了解到这叫装饰器模式(Decorator Pattern) :也称为包装模式(Wrapper Pattern) 是指在不改变原有对象的基础之上,将功能附加到对象上,提供了比继承更有弹性的替代方案(扩展原有对象的功能),属于结构型模式。装饰器模式的核心是功能扩展,使用装饰器模式可以透明且动态地扩展类的功能。概念是这样,但还是不懂,好好的,你装饰它干啥?
请求(Request)的参数(Parameter)里包含特殊字符(#等)的正确处理方式
weixin_33709219的博客
01-22 2826
遇到一个问题 在一个地址链接(URL)里使用  url?param1=val1&amp;param2=val2  的方式传递参数,结果在获取参数值时发现不是当初设定的值。   具体案例 以特殊字符井号(#)为例。   部分参数值丢了 JS里设置参数 window.location="some_web_project/xxx.jsp?param_key=abc#xyz"; ...
fiddle拦截post请求
weixin_44735472的博客
03-10 1062
根据post请求的入参,进行不同条件的过滤拦截 fiddler中有个自带的规则URLWithBody:Upload.phpregex:^.BodyText.$(如下图)能够很好的解决这个问题 例如: 需要拦截请求: http://nihao.sogou.com/ body的内容:first=hello http://nihao.sogou.com/ body的内容:first=good htt...
SpringBoot过滤器获取POST请求的JSON参数
林北
12-19 9422
​ 项目中需要将每个请求的路径和请求参数以及响应结果,都记录在日志中,这样在出现问题时可以快速定位是哪里出现了问题。想到了使用过滤器来实现这个功能,当请求来到过滤器时,会有一个Request参数,通过该参数就能获取到请求路径和请求参数,以及相关内容 parameterMap = httpRequest.getParameterMap(); String requestMethod = httpRequest.getMethod(); String remoteAddr = httpRequest.getR
Springboot之登录模块探索(含Token,验证码,网络安全等知识)
yyyy11119的博客
01-19 4181
简介登录模块很简单,前端发送账号密码的表单,后端接收验证后即可~淦!可是我想多了,于是有了以下几个问题(里面还包含网络安全问题):1.登录时的验证码2.自动登录的实现3.怎么维护前后端登录状态在这和大家分享下我实现此功能的过程,包括一些技术和心得1.登录时的验证码为什么要验证码,原因很简单,防止脚本无限次重复登录,来暴力破解用户密码或者攻击服务器验证码的出现,使得每次登录都有个动态变量需要输入,无...
解决springmvc项目中使用过滤器来解决请求方式为post时出现乱码的问题
08-24
主要介绍了springmvc项目中使用过滤器来解决请求方式为post时出现乱码的问题,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
feign使用RequestInterceptor拦截器实现request转发(包括处理特殊字符
热门推荐
qq_35614141的博客
03-29 3万+
feign使用RequestInterceptor拦截器实现request转发(包括处理特殊字符) 最近项目中需要用到feign还要能实现转发,在网上找了很多基本都是一个模板。 ...
springboot经验之sql注入、xss注入拦截POST
lipeng的博客
02-08 4104
简介 sql注入、xss注入、cors攻击的简介以及解决方案,可以参考下面链接: https://blog.youkuaiyun.com/yhhyhhyhhyhh/article/details/84504487 这里我就不做的的介绍了,解决sql注入根本方案在于使用预编译而不是拼接sql, 而通常拦截参数都只有针对GET方法,下面介绍下POST方法 POST防注入方案 1、增加httprequest包装类 ...
Springboot过滤器,过滤相应的方法接口和对POST数据的拦截并通过文件上传
黑科技的专栏
07-09 1172
import lombok.extern.slf4j.Slf4j; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import java.io.IOException; @Slf4j @Component @WebFilte..
关于用拦截器处理换行符这些特殊字符的方法
gbh666666的博客
12-25 2053
在web.xml中的配置 &lt;!-- 配置处理特殊字符拦截器 --&gt;     &lt;filter&gt;         &lt;filter-name&gt;HRRecruitFilter&lt;/filter-name&gt;         &lt;filter-class&gt;com.suning.zphr.web.hrrecruit.filter.HRRecruitFi...
springbootFilterPOST和GET过滤参数
SmallTenMr的博客
09-20 6959
//定义一个filter过滤器 import org.apache.commons.lang.StringUtils; import org.springframework.stereotype.Component; import org.apache.commons.lang.StringEscapeUtils; import javax.servlet.*; import javax....
Filter 与 HttpServletRequestWrapper 用法
weixin_34072458的博客
04-26 997
2019独角兽企业重金招聘Python工程师标准>>> ...
springboot在过滤器filter 获取request中post的数据和获取response的数据问题
ww_1997的博客
06-21 4140
filter中获取request的get请求数据的话,直接调用reques.getParameter(); 但是获取post请求以后,request里面的流就会丢失,主要是解决获取post数据后,本次请求数据能传入到controller
关于自定义 HttpServletRequestWrapper 后续读不到参数的问题
weixin_38989369的博客
08-23 2720
关于自定义 HttpServletRequestWrapper 后续读不到参数的问题
继承HttpServletRequestWrapper以实现在Filter中修改HttpServletRequest的参数
lawliet的博客
02-17 1万+
一 简介 如题所示,有时候我们需要在一个请求到达Controller之前能够截获其请求,并且根据其具体情况对 HttpServletRequest 中的参数进行过滤或者修改。这时,有的同学可能会想:我们是否可以在一个Filter中将 HttpServletRequest 里的所有参数都取出来分别进行过滤然后再放回到该HttpServletRequest 中呢? 很显然,在 HttpServle
javascript使用post请求非法请求使用get不会
Wei_Jian_的博客
04-22 1325
<form:form id="inputForm" modelAttribute="tRoadDust" action="${ctx}/roaddust/tRoadDust/save" method="post" class="form-horizontal"> 在对jsp页面未进行任何操作时。可以点击功能按钮正常跳转。 在对jsp页面进行操作后。就会报错 修改成get请求,就解决了 <form:form id="inputForm" modelAttribute="tRoadDu.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值