继承HttpServletRequestWrapper 实现request中流的重复获取

最新推荐文章于 2025-10-08 13:44:53 发布
原创 最新推荐文章于 2025-10-08 13:44:53 发布 · 9.3k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

业务场景:需要打印所有的api请求的信息到log中,在Filter中拦截了所有的api请求,但是打印的信息中需要包含api请求的body,如果在Filter中使用request.getInputStream()来获取流来得到body中的信息,可以达到预期效果,但是流的获取只能获取一次,之后再获取就获取不到了,导致controller无法拿到参数。
解决办法:HttpServletRequestWrapper,该类是HttpServletRequest的封装类,我们可以自定义一个类,继承HttpServletRequestWrapper,重写其中的getInputStream方法,让其可以重复获取我们想要的流,并且在Filter中的filterChain.doFilter(ServlerRequest, ServletResponse)方法中,传入我们的自定义类的实例,而不是原来的HttpServletRequest对象,由于我们的类是继承自HttpServletRequestWrapper类,所以当参数传入此方法是没有问题的。由于我们自定义类中的getInputStream方法已经被重写为可多次获取的版本,所以也就不用担心controller无法获取到数据。
具体实现:

//自定义的ServletRequest类
import org.apache.commons.io.IOUtils;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;

public class MyResettableServletRequest extends HttpServletRequestWrapper {
    //保存流中的数据
    private byte[] data;

    public MyResettableServletRequest(HttpServletRequest request) throws Exception{
        super(request);
//从流中获取数据
        data = IOUtils.toByteArray(request.getInputStream());
    }

    public ServletInputStream getInputStream(){
//在调用getInputStream函数时,创建新的流,包含原先数据流中的信息,然后返回
        return new MyServletInputStream(new ByteArrayInputStream(data));
    }

    class MyServletInputStream extends ServletInputStream{
        private InputStream inputStream;

        public MyServletInputStream(InputStream inputStream){
            this.inputStream = inputStream;
        }

        @Override
        public int read() throws IOException {
            return inputStream.read();
        }
    }
}
//在Filter中使用 
@Override 
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,FilterChain filterChain) throws IOException, ServletException { 
    HttpServletRequest request = (HttpServletRequest) servletRequest; 
    MyResettableServletRequest myRequest = new MyResettableServletRequest(request); 
    String bodyParam = IOUtils.toString(myRequest.getInputStream());
    /** 
    * 打印log 
    */ 
    filterChain.doFilter(myRequest, servletResponse); 
}




总结:原生的HttpServletRequest类是有许多的缺陷的,比如无法重复获取其中的流,无法通过setAttribute方法来改写属性,当我们遇到这样的情况时,一个很好的解决办法就是使用装饰者模式,重写一个类,继承自Wrapper类,将其中的方法重写以满足我们的需求。

使用 HttpServletRequestWrapper 重复读取 HttpServletRequest(多次读取 request 请求)
HeatDeath的博客
05-16 6383
今天尝试在切面中读取 request 请求,校验请求的参数,解析异常则报错 但是,在 切面读取了一次 request 后,再到 controller 的时候,request 就变成了空的 找了一圈找到这种方法,通过继承 HttpServletRequestWrapper ,来操作 HttpServletRequest package xxxxx; import org.apache.comm...
使用HttpServletRequestWrapper解决web项目request数据流无法重复读取的问题
dream_xin2013的专栏
01-26 1553
在做web项目开发时,我们有时候需要做一些前置的拦截判断处理,比如非法参数校验,防攻击拦截,统一日志处理等,而请求参数如果是form表单提交还好处理;对于json这种输入流的数据就会有问题,统一处理如果读取了数据流就会将流进行关闭,这就会导致接下来的业务处理无法读取数据流。封装成这个类就是为了解决需要重复读取输入流的地方就使用这个包装类替换原有的request对象。
SpringBoot中的十大内置神器
最新发布
m0_73735578的博客
10-08 593
若需封装内部通用功能,可创建自定义 Starter:在下添加编写自动配置类,利用等条件注解实现智能装配。通过@AutowiredSpring Boot 的这些内置功能覆盖了从开发到运维的全链路流程,合理运用这些工具,既能减少重复代码,又能提升系统的可维护性与健壮性。建议开发者在实际项目中根据需求灵活组合,充分发挥框架的原生优势。
继承HttpServletRequestWrapper实现重复读、参数过滤等场景
07-30 1393
背景 项目基于springboot开发,RestFull接口向外暴露的API需要进行签名验证,即在进入真正controller方法前,需要先验证接口请求的有效性,所以需要对提交的POST流进行JSON读,并将相关参数进行验签。如果在Filter中使用request.getInputStream()来获取流来得到body中的信息,可以达到预期效果,但是流的获取只能获取一次,之后再获取获取不到了,导致controller无法拿到参数而报错。参考相关资料发现实现一个类继承HttpServletReques
HttpServletRequestWrapper 用法
fishhappy365的专栏
10-10 1017
Servlet规范中所引入的filter令人心动不已,因为它引入了一个功能强大的拦截模式。Filter是这样一种Java对象,它能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。你可以使用filter来实现特定的任务,比如验证用户输入,以及压缩web内容。但你拟富有成效地使用过滤...
sql注入,XSS攻击可通过 继承HttpServletRequestWrapper重写request实现修改request请求
wst260的博客
12-25 1338
首先创建一个类继承ServletRequestWrapper类,重写request请求 import java.io.StringReader; import java.io.StringWriter; import java.text.CharacterIterator; import java.text.StringCharacterIterator; import javax.serv...
Java Web开发中使用HttpServletRequestWrapper实现重复读取请求的技术方案
02-28
首先,需要自定义一个请求包装器类CustomRequestWrapper,该类继承HttpServletRequestWrapper。在这个包装器类中,我们定义一个final属性用于缓存请求体内容,以便后续可以多次使用。 其次,在...
HttpServletRequestWrapper处理request数据流多次读取问题
奋斗不息
05-31 2730
HttpServletRequestWrapper处理request数据流多次读取问题
利用HttpServletRequestWrapper来支持可重复读取HttpServletRequest中的请求输入流且不影响Controller层的参数获取
LSL1618的博客
01-20 3855
HttpServletRequest中的请求输入流不可重复读取的原因就不叙述了,一堆搜索结果随便看,直接看步骤正文: 1.定义请求包装器,继承HttpServletRequestWrapper import lombok.extern.slf4j.Slf4j; import org.apache.commons.lang3.ArrayUtils; import org.apache.commons.lang3.StringUtils; import org.springframework.ht.
HttpServletRequestWrapper 实现xss注入
yinni11的博客
12-04 2157
自定义一个wapper 实现 HttpServletRequestWrapper package cn.baozun.crm.task.filter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; /** * * <p>xs...
使用HttpServletRequestWrapper在filter修改request参数
04-12
NULL 博文链接:https://rensanning.iteye.com/blog/1706208
HttpServletRequestWrapper
05-08
这是一个关于HttpServletRequestWrapper使用的列子,工作需要,所以传上来的。
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
springboot通过HttpServletRequestWrapper获取所有请求参数
热门推荐
OceanSky的专栏
08-26 2万+
springboot通过拦截器获取参数有两种方式,一种通过request.getParameter获取Get方式传递的参数,另外一种是通过request.getInputStream或reques.getReader获取通过POST/PUT/DELETE/PATCH传递的参数; 1.拦截器获取参数有哪些方式 @PathVariable注解是REST风格url获取参数的方式,只能用在GET请求类型,通过getParameter获取参数 @RequestParam注解支持GET和POST/PUT/DELE.
HttpServletRequestWrapper的使用与原理
li12412414的博客
05-08 4218
HttpServletRequestWrapper 实现了 HttpServletRequest 接口,可以让开发人员很方便的改造发送给 Servlet 的请求.HttpServletRequest 对参数值的获取实际调的是org.apache.catalina.connector.Request没有提供对应的set方法修改属性所以不能对前端传来的参数进行修改,实际场所像过滤xss攻击,取认证token统一去除token前缀等需要进行请求参数的处理。
HttpServletRequestWrapper和HttpServletResponseWrapper详解
Skyline
05-14 1万+
Servlet规范中的filter引入了一个功能强大的拦截模式。Filter能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。且无法获取到HttpServlet
利用HttpServletRequestWrapper对HttpServletRequest进行封装的方法
courage89的专栏
11-13 7351
首先,说明几个类和方法的关系: class HttpServletRequestWrapper extends ServletRequestWrapper implements HttpServletRequest       在Filter中由于需要的对于inputStream的内容进行权限验证,我们必须将所有input内容读取出来,但是在Controller层中程序同样需要提取i
《JAVA基础》-- 基于过滤器实现接口的加解密、国际化
lmj3732018的博客
12-22 2468
【代码】HttpServletRequestWrapper、HttpServletResponseWrapper结合 过滤器 实现接口的加解密、国际化。
Spring Boot怎么让继承 HttpServletRequestWrapper实现的内容生效呢
06-21
### 在 Spring Boot 中使继承 `HttpServletRequestWrapper` 实现的 XSS 防护功能生效的方法 为了在 Spring Boot 中实现基于继承 `HttpServletRequestWrapper` 的 XSS 防护功能,需要通过自定义过滤器将包装后的请求对象注入到请求处理链中。以下是一个完整的解决方案。 #### 1. 创建自定义请求包装器 首先,创建一个继承自 `HttpServletRequestWrapper` 的类,并在其中实现对参数和头部信息的 XSS 过滤逻辑[^2]。 ```java import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { public XssHttpServletRequestWrapper(HttpServletRequest request) { super(request); } @Override public String[] getParameterValues(String parameter) { String[] values = super.getParameterValues(parameter); if (values == null) { return null; } int count = values.length; String[] encodedValues = new String[count]; for (int i = 0; i < count; i++) { encodedValues[i] = stripXss(values[i]); } return encodedValues; } @Override public String getParameter(String parameter) { String value = super.getParameter(parameter); return stripXss(value); } @Override public String getHeader(String name) { String value = super.getHeader(name); return stripXss(value); } private String stripXss(String value) { if (value != null) { value = value.replaceAll("<", "<").replaceAll(">", ">"); value = value.replaceAll("\\(", "(").replaceAll("\\)", ")"); value = value.replaceAll("'", "'"); value = value.replaceAll("eval\\((.*)\\)", ""); value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\""); } return value; } } ``` #### 2. 创建自定义过滤器 接下来,创建一个过滤器以将上述包装器应用到每个请求中[^3]。 ```java import org.springframework.stereotype.Component; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import java.io.IOException; @Component public class XssFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException {} @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { XssHttpServletRequestWrapper wrappedRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request); chain.doFilter(wrappedRequest, response); } @Override public void destroy() {} } ``` #### 3. 注册过滤器 在 Spring Boot 中,可以通过 `@Component` 注解自动扫描并注册过滤器。如果需要手动配置,可以在 `application.properties` 或 `application.yml` 中指定过滤器的加载顺序[^3]。 ```yaml spring: mvc: servlet: load-on-startup: 1 ``` 此外,也可以通过实现 `WebMvcConfigurer` 接口来显式注册过滤器。 ```java import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; @Configuration public class FilterConfig { @Bean public FilterRegistrationBean<XssFilter> xssFilterRegistrationBean() { FilterRegistrationBean<XssFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new XssFilter()); registrationBean.addUrlPatterns("/*"); registrationBean.setOrder(1); // 设置过滤器优先级 return registrationBean; } } ``` #### 4. 测试与验证 完成上述配置后,所有传入的 HTTP 请求参数和头部信息都会经过 XSS 过滤。可以通过构造包含恶意脚本的请求来测试过滤器的有效性。 ```bash curl -X POST http://localhost:8080/test -d "param=<script>alert('xss')</script>" ``` 返回的结果应为经过过滤的安全字符串,例如 `<script>alert('xss')</script>`。 --- #### 注意事项 - **性能优化**:XSS 过滤会对每个请求参数进行处理,因此需要评估其对系统性能的影响。可以通过缓存或异步处理等方式优化性能。 - **全面性**:上述示例仅实现了基础的 XSS 过滤规则。实际项目中可以引入第三方库(如 Jsoup)以增强过滤能力。 - **存储型 XSS**:对于存储型 XSS,还需要确保从数据库读取的数据在输出到前端时也经过适当的转义。 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值