java拦截器处理过滤对象中属性的特殊字符

最新推荐文章于 2023-09-05 11:03:50 发布
原创 最新推荐文章于 2023-09-05 11:03:50 发布 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种在Spring MVC中增强HandlerExecutionChain的方法,通过创建代理Bean实现对Controller请求的预处理,特别针对XSS攻击进行防御。文章详细展示了如何利用CGLIB动态代理拦截并修改Controller参数,实现字符串及对象级的XSS过滤。 
 

class HandlerExecutionChainWrapper extends HandlerExecutionChain {
   private BeanFactory beanFactory;
   private HandlerMethod handlerWrapper;
   private byte[] lock = new byte[0];

   public HandlerExecutionChainWrapper(HandlerExecutionChain chain, HttpServletRequest request,
         BeanFactory beanFactory) {
      super(chain.getHandler(), chain.getInterceptors());
      this.beanFactory = beanFactory;
   }

   @Override
   public Object getHandler() {
      if (this.handlerWrapper != null) {
         return this.handlerWrapper;
      }
      synchronized (this.lock) {
         if (this.handlerWrapper != null) {
            return this.handlerWrapper;
         }
         HandlerMethod superMethodHandler = (HandlerMethod) super.getHandler();
         Object proxyBean = createProxyBean(superMethodHandler);
         this.handlerWrapper = new HandlerMethod(proxyBean, superMethodHandler.getMethod());
         return this.handlerWrapper;
      }
   }

   private Object createProxyBean(HandlerMethod handler) {
      try {
         Enhancer enhancer = new Enhancer();
         enhancer.setSuperclass(handler.getBeanType());
         Object bean = handler.getBean();
         if ((bean instanceof String)) {
            bean = this.beanFactory.getBean((String) bean);
         }
         ControllerXssInterceptor xss = new ControllerXssInterceptor(bean);
         enhancer.setCallback(xss);
         return enhancer.create();
      } catch (Exception e) {
         throw new IllegalStateException("为Controller创建代理失败:" + e.getMessage(), e);
      }
   }

   public static class ControllerXssInterceptor implements MethodInterceptor {
      private Object target;
      private List<String> objectMatchPackages;

      public ControllerXssInterceptor(Object target) {
         this.target = target;
         this.objectMatchPackages = new ArrayList<String>();
         this.objectMatchPackages.add("cn.com.linkwidejc.bi.entity");
      }

      @Override
      public Object intercept(Object obj, Method method, Object[] args, MethodProxy proxy) throws Throwable {
         String methodName = method.getName();
         if (("print".equals(methodName)) || ("export".equals(methodName)) || ("viewAppTable".equals(methodName))
               || ("viewAppChart".equals(methodName))) {
            return method.invoke(this.target, args);
         }
         if (args != null) {
            for (int i = 0; i < args.length; i++) {
               if (args[i] != null) {
                  if ((args[i] instanceof String)) {
                     args[i] = stringXssReplace((String) args[i]);
                  } else {
                     for (String pk : this.objectMatchPackages) {
                        if (args[i].getClass().getName().startsWith(pk)) {
                           objectXssReplace(args[i]);
                           break;
                        }
                     }
                  }
               }
            }
         }
         return method.invoke(this.target, args);
      }

      private String stringXssReplace(String argument) {
         return RSBIUtils.htmlEscape(argument);
      }

      // 对象过滤
      private void objectXssReplace(Object argument) throws IllegalAccessException {
         if (argument == null) {
            return;
         }
         for(Field f : argument.getClass().getDeclaredFields()){
            f.setAccessible(true);
            if (String.valueOf(f.getType()).equals("class java.lang.String") &&
                  f.get(argument) != null && !StringUtil.isEmpty(String.valueOf(f.get(argument)))) { // 如果type是类类型,则前面包含"class ",后面跟类名
               f.set(argument,RSBIUtils.htmlEscape(f.get(argument).toString()));
            }
         }
      }
   }
}
Java 过滤器与拦截器的区别
C_V_Better的博客
03-10 827
过滤器是 Java Servlet 规范中定义的一种组件,它可以对进入 Web 应用程序的请求和响应进行拦截和处理。对请求进行预处理,如设置请求参数、获取请求信息等。对响应进行处理,如设置响应头、修改响应内容等。控制请求的流向,如允许或禁止请求继续传递到下一个资源。拦截器是 Spring 框架中提供的一种机制,它可以对 Spring MVC 的请求处理流程进行拦截和处理。在请求处理之前进行预处理,如验证用户登录状态、检查请求参数等。在请求处理之后进行后处理,如统一处理异常、记录日志等。
java 过滤过滤特殊字符
weixin_41761540的博客
05-08 2723
1、继承Filter的过滤类 package fly.cloud.bank.config.filter; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import java.io.IOException; /** * .
Java过滤过滤特殊字符
产品设计是一种艺术!
11-17 2308
package util; import java.io.IOException; import java.util.Collection; import java.util.Iterator; import java.util.Map; import javax.servlet.Filter; import javax.servlet.FilterChain; import jav
过滤器一Filter
dizan4060的博客
08-06 332
import javax.servlet.Filter; 前言 过滤器是一个程序,依赖与servlet容器,它先于与之相关的servlet或JSP页面运行在服务器上。过滤器可附加到一个或多个servlet或JSP页面上,并且可以检查进入这些资源的请求信息。在这之后,过滤器可以作如下的选择: 以常规的方式调用资源(即调用servlet或JSP页面)。 利用修改过的请求信息调用资源。 ...
拦截器实现文件过滤
weixin_33984032的博客
06-07 211
上面手动实现文件过滤的方式虽然简单,但毕竟需要书写大量的过滤代码,不利于程序的高层次解构,而且开发复杂。 Struts 2提供了一个文件上传的拦截器,通过配置该拦截器可以更轻松地实现文件过滤。Struts 2中文件上传的拦截器是fileUpload,为了让该拦截器起作用,只需要在该Action中配置该拦截器引用即可。 配置fileUpload拦截器时,可以为其指定两个参数。 Ø  allow...
[Java]拦截器处理字符编码统一
xx_ii
06-17 773
package com.iweb.filter; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.annotation.WebInitParam; import java.io.IOException; //所有的字符编码都需要统一,所以这里用全部 @WebFilter(value = "/*",initParams = { @WebInitParam(name
Java中的拦截器过滤器、监听器用法详解
08-30
Java中的拦截器过滤器、监听器用法详解 Java中的拦截器过滤器、监听器是三个重要的概念,它们在Java Web开发中扮演着非常重要的角色。本文将详细介绍Java中的拦截器过滤器、监听器的用法,包括它们的功能、...
精选资源
xss特殊字符拦截与过滤
最新发布
04-01
标题《xss特殊字符拦截与过滤》以及描述《滤除content中的危险HTML代码,主要是脚本代码,滚动字幕代码以及脚本事件处理代码》提示我们这个文件内容是关于XSS(跨站脚本攻击)防护的编程实现。XSS攻击是指攻击者通过...
浅析JAVA过滤器、监听器、拦截器的区别
09-03
Java Web开发中,过滤器(Filter)、监听器(Listener)和拦截器(Interceptor)是三种常见的组件,它们各自承担着不同的职责,本文将详细介绍这三者的概念、用途、实现方式和运行机制,并通过代码示例来进行说明...
精选资源
java 请求参数过滤拦截
03-10
这里的“java请求参数过滤拦截”主要是指在接口接收到用户输入的数据时,通过过滤器(Filter)对参数进行检查,防止恶意攻击者利用特殊字符执行SQL注入、跨站脚本攻击(XSS)等危害。下面我们将详细探讨这一主题。 ...
java模糊查询转译,Mybatis自定义拦截器,对模糊查询传值的特殊字符(\,_,%)统一进行转义处理...
weixin_39922683的博客
03-10 933
代码包含:EscapeUtil.java:特殊字符(\,_,%)转义工具类MyQueryInterceptor.java: Mybatis自定义拦截器EscapeUtil.java特殊字符(\,_,%)转义工具类:import org.apache.commons.lang3.StringUtils;/*** @author : 金亮* @version V1.0* @Description: 特...
java string特殊字符_java string对特殊符号的处理
weixin_39626131的博客
02-12 1409
package cn.com.nike.util;import org.slf4j.Logger;import org.slf4j.LoggerFactory;/*** 对String进行操作* @author soya.song*2017.3.21*/public class UtilString {private static final Logger log = LoggerFactory....
JAVA工具类之表情过滤
BuFanQi的博客
02-02 1284
EmojiUtils.java package com.bigbigbu.cf.common.utils; import java.util.regex.Matcher; import java.util.regex.Pattern; import org.apache.http.util.TextUtils; /** * @Title: EmojiUtils * @Descriptio
轻松实现java拦截器+自定义注解
世幻水的博客
08-06 5070
目录和概述 概述 内容:拦截器的使用很简单,定义一个自己的拦截器,向配置中添加一下就可以使用。为了方便,之后又引入了注解。本文就将用简洁的代码构建一个springboot的拦截器。 假设需求:访问项目的controller是都要进行"token验证",除了某些像登录之类的方法。 项目结构: TokenInterceptor.java 自定义拦截器 InterceptorConfig.java 添加拦截器进入项目 NoNeedToken.java 自定义注解 TestController.java 测试接
关于用拦截器处理换行符这些特殊字符的方法
gbh666666的博客
12-25 2077
在web.xml中的配置 &lt;!-- 配置处理特殊字符拦截器 --&gt;     &lt;filter&gt;         &lt;filter-name&gt;HRRecruitFilter&lt;/filter-name&gt;         &lt;filter-class&gt;com.suning.zphr.web.hrrecruit.filter.HRRecruitFi...
java 过滤危险字符,url传递中文字符,特殊危险字符的解决方案(仅供参考)urldecode、base64_encode...
weixin_32171133的博客
03-14 1090
很多时候,我们需要在url中传递中文字符或是其它的html等特殊字符,似乎总会有各种乱,不同的浏览器对他们的编码又不一样,对于中文,一般的做法是:把这些文本字符串传给url之前,先进行urlencode($text)一下;但是对于一些很“危险”的字符,比如说html字符,甚至是SQL注入相关的字符,如果很明显的传给系统,出于安全考虑,系统一般都会把它们过滤掉的。现在,我们需要这些危险字符,该这么办...
JAVA_自定义注解_参数校验_日志拦截
08-11 608
注解的功能有很多,不一一赘述,我一般通过自定义注解实现比较通用的功能,比如哪些接口需要特殊校验,哪些接口访问记录需要入库等。根据你的业务需要进行处理。 import java.lang.annotation.*; @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface TestDemo { String name() default ""; String
SpringBoot拦截所有请求校验特殊字符
qq_43147161的博客
09-05 5024
拦截请求参数重的特殊字符
java过滤请求参数中的非法字符,防止XSS攻击、SQL盲注等
platformadmin的博客
04-21 1185
//过滤请求参数中的非法字符,防止XSS攻击、SQL盲注等 String reg = “(?:’)|(?:–)|(/\(?:.|[\n\r])?\*/)|(\b(frame|<frame|iframe|<iframe|img|<img|javascript|<javascript|script|<script|alert|select|update|and|or|de...
Java过滤器与拦截器的区别详解
本文主要探讨了Java过滤器(Filter)和拦截器(Interceptor)的区别,通过实例解析和代码示例来帮助读者理解和区分这两者的应用场景。内容包括它们的使用范围、触发时机、实现机制以及何时选择使用过滤器或拦截器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值