springboot/spring/springmvc 去除前台传来的string字符串自动去除前后面的空格

原创 已于 2023-06-02 21:02:03 修改 · 873 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #spring boot #java

于 2023-05-20 17:29:55 首次发布
该文章展示了如何在SpringMVC中配置自定义的HttpMessageConverter,特别是使用Jackson库处理JSON反序列化时忽略未知属性,并添加了一个去除字符串空格的Deserializer。同时,文章还提供了防止XSS攻击的策略,通过创建自定义的StringEscapeEditor进行输入转义。

 

import com.fasterxml.jackson.databind.DeserializationFeature;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import com.xxx.convertor.StringWithoutSpaceDeserializer;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import java.util.List;

@Configuration
public class HttpMessageConvertor implements WebMvcConfigurer {

    @Autowired
    private ObjectMapper mapper;

    @Override
    public void extendMessageConverters(List<HttpMessageConverter<?>> converters) {
        converters.add(mappingJackson2HttpMessageConverter());
    }

    @Bean
    public MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter() {
        MappingJackson2HttpMessageConverter converter = new MappingJackson2HttpMessageConverter();
        mapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false);

        SimpleModule module = new SimpleModule();
        module.addDeserializer(String.class, new StringWithoutSpaceDeserializer(String.class));
        mapper.registerModule(module);

        converter.setObjectMapper(mapper);

        return converter;
    }
}

import com.fasterxml.jackson.core.JsonParser;
import com.fasterxml.jackson.databind.DeserializationContext;
import com.fasterxml.jackson.databind.deser.std.StdDeserializer;

import java.io.IOException;

public class StringWithoutSpaceDeserializer extends StdDeserializer<String> {

    private static final long serialVersionUID = -6972065572263950443L;

    public StringWithoutSpaceDeserializer(Class<String> vc) {
        super(vc);
    }

    @Override
    public String deserialize(JsonParser p, DeserializationContext ctxt) throws IOException {
        return p.getText() != null ? p.getText().trim() : null;
    }
}

import com.xxx.util.security.StringEscapeEditor;
import org.springframework.beans.propertyeditors.CustomDateEditor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.format.support.DefaultFormattingConversionService;
import org.springframework.format.support.FormattingConversionService;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.support.ConfigurableWebBindingInitializer;

import java.text.SimpleDateFormat;
import java.util.Date;

/**
 * 自定义Web绑定初始化器
 * @see org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport 的getConfigurableWebBindingInitializer方法
 */
@Configuration
@ControllerAdvice
public class WebBindingInitializerConfiguration {
//    final ConfigurableWebBindingInitializer initializer = new ConfigurableWebBindingInitializer();
//    final FormattingConversionService conversionService = new DefaultFormattingConversionService();

//    @Bean
//    public ConfigurableWebBindingInitializer configurableWebBindingInitializer(FormattingConversionService conversionService, Validator mvcValidator) {
//        ConfigurableWebBindingInitializer initializer = new ConfigurableWebBindingInitializer();
//        initializer.setConversionService(conversionService);
//        initializer.setValidator(mvcValidator);
//        //装配自定义属性编辑器
//        initializer.setPropertyEditorRegistrar(propertyEditorRegistry -> {
//            //PropertyEditors并不是线程安全的,对于每一个请求,我们都需要new一个PropertyEditor对象
//            propertyEditorRegistry.registerCustomEditor(String.class, new StringEscapeEditor());
//            propertyEditorRegistry.registerCustomEditor(Date.class, new DateEditor());
//        });
//        return initializer;
//    }
    @Bean
    public ConfigurableWebBindingInitializer getConfigurableWebBindingInitializer() {
        ConfigurableWebBindingInitializer initializer = new ConfigurableWebBindingInitializer();
        FormattingConversionService conversionService = new DefaultFormattingConversionService();
        //we can add our custom converters and formatters
        //conversionService.addConverter(...);
        //conversionService.addFormatter(...);
        initializer.setConversionService(conversionService);
        //we can set our custom validator
        //initializer.setValidator(....);

        //here we are setting a custom PropertyEditor
        initializer.setPropertyEditorRegistrar(propertyEditorRegistry -> {
            SimpleDateFormat dateFormatter = new SimpleDateFormat("yyyy-MM-dd");
            propertyEditorRegistry.registerCustomEditor(Date.class,
                    new CustomDateEditor(dateFormatter, true));

            propertyEditorRegistry.registerCustomEditor(String.class,
                    new StringEscapeEditor());
        });
        return initializer;
    }
}

import org.springframework.web.util.HtmlUtils;
import org.springframework.web.util.JavaScriptUtils;

import java.beans.PropertyEditorSupport;
import java.util.Objects;

/**
 * 
 * @description 与spring mvc的@InitBinder结合 用于防止XSS攻击
 */
public class StringEscapeEditor extends PropertyEditorSupport {

    /** 转义HTML */
    private boolean escapeHTML;

    /** 转义javascript */
    private boolean escapeJavaScript;

    /** 是否将空字符串转换为null */
    private final boolean emptyAsNull;

    /** 是否去掉前后空格 */
    private final boolean trimmed;

    public StringEscapeEditor() {
        this(true,true,false,false);
    }

    public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript) {
        this(true,true,escapeHTML,escapeJavaScript);
    }

    public StringEscapeEditor(boolean emptyAsNull,boolean trimmed, boolean escapeHTML, boolean escapeJavaScript) {
        super();
        this.emptyAsNull = emptyAsNull;
        this.trimmed = trimmed;
        this.escapeHTML = escapeHTML;
        this.escapeJavaScript = escapeJavaScript;
    }

    @Override
    public String getAsText() {
        Object value = getValue();

        if(Objects.nonNull(value))
        {
            return value.toString();
        }
        return value != null ? value.toString() : null;
    }

    @Override
    public void setAsText(String text) throws IllegalArgumentException {

        String value = text;

        if (value == null || emptyAsNull && text.isEmpty()) {
            //do nothing
        } else if (trimmed) {
            value = value.trim();
        }

        if (escapeHTML) {
            //HTML转义(防止XSS攻击)
            //HtmlUtils.htmlEscape 默认的是ISO-8859-1编码格式,会将中文的某些符号进行转义。
            //如果不想让中文符号进行转义请使用UTF-8的编码格式。例如:HtmlUtils.htmlEscape(text, "UTF-8")
            value = HtmlUtils.htmlEscape(value);
        }
        if (escapeJavaScript) {
            //HTML转义(防止XSS攻击)
            //HtmlUtils.htmlEscape 默认的是ISO-8859-1编码格式,会将中文的某些符号进行转义。
            //如果不想让中文符号进行转义请使用UTF-8的编码格式。例如:HtmlUtils.htmlEscape(text.trim(), "UTF-8")
            value = JavaScriptUtils.javaScriptEscape(value);
        }
        setValue(value);
    }

}

leijijun
关注
springBoot 配置接收 String 参数时自动去除前后空格
weixin_45947759的博客
02-21 4200
ps:在接收String类型参数时,前后可能存在一些空格,如果未曾去除就直接保存的话,可能会对一些特殊的业务场景造成致命影响。为了杜绝这种情况,需要在接收参数时进行前后空格清除处理。
去除字符串首尾空格
qq_45129167的博客
02-09 1568
trim() trim():去除字符串前后的空白。 代码举例: //去除字符串前后空格,trim(); let str = ' a b c '; console.log(str); console.log(str.length); console.log(str.trim()); console.log(str.trim().length); 打印结果: ...
SpringBoot使用JackSon,全局去除字符串空格
10-24 3412
SpringBoot使用JackSon,全局去除字符串空格
spring boot 过滤器去除请求参数前后空格
知了的博客
09-26 8073
         需求:去除用户表单参数中由于用户不小心输入的前后空格,防止因为前后空格原因引起业务异常          实现方式一:端参数传入的时候去除首尾空格          实现方式二:后端接收参数对参数处理,去除参数首尾空格后再做其他业务          实现方式三:利用Filter处理所有的请求,去除请求参数首尾空格重新写回            很明显实现方式一和...
spring mvc 传入参数 String类型去掉空格
89lovelc
12-31 1万+
背景在我们的工程中,要考虑到一些人工的上的错误,一个很常见的错误就是输入参数,前后都有空格,这个在进入controller 的时候,我们就应该去掉。技术背景为ssm框架。1.考虑AOP 在进入controller层的时候做一个切面,在切面的时候进行得到入参的类型,然后通过反射的思想,进行遍历对象里面的类型,如果是String类型的话,就trim操作重新赋值进去。 问题1:如果入参本身就是String
SpringBoot-Controller入参去除前后空格
imVainiycos的博客
05-08 3396
面临测试需求存在着用户输入的参数前后空格需要统一做去除,所以找个通用的解决方案进行统一处理。若需要处理一些特殊字符,例如%字符会穿透like查询查出所有记录的解决方案,可以参考该文,
结合Layui框架,实现SpringMVC+Spring+Mybatis,SSM整合案例CRUD(超详细代码,外加说明)
weixin_53504142的博客
05-03 1357
首先: 你需要去Layui官网下载UI框架。你可能会问,为什么用Layui实现页面效果?简单来说就是:简单、好用、上手快,作为JAVA后端开发人员,Layui无疑是非常友好的,拿来即用。 页面效果图: 练习用的数据库表格:emp和dept 员工和部门 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210502222809482.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,te
SpringBoot学习笔记(上)——自动装配原理、自定义 springboot-starter、配置文件编写
weixin_47257473的博客
08-31 827
本文系统介绍了SpringBoot的核心知识,包括5种创建方式、自动配置原理、自定义starter实现、热部署和配置文件管理。重点解析了@SpringBootApplication注解的组成和自动配置流程,详细说明了通过AutoConfigurationImportSelector加载spring.factories配置类的机制。针对自定义starter开发,提供了完整的实现步骤和常见问题解决方案,特别强调了可执行JAR与普通JAR的区别。最后讲解了YAML语法、多环境配置和配置文件加载优先级,涵盖@Val
SMM(Spring+SpringMVC+MyBatis)
qq_42867453的博客
09-19 2742
Spring & SpringMVC & MyBatis 一、Spring的体系结构 自下往上: Test Core Container 核心容器 Beans :容器 Core :核心 Context :上下文 spEL :Spring表达式 AOP----Aspects----Instrumentation----Messaging Data Access/Integration 数据访问层 JDBC ORM OXM JMS Transactions Web WebSock
Java 知识点整理(Spring boot) 手敲Springboot
SlimShadyback的博客
12-10 394
Java Springboot 手敲Springboot
Spring Cloud 从入门到精通
热门推荐
GitChat
07-03 81万+
Spring Cloud 是一套完整的微服务解决方案,基于 Spring Boot 框架,准确的说,它不是一个框架,而是一个大的容器,它将市面上较好的微服务框架集成进来,从而简化了开发者的代码量。 本课程由浅入深带领大家一步步攻克 Spring Cloud 各大模块,接着通过一个实例带领大家了解大型分布式微服务架构的搭建过程,最后深入源码加深对它的了解。 本课程共分为四个部分: 第一部分(第...
关于springboot去除参数中前后空格说明
酸奶盖儿的博客
04-22 6551
1. 需求 使用SpringBoot使用过滤器去除@RequestBody参数两端的空格;一般我们去普通的请求我们都会对请求参数进行验证。Java也提供了@notNull和@notBlank这种验证方式,但是对@RequestBody 这种只能验证是不是非空,对数据两端的空格未进行处理,同时大家也不想遍历一遍参数然后再处理再封装到对象中,正好项目中有这个需要,所以就参考别的做了Post请求中针对application/json格式的有@RequestBody注解的参数进行了去空格处理 2. 解决方法 2.1
Spring50问,至少应该答对一半以上!
qq_14958051的博客
06-11 578
作为一个Java程序员,Spring没得商量,对我们是必须会的,而且很重要,几乎我们大多项目都用得它,作为一个优质且生态系统非常全面的框架,不仅在使用上很给力,源码也有很大的学习价值。小编给大家整理了50道面试题,或者说50个知识点,可以先收藏起来了????。 作者:Java小咖秀 链接:https://juejin.im/post/5ee0ee706fb9a047fc30b607 来源:掘金 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 1.Spring框架? Spring框架是
So eazy!SpringBoot一键去除参数前后空格和XSS过滤实战解析
2401_84152189的博客
05-03 1437
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!public void init(FilterConfig arg0) throws ServletException {}@Overridepublic void destroy() {}}复制代码添加参数过滤配置文件:import gc.cnnvd.framework.core.filter.ParamsFilter;import org.springframework.boot.web.servlet.
SpringMVC过滤器拦截参数,将参数前后空格去掉,支持GET中的URL参数和POST请求的Json格式参数
qq_15009805的博客
06-20 1786
1.这是过滤的方法: import java.io.BufferedReader; import java.io.IOException; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.Map.Entry; import java.util.Set; import javax.servlet.ServletRequest; import javax.servle.
springmvc实现全局参数绑定去除前后空格,使用@InitBinder初始化绑定注解
CoderOu
06-10 1222
在公司做项目的时候,由于期项目没有规划好,导致在做查询的时候,用户复制过来进行查询的大多面后空格,然后不注意就查不出来,使客户有一种系统有问题的感觉,比较头疼。 由于之springmvc理解不是很透彻,想过在实体的get方法或者set方法做处理,在get或者set属性时候去除空格,项目使用的是lombok,参照了一些文档,试图修改lombok在生成get或者set的方法,最后未果。 后面想了一下,springmvc参数绑定原理,觉得springmvc可能提供了这方面的扩展,所以就按照springmv
SpringBootSpring+Java8)实现去除controller层的String(含包装类)类型参数的首尾空格
涅 槃——沉默、寡言、静思、实干
12-03 2455
SpringBoot非常流行,大大简化了Spring整合Mybatis,SpringMVC的配置。但是另外的一件烦心事来了,那就是写接口时候,前后端都需要对String类型的字段做好去首尾空格处理,该项工作简单但是繁琐,虽不费心,但是劳神。在这里写了个注解,在接口进入controller实现去除字符串去除首尾空格功能。 定义注解: import java.lang.annotation.Do...
后端自动去除字符串前后空格
weixin_59181205的博客
05-16 1265
后端自动去除字符串前后空格
springBoot过滤器去除请求参数前后空格
技匠而已
10-27 3617
springBoot过滤器去除请求参数前后空格 在一个阳光明媚的早晨,客服小姐姐甜美的声音照常的响起:”昨天客户平台数千条用户充值失败,钱打到客户手中了,但是订单生成失败“ 啊这…这……阳光逐渐暗淡,温馨的画面变成了黑白,甜美的声音也逐渐变的刺耳。脑子中出现了四个字【重大事故】 细细思索一番,昨天?? 近一周都没有了新版本上线,怎么昨天出现问题???? 带着满脑子问号冲向工位 迅速走过以下操作 不信任原则 迅速验证消息的真实性(消息属实) 查错误数据,查看数据范围,评定事故等级(还好:51条失败订单
springmvc中请求入参是一个java自定义对象,但是实际传入是字符串,这时会产生类转换异常。如果用户恶意攻击,字符串中携带了非常多的空格,能使用Mvc的拦截器处理这些空格吗?
最新发布
10-23
Spring MVC 中,当请求入参为自定义 Java 对象但实际传入字符串字符串含大量空格导致类转换异常时,可以使用 Mvc 拦截器处理这些空格。不过,拦截器并非专门用于处理参数内容,更适合在请求处理、后做一些通用的逻辑判断、日志记录等操作,直接处理参数内容不是它的主要职责。 可以通过以下几种方式结合拦截器或使用其他更合适的手段来处理空格: - **使用拦截器结合反射**:在拦截器的 `preHandle` 方法中,获取请求的参数,使用反射遍历自定义 Java 对象的属性,如果是字符串类型,对其进行 `trim` 操作。不过这种方式存在性能问题,若对象嵌套层次深,需要递归处理,性能代价大[^1]。 ```java import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.lang.reflect.Field; import org.springframework.web.servlet.HandlerInterceptor; public class TrimInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { Object target = getTargetFromRequest(request); if (target != null) { trimStringFields(target); } return true; } private Object getTargetFromRequest(HttpServletRequest request) { // 这里需要根据实际情况从 request 中获取自定义 Java 对象 return null; } private void trimStringFields(Object obj) throws IllegalAccessException { Class<?> clazz = obj.getClass(); Field[] fields = clazz.getDeclaredFields(); for (Field field : fields) { field.setAccessible(true); Object value = field.get(obj); if (value instanceof String) { field.set(obj, ((String) value).trim()); } else if (value != null) { trimStringFields(value); } } } } ``` - **重写 `DataBinder`**:`DataBinder` 是 Spring MVC 中进行入参绑定的类,可以重写它的相关方法,在参数绑定过程中对字符串进行 `trim` 操作。不过这种方式改动较大,可能会影响到所有参数的处理,有一定风险[^1]。 - **使用 `StringTrimmerEditor` + 重写 `ObjectMapper`**:Spring MVC 提供了很多扩展点,可以通过注册的方式来处理字符串空格问题,这种方式相对更合适,避免了两种方式的一些缺点[^1]。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值