SpringBoot拦截所有请求校验特殊字符

最新推荐文章于 2025-04-30 14:28:34 发布
最新推荐文章于 2025-04-30 14:28:34 发布
阅读量4.5k 收藏 9
点赞数 2
文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43147161/article/details/132686863
版权

项目场景:

springboot项目中,需要对所有请求数据进行过滤,拦截特殊字符。
如 ‘|’、‘&’、‘;’、‘$’、‘%’、‘@’、‘ ’ ’、‘ " ’、‘ ’ ’、‘ " ’、‘<>’、‘ () ’、‘ + ’、‘\n’、‘ \r ’、‘ , ’、‘ \ ’、‘…/’、(目录遍历类漏洞要求过滤‘…/’、‘/’)‘/’等等

文章背景

大部分帖子涉及以下问题:
1.编写自定义的HttpServlet会导致所有文件上传的接口不可用
2.处理post请求时不能处理复杂json,只能处理简单的json,这点拓展性不够好
例如
{“name”:“名称1”,“algorithmId”:“3815009226752”,“totalAmount”:“100”,“effectTime”:[“2023-09-05”,“2023-10-05”],“description”:“备注1”,“dataMarketList”:[{“dataMarketUuid”:“”,“origin”:“2”,“datasetList”:[{“nodeId”:“ds02”,“datasetCode”:[“2705385631744”]}]}]}
大部分帖子的工具类都无法处理
3.特殊字符包含的内容过于简单

版本

JDK17
SpringBoot3.0

解决方案:

1.注册拦截器

@Configuration
public class WebMvcConfiguration implements WebMvcConfigurer {
 @Override
    public void addInterceptors(InterceptorRegistry registry) {
            registry.addInterceptor(getCommonApiAuthFilter()).addPathPatterns("/**");
     }
    @Bean
    public CommonpiAuthInterceptor getCommonApiAuthFilter() {
        return new CommonpiAuthInterceptor();
    }

}

2.注册过滤器

@Component
@WebFilter(filterName = "specialCharFilter", urlPatterns = "/*")
public class SpecialCharFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        if (request instanceof HttpServletRequest httpServletRequest) {
            String contentType = httpServletRequest.getContentType();
            if (StringUtils.isNotEmpty(contentType) && contentType.contains("multipart/form-data")) {
                chain.doFilter(new StandardServletMultipartResolver().resolveMultipart(httpServletRequest), response);
            } else {
                chain.doFilter(new SpecialCharHttpServletRequestWrapper(httpServletRequest), response);
            }
            return;
        }
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {
    }
}

3.编写自定义的HttpServletRequestWrapper

public class SpecialCharHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public final HttpServletRequest request;
    private final String bodyStr;

    public SpecialCharHttpServletRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        this.request = request;
        this.bodyStr = getBodyString();
    }

    /**
     * 获取请求Body
     * @return
     */
    public String getBodyString() {
        StringBuilder sb = new StringBuilder();
        InputStream inputStream = null;
        BufferedReader reader = null;
        try {
            inputStream = cloneInputStream(request.getInputStream());
            reader = new BufferedReader(new InputStreamReader(inputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        }
        catch (IOException e) {
            e.printStackTrace();
        }
        finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        return sb.toString();
    }


    /**
     * 复制输入流
     * @param inputStream 输入流
     * @return
     */
    public InputStream cloneInputStream(ServletInputStream inputStream) {
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        byte[] buffer = new byte[1024];
        int len;
        try {
            while ((len = inputStream.read(buffer)) > -1) {
                byteArrayOutputStream.write(buffer, 0, len);
            }
            byteArrayOutputStream.flush();
        }
        catch (IOException e) {
            e.printStackTrace();
        }
        InputStream byteArrayInputStream = new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
        return byteArrayInputStream;
    }


    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }


    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream bais = new ByteArrayInputStream(bodyStr.getBytes(Charset.forName("UTF-8")));
        return new ServletInputStream() {

            @Override
            public int read() throws IOException {
                return bais.read();
            }

            @Override
            public void setReadListener(ReadListener listener) {

            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public boolean isFinished() {
                return false;
            }
        };
    }
}

4.校验特殊字符的工具类

public class ParamCheckUtils {

    /**
     * 特殊字符正则表达式
     */

    private final static String REG_EX = "[`~!@#$%^*()+\n\r|{}\\[\\]<>/?!()【】‘;:”“’。,、\\\\]";

    /**
     * 判断url中是否含有特殊字符
     *
     * @param urls 前端请求链接
     * @return 是否包含特殊字符
     */
    public static boolean checkSpecials(String urls) {
        try {
            if (StringUtils.isNotEmpty(urls)) {
                // url参数转义
                urls = URLDecoder.decode(urls, "utf-8");
                if (Pattern.compile(REG_EX).matcher(urls).find()) {
                    return true;
                }
            }
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }
        return false;
    }

    /**
     * 判断formData值对象中是否包含特殊字符
     *
     * @param map formData值对象
     * @return 是否包含特殊字符
     */
    public static boolean checkSpecials(Map<String, String[]> map) {
        if (!map.isEmpty()) {
            for (String[] paraArray : map.values()) {
                for (String paraStr : paraArray) {
                    if (Pattern.compile(REG_EX).matcher(paraStr).find()) {
                        return true;
                    }
                }
            }
        }
        return false;
    }

    /**
     * 判断前端传过来的json和json数组中是否含有特殊字符
     *
     * @param request 前端请求(包含json数据)
     * @return 是否包含特殊字符
     */
    public static boolean checkSpecials(HttpServletRequest request) {
        try {
            SpecialCharHttpServletRequestWrapper wrapper = new SpecialCharHttpServletRequestWrapper(request);
            InputStream is = wrapper.getInputStream();

            BufferedReader br = new BufferedReader(new InputStreamReader(is));
            StringBuilder sb = new StringBuilder();
            String line;
            while ((line = br.readLine()) != null) {
                sb.append(line);
            }
            String context = sb.toString();
            if (StringUtils.isEmpty(context)) {
                return false;
            }
            boolean isIllegalStr = checkJsonIsIllegal(context);
            if (isIllegalStr) {
                return true;
            }

        } catch (IOException e) {
            e.printStackTrace();
        }
        return false;
    }

    private static boolean checkJsonIsIllegal(String objectStr) {
        Map<String, Object> result = JsonUtils.parse2Map(objectStr);
        for (Map.Entry<String, Object> entry : result.entrySet()) {
            Object value1 = entry.getValue();
            if(Objects.isNull(value1) || value1.toString().contains("import")){
                continue;
            }
            if (Pattern.compile(REG_EX).matcher(value1.toString()).find()) {
                return true;
            }
        }
        return false;
    }


}

5.Json工具类

使用fastjson

public class JsonUtils {
    public static String prettyJson(String json) {
        if (StringUtils.isBlank(json)) {
            return json;
        }
        JSONObject jsonObject;
        try {
            jsonObject = JSONObject.parseObject(json);
        } catch (Exception e) {
            return json;
        }
        return JSONObject.toJSONString(jsonObject, true);
    }

    public static Map<String, Object> parse2Map(String jsonString) {
        Map<String, Object> result = new LinkedHashMap<>();
        JSONObject jsonObject = JSON.parseObject(jsonString);
        parseObject(jsonObject, "", result);
        return result;
    }

    private static void parseObject(JSONObject jsonObject, String parentKey, Map<String, Object> result) {
        if (Objects.isNull(jsonObject)) {
            return;
        }
        for (Map.Entry<String, Object> entry : jsonObject.entrySet()) {
            String key = entry.getKey();
            Object value = entry.getValue();
            String fullKey = getParentKey(parentKey) + key;
            if (value instanceof JSONObject) {
                parseObject((JSONObject) value, fullKey + ".", result);
            } else if (value instanceof JSONArray) {
                parseArray((JSONArray) value, fullKey + ".", result);
            } else {
                result.put(fullKey, value);
            }
        }
    }

    private static void parseArray(JSONArray jsonArray, String parentKey, Map<String, Object> result) {
        for (int i = 0; i < jsonArray.size(); i++) {
            Object value = jsonArray.get(i);
            String fullKey = getParentKey(parentKey) + i;
            if (value instanceof JSONObject) {
                parseObject((JSONObject) value, fullKey + ".", result);
            } else if (value instanceof JSONArray) {
                parseArray((JSONArray) value, fullKey + ".", result);
            } else {
                result.put(fullKey, value);
            }
        }
    }

    private static String getParentKey(String parentKey) {
        if (parentKey.isEmpty()) {
            return "";
        }
        return parentKey + ".";
    }
}

6.编写拦截器

@Slf4j
public class CommonApiAuthInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(@NotNull HttpServletRequest request, @NotNull HttpServletResponse response, @NotNull Object handler) throws Exception {
        boolean paramIllegal = ParamCheckerChain.getInstance().check(request);
        if (paramIllegal) {
        //这里自定义异常,不再多阐述
            HttpServletUtils.setResponseInfo(response, HttpStatus.OK.value(), CommonErrorCode.PARAM_ILLEGAL.getMsg());
            return false;
        }
}

7.责任链chain

public class ParamCheckerChain {

    private static ParamCheckerChain instance;
    private ParamChecker head;

    private ParamCheckerChain() {
        buildChain();
    }

    public static ParamCheckerChain getInstance() {
        if (instance == null) {
            synchronized (ParamCheckerChain.class) {
                if (instance == null) {
                    instance = new ParamCheckerChain();
                }
            }
        }
        return instance;
    }

    private void buildChain() {
        head = new GetRequestChecker();
        ParamChecker second = new FileRequestChecker();
        ParamChecker third = new PostRequestChecker();
        head.setNextHandler(second);
        second.setNextHandler(third);
    }

    public boolean check(HttpServletRequest request) {
        return head.check(request);
    }
}

8.校验get请求

public class GetRequestChecker extends ParamChecker {
    @Override
    public boolean check(HttpServletRequest request) {
        if (RequestMethod.GET.name().equals(request.getMethod())) {
            if (ParamCheckUtils.checkSpecials(request.getQueryString())) {
                return true;
            }
        } else if (nextHandler != null) {
            return nextHandler.check(request);
        }
        return false;
    }
}

9.校验文件类型的请求

public class FileRequestChecker extends ParamChecker {
    @Override
    public boolean check(HttpServletRequest request) {
        String contentType = request.getContentType();
        if (contentType != null && contentType.contains("multipart/form-data")) {
            MultipartResolver resolver = new StandardServletMultipartResolver();
            MultipartHttpServletRequest multipartRequest = resolver.resolveMultipart(request);
            if (ParamCheckUtils.checkSpecials(multipartRequest.getParameterMap())) {
                return true;
            }
        } else if (nextHandler != null) {
            return nextHandler.check(request);
        }
        return false;
    }
}

10.校验post请求

public class PostRequestChecker extends ParamChecker {
    @Override
    public boolean check(HttpServletRequest request) {
        if (ParamCheckUtils.checkSpecials(request)) {
            return true;
        } else if (nextHandler != null) {
            return nextHandler.check(request);
        }
        return false;
    }
}
服务器被挖矿了怎么办,实战清退
qq_14926283的博客
03-25 2711
然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务。注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办。可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里中招了。第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源。
在阿里云里面服务器怎么样可以更好的链接数据库
m0_64068722的博客
11-26 769
环境:阿里云ubuntu服务器 阿里云RDS数据库 问题:如何在阿里云服务器的终端使用shell命令连接RDS云数据库 解决方法: 1.阿里云服务器安装MySQL sudo apt-get install mysql-server 如果出现unable to locate package mysql-server 先使用语句 sudo apt-get update 2.连接阿里云数据库 在阿里云服务器终端 mysql -u root -h RDS数据库连接地址 -p 按提示输入密..
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 2385
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户记录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
删除阿里云服务器minerd挖矿程序
记录
07-02 719
很早之前写的一篇文章放在别的地方,现在搬过来…… 登录服务器,确认用户名和密码都正确,输入三次以后提示:Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password). 网上找了各种解决方案,说什么因为在本机ssh目录下生成了,所以需要更服务器进行绑定——并不是,这几个文件,之前就有了,连接服务器也没什么问题,后面又换了台电脑连接服务器,也是不行,至此,可以排除是本机问题了,至于是服务器的问题的话,多次尝试修改密码重启服务器,.
阿里云ECS遭挖矿程序攻击解决方法(彻底清除挖矿程序,顺便下载了挖矿程序的脚本)
热门推荐
zzf1510711060的博客
10-11 1万+
一:杀死挖矿程序进程 在服务器上使用top指令查看cpu的使用情况,发现有一个叫java的程序占用cpu高达99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 ...
2011从无到有搭建赚钱淘宝客网站程序.pdf
10-02
2011从无到有搭建赚钱淘宝客网站程序.pdf
从无到有搭建中小型互联网公司后台服务架构与运维架构
08-28
从无到有搭建中小型互联网公司后台服务架构与运维架构(龙果学院) 没有加密,包含视频、课件、源码,这也是目前找到的算比较全的版本了。 若链接失效,私我~~~谢谢
从无到有搭建中小型互联网公司后台服务架构与运维架构-龙果
03-12
本课程主要是针对如何从无到有搭建中小型互联网公司后台服务架构和运维架构的课程,课程所涉及的内容均是当前应用最广泛的技术和工具。本课程所讲解的技术体系已经在多个中小型互联网公司中实战运行使用,目前运行...
源码-从无到有搭建中小型互联网公司后台服务架构与运维架构-龙果
07-24
从无到有搭建中小型互联网公司后台服务架构与运维架构:源码,源码 老师上课的源码,不是视频,视频网上很多,论坛也很多 重要的事情说三遍: 源码 源码 源码 源码源码 源码源码 源码源码 源码源码 源码源码 源码...
HTMLTestRunnerNew.py针对《Python从无到有搭建接口(API)自动化测试框架》的测试报告,非此框架勿下载
01-04
与网格正版的有很多改动,只针对《Python从无到有搭建接口(API)自动化测试框架》的测试报告,非此框架勿下载
阿里云被恶意挖矿的处理方法
qq_55809729的博客
10-03 1136
亲测:阿里云被恶意挖矿的处理方法
处理阿里云服务器中的恶意挖矿程序
weixin_43268590的博客
06-24 1212
恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿: 及时更新系统和应用程序的安全补丁; 安装安全软件; 加强用户权限管理; 提升防火墙的安全级别,关闭不需要的服务端口; 监控服务器日志等。
1M云服务器够用吗?
林创云的博客
03-15 2058
1M云服务器够用吗?1m云服务器指的是云服务器带宽为1M,如果是访客不多的个人博客小网站,云服务器1m带宽也是可以够用的。但如果是流量较大、访客较多的网站或者企业站点,1M带宽肯定是不够用的。 云服务器带宽大小的选择,首先要知道影响因素,网站类型、网站日常的访问量、同时在线人数等。比如是文字站、论坛、图片网站、视频网站还是电商网站等等。 事实上,1Mbps 带宽的云服务器非常容易跑满,而且带宽过低...
阿里云服务器被挖矿
weixin_44034675的博客
05-31 1664
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
阿里云服务器被植入挖矿程序
最新发布
weixin_44678969的博客
04-30 372
出现这个问题的原因有两个:(1)云服务器的安全组中开放了所有端口(2)密码太弱(导致被暴力破解登录)
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 5404
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
阿里云服务器处理挖矿程序过程
大数据-攻城狮
07-27 2974
登录阿里云服务器终端,执行top命令,发现有一个进程netflix占用了98%的cpu,消耗了我的CPU积分,阿里云CPU积分被消耗后,网速就会变慢。 判定其为挖矿程序后,干他 解决办法: # 1.进入 ~/.ssh 目录 删除两个文件(如果你没有用到这两个文件的话) cd ~/.ssh rm -rf authorized_keys # 你会发现这个文件删不掉,不要紧,执行下面几个命令即可 # 1. 查看文件属性 lsattr authorized_keys # 打印内容如下: -----i-------
腾讯云服务器标准型S2、S3、S4、S5区别及如何选择?
colorfulyan的博客
01-06 714
腾讯云标准型服务器包括S2、S3、S4实例。这些实例都是标准型服务器,那么S2、S3、S4、S5区别在哪里呢?在这一块选择的时候新手会有很多犹豫,看上去型号都差不多,配置里面很多参数也看不懂,到底怎么选呢?接下来带大家去看看详细情况。 原文地址 腾讯云标准型S2 标准型 S2 实例是较新一代的标准型实例,此系列提供了平衡的计算、内存和网络资源,是很多应用程序的良好选择。 CPU:Intel Xeon E5-2680 Broadwell 处理器,主频2.4Ghz。 内存:DDR4内存。 CPU内存比例:1
阿里云挖矿清理粗暴解决
leohorry的博客
12-31 830
阿里云报警挖矿 kthread.exe top 查找发现kthread 这个程序; kill -9 PID 后换了还来; crontab -l 发现结尾【ds4lpr】 这类似的字符;单独删了不管用,一会儿还来; reboot 后还在; 临时解决方法: 执行以下 killall -9 betvqi || killall -9 kthreaddk || killall -9 kthreadd || rm -rf $(find / -name "ds4lpr") 或者 【注意多的东西注意保存原有的
Hadoop集群搭建完全指南:从裸机到分布式
"该资源是一份关于从零开始搭建完全分布式Hadoop的教程,涵盖了从裸机准备到完全分布式模式的全过程。主要内容包括单机模式、伪分布式模式和完全分布式模式的搭建步骤,以及相关配置和环境变量设定。" 在搭建Hadoop...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值