【Bug】Struts2 利用Filter过滤特殊字符无效

于 2019-04-23 23:17:02 发布
阅读量958 收藏
点赞数
分类专栏: 【Bug】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/quan20111992/article/details/89436885
版权
在处理Struts2项目中特殊字符过滤时,使用Filter和HttpServletRequestWrapper的方法只对部分参数生效。通过值栈获取的参数未过滤,而直接通过语句获取的参数进行了处理。尝试使用拦截器(Interceptor)来过滤请求参数,初期成功,但在测试环境发现所有使用放大镜功能的页面参数变为null。问题定位在自定义拦截器从ActionContext获取并替换参数的过程中,最终发现重写getParameterMap()可以解决过滤无效的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

临时抽调过来帮另一个项目组做特殊字符的过滤,首先想到的方案是Filter+HttpServletRequestWrapper,现成的代码都有直接迁移过来就可以。结果却是只有部分参数获取时进行了转换,而大多数并没有经过转换。

项目是Struts2 的项目,字符过滤的核心逻辑如下:

	public String[] getParameterValues(String parameter) {
		String[] values = super.getParameterValues(parameter);
		if (values == null) {
			return null;
		}
		int count = values.length;
		String[] encodedValues = new String[count];
		for (int i = 0; i < count; i++) {
			encodedValues[i] = charFilter(parameter,values[i]);
		}
		return encodedValues;
	}

	public String getParameter(String parameter) {
		String value = super.getParameter(parameter);
		if (value == null) {
			return null;
		}
		return charFilter(parameter,value);
	}

charFilter方法中对参数中指定的特殊字符进行替换,在调试效果时发现通过struts值栈获取到的值并没有将参数中的特殊字符进行替换,只有显示通过request.getParameter(parameterName)语句获取的参数才会进行特殊字符的处理。

走到这一步时我认为Filter+HttpServletRequestWrapperstruts的值栈并不会起作用,于是转而寻求利用struts自身的机制~拦截器(Interceptor)来对请求参数进行过滤。

一切似乎很顺利,提交表单,预期的特殊字符均被替换掉了。提交代码,灾难来临,测试环境更新代码后所有的放大镜都不能正常工作了。debug代码,放大镜后台取参数时值为null,参数是JSON格式的,
在这里插入图片描述
自定义拦截器的逻辑是从ActionContext中获取全部的参数,替换后再塞回去。
以为是替换特殊字符后导致JSON格式错乱,故将取出的值直接塞回去,但Action中取出的值仍是null

    public String intercept(ActionInvocation invocation) throws Exception {
        ActionContext actionContext = invocation.getInvocationContext();
        ValueStack stack = actionContext.getValueStack();
        Map valueTreeMap = actionContext.getParameters();
        Iterator iterator = valueTreeMap.entrySet().iterator();
        while (iterator.hasNext()) {
            Entry entry = (Entry) iterator.next();
            String key = (String) entry.getKey();
            String[] oldValues = null;
            if (entry.getValue() instanceof String) {
                oldValues = new String[] { entry.getValue().toString() };
            } else {
                oldValues = (String[]) entry.getValue();
            }
            // 处理后的请求参数
            String[] newValueStr = new String[oldValues.length];
            // 对请求参数过滤处理
            if (oldValues.length >= 1) {
                for (int i = 0; i < oldValues.length; i++) {
                	newValueStr[i] = cleanXSS(oldValues[i].toString());
                }
                stack.set(key, entry.getValue());
                valueTreeMap.put(key, entry.getValue());
            } 
            
        }
        String result = null;
        try {
            result = invocation.invoke();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return result;
    }

经过百度及多次尝试,发现重写HttpServletRequestWrappergetParameterMap()可以解决过滤特殊字符无效的问题

      public Map getParameterMap() {
            
          Map paramMap = super.getParameterMap();
          if (CollectionUtils.isEmpty(paramMap)) {
              return paramMap;
          }
            
          for (Object value : paramMap.values()) { 
              String[] str = (String[])value;
              if (str != null) {
                  for (int i = 0; i < str.length; i++) {        
                      str[i] = cleanXSS(str[i]);
                  }
              }
          }
          return paramMap;
      }
struts2项目中集成Activiti-Modeler5.19
Amayadream的博客
12-23 3972
struts2项目中集成Activiti-Modeler5.19
struts2拦截器屏蔽字符
yinghuadeyanlei的专栏
05-04 854
又是一个session的问题,每次遇到session的问题,总是要纠结很久 1.首先编写jsp页面     你说: 2.编写后台的拦截器与Action (1)拦截器 public class intercept implements Interceptor{    @Override  public void destroy() {   System.ou
Servlet中的过滤Filter详解
weixin_30535043的博客
12-24 312
web.xml中元素执行的顺序listener->filter->struts拦截器->servlet。 1.过滤器的概念 Java中的Filter 并不是一个标准的Servlet ,它不能处理用户请求,也不能对客户端生成响应。 主要用于对HttpServletRequest 进行预处理,也可以对HttpServletResponse 进行后处理,是个典型...
Struts2 中#、@、%和$符号的用途
u011628400的专栏
08-07 997
一.#符号的用途一般有三种。    “#”主要有三种用途:       1. 访问OGNL上下文和Action上下文,#相当于ActionContext.getContext();下表有几个ActionContext中有用的属性:        parameters    包含当前HTTP请求参数的Map    #parameters.id[0]作用相当于reques
struts2拦截非法字符+防止反复提交
yyw14叶筱薇17的博客
04-26 1411
拦截 : 在src下建interceptor public class filterinterceptor extends AbstractInterceptor { /** *  */ private static final long serialVersionUID = 1L; @Override public String intercept(ActionI
Struts过滤过滤某些字符
徐刘根的博客
09-24 3259
(1)天朝的规矩做项目的时候可能需要过滤某些特定的字符,在更多的用途是安全的考虑,下边就是一个过滤字符的简单案例; (2过滤器代码如下: package com.lc.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import j
Struts2处理中文请求参数乱码的解决方案及Struts2优势解析
Bug导致通过POST方式提交的中文参数出现乱码,原因是Struts2在处理请求参数后才尝试设置字符编码。解决方法是创建一个新的Filter,并将其置于Struts2 Filter之前,强制设置请求的字符编码为UTF-8。此外,文章还...
Struts2中文请求参数乱码问题解决方案
解决方法是创建一个新的Filter,并在Filter中设置请求的字符编码,将这个Filter置于Struts2 Filter之前。此外,文章还介绍了Struts2框架的基本概念、优点以及如何搭建Struts2的开发环境。" 在Struts2框架中,接收...
解决Struts2框架中文乱码问题的多种方法
应更新为`StrutsPrepareAndExecuteFilter`,例如:`<filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>`,因为这个版本修复了与编码相关的bug。 4. POST请求...
Struts2接收中文参数乱码解决方案及框架对比
解决方案是创建一个新的Filter,并将其置于Struts2 Filter之前,然后在doFilter方法中设置请求的字符编码为UTF-8(或其他适用的编码)。此外,文章还概述了Struts技术的发展历程,从Struts1到Struts2的演变,以及...
Struts中拦截器过滤敏感字符
wylfll的博客
09-23 803
struts2 的文字过滤拦截器 1.新建一个news.jsp页面 然后,新建一个newsSuccess.jsp页面, 2.新建一个class,名为:TextAction.java 3.修改struts.xml的配置: 然后就可以初步传递数据了. 加上下面这句代码就可以防止传递中文字符时发生乱码现象: 4.下面创建拦截器
Struts2中的特殊符号$ ,# ,%
huanggege10的学习历程
03-08 240
#:从actioncontext中取值,前面加上#%:%{#username}百分号的作用就是将大括号中的值当成ognl表达式$:用于在struts配置文件中 #、%和$符号在OGNL表达式中经常出现,而这三种符号也是开发者不容易掌握和理解的部分。在这里笔者简单介绍它们的相应用途。 1.#符号的用途一般有三种。   1)访问非根对象属性,例如示例中的#session.msg表达式,由于Stru...
Struct2中自定义的Filter无效
weixin_30552635的博客
06-24 196
解决办法,把自定义的Filter配置放在struct2前 <?xml version="1.0" encoding="UTF-8"?> <web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchem...
struts2配置定义过滤无效
Hello_kong的专栏
03-18 2539
今天在用struts2写一个自定义过滤器的时候发现想要过滤的请求一直没有进入过滤器,一直觉得奇怪了。 在web.xml中就是这样配置的。 login filter com.danale.filter.LoginFilter login filter *.jsp login filter *.action 我的目地是想将未登录的用户
ssh框架学习-struts2 使用自定义拦截器进行文字过滤拦截
Shawn_ling的博客
07-12 3647
自定义拦截器:一些与系统逻辑相关的通用功能,需要通过自定义拦截器来实现(权限的限制,用户输入内容的限制) 1.新建项目,在项目中导入如下的jar包 2. 在web.xml文件中配置struts2的核心控制器,用来拦截客户请求,把请求转发给相应的Action类来处理 <web-app version="2.5" xmlns="http://java.sun.com/xml/ns/ja
关于struts2字符过滤器有趣的代码,过滤器有问题的童靴可以戳进来看看
stan451219097的专栏
06-07 185
以下是struts2的拦截器 字符过滤(网上代码有很多,都和这个差不多(我亲测以后发现字符过滤还是不行,就自己弄了一个)): [align=center][size=small][color=red]有一个最简单的方法就是在你的struts.xml文件中添加: /* * To change this template, choose Tools | Templates ...
struts2学习之登陆拦截器和非法字符拦截器(六)
newbeedaly的博客
05-19 757
struts2拦截器
Servlet过滤字符串的HTML特殊字符
徐刘根的博客
09-05 3444
(1)在一些情况下我们在用户输入数据的时候我们要判断一下是否合法,就是要过滤一下用户输入的信息是否含有特殊字符; (2)直接上代码,以供大家参考学习: ServletUtilities类: package com.lc.ch04Biaodanshuju; import javax.servlet.http.HttpServletRequest; public class Servl
JSP的Filterstruts2 中的 action拦截不起作用的解决方案.
zhou363667565的专栏
09-08 207
好像在web.xml配置filter只能实现对jsp的拦截,struts2只能实现对action访问的拦截,怎么在struts2中实现对着两种访问的拦截呢?   Filter也可以拦截action,只需要自己编写的filter过滤器,放在struts2.0的过滤器前面就行了.  ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值