struts2修改request里的参数值parameter

最新推荐文章于 2021-08-06 18:45:00 发布
原创 最新推荐文章于 2021-08-06 18:45:00 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javaee #java web #struts2 #filter #interceptor

本文介绍如何在Struts2中安全地修改Request参数值,通过自定义Request类并利用拦截器或过滤器实现。重点是确保自定义拦截器位于默认拦截器之后,或者使用过滤器从源头替换Request。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文章参考了网上一些代码,经本人实验没有问题

request处于安全考虑是不能直接修改的,所以要自定义一个request继承他的类。下面是代码


import java.util.Enumeration;
import java.util.HashMap;
import java.util.Map;
import java.util.Vector;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class MyRequest extends HttpServletRequestWrapper {
    
    private Map<String , String[]> params = new HashMap<String, String[]>();
 
 
    @SuppressWarnings("unchecked")
    public MyRequest(HttpServletRequest request) {
        // 将request交给父类,以便于调用对应方法的时候,将其输出,其实父亲类的实现方式和第一种new的方式类似
        super(request);
        //将参数表,赋予给当前的Map以便于持有request中的参数
        this.params.putAll(request.getParameterMap());
    }
    //重载一个构造方法
    public MyRequest(HttpServletRequest request , Map<String , Object> extendParams) {
        this(request);
        addAllParameters(extendParams);//这里将扩展参数写入参数表
    }
    public Map<String , String[]> getParameterMap() {  
        return params;  
    }  
  
    public Enumeration getParameterNames() {  
        Vector l = new Vector(params.keySet());  
        return l.elements();  
    }  
    @Override
    public String getParameter(String name) {//重写getParameter,代表参数从当前类中的map获取
        String[]values = params.get(name);
        if(values == null || values.length == 0) {
            return null;
        }
        return values[0];
    }
    
    public String[] getParameterValues(String name) {//同上
         return params.get(name);
    }
 
   public void addAllParameters(Map<String , Object>otherParams) {//增加多个参数
        for(Map.Entry<String , Object>entry : otherParams.entrySet()) {
            addParameter(entry.getKey() , entry.getValue());
        }
    }
 
 
    public void addParameter(String name , Object value) {//增加参数
        if(value != null) {
            if(value instanceof String[]) {
                params.put(name , (String[])value);
            }else if(value instanceof String) {
                params.put(name , new String[] {(String)value});
            }else {
                params.put(name , new String[] {String.valueOf(value)});
            }
        }
    }
    
    public void removeParameter(String name) {
    	if(params.get(name)!=null) {
    	params.remove(name);
    	}
    }
}

这个时候我们重写了request,关键在于要让action的request变成自定义的action.有两个常用的方法:

1.拦截器

<interceptors>
	<interceptor name="hh" class="handChangeInterceptor">
	<param name="includeMethods">modifyCarrierDo</param> 
	</interceptor>
	<interceptor-stack name="xxx">
	<interceptor-ref name="default"></interceptor-ref>
	<interceptor-ref name="hh"></interceptor-ref>
	</interceptor-stack>
	</interceptors>
<action name="" class="" method="">
<interceptor-ref name="xxx"></interceptor-ref>
</action>

注意自定义的拦截器要放在默认拦截器后面,因为默认拦截器完成了request,respose,parameter,actioncontext,valuestack等很多东西的数据绑定。

interceptor代码



import java.io.FileInputStream;
import java.io.InputStream;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import java.util.Properties;

import javax.servlet.http.HttpServletRequest;

import org.apache.struts2.ServletActionContext;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import net.sf.json.JSONArray;
@Component
public class HandChangeInterceptor extends ManagementAction<DeliveryOutbound> implements Interceptor{
	
	@Override
	public void destroy() {
	}

	@Override
	public void init() {
	}
	@Override
	public String intercept(ActionInvocation arg0) throws Exception {
		System.out.println("拦截器,启动!");
		
		HttpServletRequest request =
				(HttpServletRequest) arg0.getInvocationContext().get(ServletActionContext.HTTP_REQUEST);
        ......
        ......
        ......
		MyRequest requestWrapper = new MyRequest((HttpServletRequest)request);
		requestWrapper.addParameter("xxx" , xxx);
		ServletActionContext.setRequest(requestWrapper);
		ActionContext.getContext().put(ServletActionContext.HTTP_REQUEST, requestWrapper);
		arg0.getInvocationContext().put(ServletActionContext.HTTP_REQUEST, requestWrapper);
		
		return arg0.invoke();
	}
	
}

可以看到有很多修改request,具体是用哪一个,取决于action里面是怎么拿到request的。然后用自定义的request替换掉原有的request,这样传给action就是你自己的request了,注意了注意了,如果你的项目比较怪异,比如action不是通过任何任何一种方法获取request,那拦截器可能就不行了。过滤器就是最好的选择

2.过滤器



import java.io.IOException;
import java.io.PrintWriter;
import java.util.Arrays;
import java.util.List;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import net.sf.json.JSONArray;
@Component
public class MyFilter implements Filter{

	@Override
	public void destroy() {
		
	}
	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
			System.out.println("过滤器,启动!");
		......
        ......
        ......
		MyRequest requestWrapper = new MyRequest((HttpServletRequest)request);
		requestWrapper.addParameter("xxx" , xxx);
		chain.doFilter(requestWrapper, response);
		//不给通过的话就用request转发或重定向,是ajax请求,就是下面:
        //PrintWriter out = response.getWriter(); 
		//	out.print("xxx");//返回一个标识给前端
		//	out.flush();
		//	out.close();
	
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {
		
	}

}

web.xml

<filter>
	<filter-name>myfilter</filter-name>
	<filter-class>
	xxx.xxx.xxx.xxx.xxx.xxx.xxx.xxx.xxx
	</filter-class>
	</filter>
	<filter-mapping>
	<filter-name>myfilter</filter-name>
	<url-pattern>/xxx/xxx.action</url-pattern>
	</filter-mapping>

一般用这个不会出现问题,因为这个是request的根源

Struts2 拦截器修改request传入Action参数
xycgyyx的博客
12-21 799
拦截器代码: import java.util.HashMap; import java.util.Map; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpSession; import org.apache.commons.lang3.StringUtils; import org.apache.struts2.StrutsStatics; import org.apache.strut..
Apache Struts2远程代码执行漏洞(S2-001)复现
最新发布
2401_87298694的博客
09-21 877
​ OGNL还支持处理集合即Map,List和Set。​ 除了#,% 在 OGNL 表达式中也经常出现,它提供一个OGNL表达式运行环境。
strutsparameter功能
weixin_34345560的博客
06-06 142
strutsparameter功能(转自[url]http://hi.baidu.com/chuntian1919/blog/item/7c12898061a753d39023d974.html[/url]) 2008-01-28 10:29 P.M. 没有struts之前,使用servlet,最常用的是doGet,doPost,service方法,如果...
struts2 ajax url参数,在Struts2拦截器中更改请求参数值(Changing request parameter value in Struts2 interceptor)...
weixin_39943000的博客
08-06 421
Struts2拦截器中更改请求参数值(Changing request parameter value in Struts2 interceptor)有人知道是否可以在Struts2拦截器中更改/删除请求参数值?请求参数Map是UnmodifiableMap一个实例,因此看起来它不能在拦截器中操作。更新:我正在使用Liferay,所以uParamsMap将是一个UnmodifiableMappu...
struts2中 ServletActionContext与ActionContext区别
11-27 259
1. ActionContext 在Struts2开发中,除了将请求参数自动设置到Action的字段中,我们往往也需要在Action直接获取请求(Request)或会话(Session)的一些信息,甚至需要直接对JavaServlet Http的请求(HttpServletRequest),响应(HttpServletResponse)操作. 我们需要在Action中取得request请求参数...
Struts2获取request三种方法
CBlUE2014
03-19 705
复习啊..      struts2面有三种方法可以获取request,最好使用ServletRequestAware接口通过IOC机制注入Request对象。 在Action中获取request方法一:   在Action中的代码: ? 1 2 3 Map request = (M
深入理解Struts2重定向操作及参数传递实例分析
Struts2提供了一种简单的方式来传递参数,即在`<param>`标签中指定参数的名称和值。 **参数传递的几种方式**: 1. **直接指定参数值**: ```xml <param name="paramName">paramValue ``` 2. **动态获取值...
Struts2中获取request, session, application的四种方法
Struts2框架中,访问这些范围对象有四种不同的方式,分别是通过ActionContext类、ValueStack(值栈)以及ognl表达式、通过Struts2提供的request、session、application封装类,还有通过实现Servlet API中的接口。...
Struts2 Action参数接收方法深入解析
Struts2框架会自动根据Action类的属性名称和类型,将对应的请求参数(request parameter)绑定到Action类的属性上。例如: ```java public class UserAction extends ActionSupport { private String username; ...
struts2 拦截器 请求参数 更改
YH555的专栏
08-27 8856
Struts 2要依赖于ValueStack对象 众所周知,Strut 2的Action类通过属性可以获得所有相关的值,如请求参数、Action配置参数、向其他Action传递属性值(通过chain结果)等等。要获得这些参数值,我们要做的唯一一件事就是在Action类中
Struts2框架之参数封装
C8WATER
09-17 273
①静态参数封装: 在运行期的不发生变化的数据, 或者是一些配置相关的数据可以做静态封装. "struts.xml"配置文件: &lt;?xml version="1.0" encoding="UTF-8" ?&gt; &lt;!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration ...
Struts2框架使用(二)之Struts2接收参数
weixin_30702887的博客
12-14 117
Struts2 通过 get/set 自动获取数据 在Action中获取传递的参数,有两种方式: 1.属性驱动: 基本数据类型驱动,在Action中添加基本数据属性,在jsp上使用${name}会调用get方法获取该属性的值,在Action也可以通过set方法获取传递过来的参数。 在需要接收参数的Action类上定义所需要接收的数据,如下 这是jsp页面。 输入地址http:/...
Struts文件上传页面上传后显示“连接已重置”
03-29 643
连接已重置,what 测试后台方法也没有调用; 突然想起来是之前也遇到过: 原因是文件大小超过上传限制!!! 解决办法 在 struts.xml对应的action面;添加如下代码 重启项目即可!!! <package name="buyin" namespace="/buyin" extends="myPackage"> <a...
Struts2得到Request和Session
blue bird like JAVA
05-13 747
Struts2得到Request和Session关键字: struts2request、session   在Struts1.*中,要想访问request、response以及session等Servlet对象是很方便的,因为它们一直是作为形参在各个方法之间进行传递的,而在Struts2中我们就很难看到它们的芳踪了,因为我们获得表单中的值都是通过预先设置好了的get方法来得到的,那么如果
struts2中获取request对象
QYHuiiQ
08-05 421
struts2 18拦截器详解(十五) --- ParametersInterceptor
云原生之家
11-05 6458
ParametersInterceptor    该拦截器处于defaultStack第十五的位置,这跳过了一个拦截器,先讲ParametersInterceptor再讲第十四个ActionMappingParametersInteceptor因为ActionMappingParametersInteceptor继承自ParametersInterceptor,只是赋值参数源不一样,所
struts2标签获取parameter,request,session,application中的值
u010999809的博客
08-24 739
<pre name="code" class="html">paramters: <s:property value="#parameters.propName"/> or <s:property value="#parameters['propName']"/> request: <s:property value="...
struts2中获取request的方法
勿忘初心 方得始终
12-18 706
struts2面有三种方法可以获取request,最好使用ServletRequestAware接口通过IOC机制注入Request对象。 方法一:在Action中获取request   在Action中的代码: Map request = (Map)ActionContext.getContext().get("request"); List tasks = taskManager.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值