springboot下Filter的POST和GET过滤参数

最新推荐文章于 2025-03-24 21:52:25 发布
最新推荐文章于 2025-03-24 21:52:25 发布
阅读量6.9k 收藏 4
点赞数 2
分类专栏: java基础 框架 
//定义一个filter过滤器



import org.apache.commons.lang.StringUtils;
import org.springframework.stereotype.Component;
import org.apache.commons.lang.StringEscapeUtils;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.Map;
import java.util.Set;

@Component
@WebFilter(filterName = "ValidatorFilter" , urlPatterns = "/*")
public class ValidatorFilter implements Filter {
    String[] strArr = {"\"","%","'"};
    @Override
    public void doFilter(ServletRequest request,
                         ServletResponse response,
                         FilterChain chain) throws IOException, ServletException{
     
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String method  = (httpServletRequest.getMethod());
        Map<String, String[]> map = httpServletRequest.getParameterMap();
        ServletRequest requestWrapper = null;
        GetParameterRequestWrapper requestWrapper1= null;
        if(httpServletRequest.getMethod().equals("POST")){
             requestWrapper = new PostParameterRequestWrapper(httpServletRequest,method,map);
             chain.doFilter(requestWrapper, response);
        }else if(httpServletRequest.getMethod().equals("GET")){
            requestWrapper1 = new GetParameterRequestWrapper((HttpServletRequest)request);
            Set<String> key = map.keySet();
            for(String arr :strArr){
                for(String k : key){
                    String[] arrValues =  map.get(k);
                    String newValues= StringUtils.join(arrValues);
                    if(newValues.contains(arr)){
                        //对不合法参数转义
                        String escape = StringEscapeUtils.escapeXml(arr);
                        String s1 = newValues.replace(arr,escape);
                        //重新put相同的key,替换对应的values
                        requestWrapper1.addParameter(k, new String[]{s1});
                    }
                }
            }
            chain.doFilter(requestWrapper1, response);
        }
    }


    @Override
    public void destroy() { }


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }


}

//get方式,修改请求域中的参数值,拦截不合法的参数,进行转义



import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.*;

class GetParameterRequestWrapper extends HttpServletRequestWrapper {


    private Map<String , String[]> params = new HashMap<String, String[]>();


    @SuppressWarnings("unchecked")
    public GetParameterRequestWrapper(HttpServletRequest request) {
        super(request);
        this.params.putAll(request.getParameterMap());
    }


    public GetParameterRequestWrapper(HttpServletRequest request , Map<String , Object> extendParams) {
        this(request);
        addAllParameters(extendParams);
    }

    @Override
    public String getParameter(String name) {
        String[] values = params.get(name);
        if (values == null || values.length == 0) {
            return null;
        }
        return values[0];
    }


    public String[] getParameterValues(String name) {
        return params.get(name);
    }

    public void addAllParameters(Map<String , Object>otherParams) {
        for(Map.Entry<String , Object>entry : otherParams.entrySet()) {
            addParameter(entry.getKey() , entry.getValue());
        }
    }

    public void addParameter(String name , Object value) {
        if(value != null) {
            if(value instanceof String[]) {
                params.put(name , (String[])value);
            }else if(value instanceof String) {
                params.put(name , new String[] {(String)value});
            }else {
                params.put(name , new String[] {String.valueOf(value)});
            }
        }
    }
}

//post方式,修改请求域中的参数值,拦截不合法的参数,进行转义





import org.apache.commons.lang.StringEscapeUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;

public class PostParameterRequestWrapper  extends HttpServletRequestWrapper {

    private  byte[] body;
    String[] strArr = {"\"","%","'"};

    public PostParameterRequestWrapper(HttpServletRequest request, String method, Map<String, String[]> newParams) throws IOException {
        super(request);

        //获取request域json类型参数
        String param = getBodyString(request);

        //拆分json,参数属性放一个List集合中
        List<String> shuxing = new ArrayList<String>();
        //拆分json,参数值放一个List集合中
        List<String> values = new ArrayList<String>();

        System.out.println("param  "+param);
        if(param!= null && !param.equals("")){
            String newParam = param.substring(1,param.length()-1);
            String[] arrParam = newParam.split(",");
            for(String arr : arrParam){
                String[] newArr =  arr.split(":");

                //属性
                String par = newArr[0].trim();
                if(par.contains("\"") && par.length()>2){
                    par = par.substring(1,par.length()-1);
                }
                shuxing.add(par);

                //值
                if(newArr.length>1){
                    String par1 = newArr[1].trim();
                    if(par1.contains("\"") && par1.length()>2){
                        par1 = par1.substring(1,par1.length()-1);
                    }
                    values.add(par1);
                }else{
                    values.add("");
                }
            }

            //对值里面的不合法参数转义
            for(int i = 0;i<shuxing.size();i++){
                for(String arr :strArr){
                    if(values.get(i).contains(arr)){
                        //对不合法参数values转义
                        String newValues = StringEscapeUtils.escapeXml(arr);
                        String s1 = values.get(i).replace(arr,newValues);
                        values.set(i,s1);
                    }
                }
            }
            StringBuffer bf =new StringBuffer();
            //重组json字符串
            for(int k = 0;k<shuxing.size();k++){
                if(k+1 != shuxing.size()){
                    bf.append("\""+shuxing.get(k)+"\""+":"+ "\""+ values.get(k)+"\""+",");
                }else{
                    bf.append("\""+shuxing.get(k)+"\""+":"+  "\""+values.get(k)+"\"");
                }
            }
            String sb = "{"+ bf.toString() +"}";
            System.out.println("sb "+sb);
            body = sb.getBytes(Charset.forName("UTF-8"));
        }
    }

    /**
     * 获取请求Body
     *
     * @param request
     * @return
     */
    public String getBodyString(final ServletRequest request) {
        StringBuilder sb = new StringBuilder();
        InputStream inputStream = null;
        BufferedReader reader = null;
        try {
            inputStream = cloneInputStream(request.getInputStream());
            reader = new BufferedReader(new InputStreamReader(inputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        }
        catch (IOException e) {
            e.printStackTrace();
        }
        finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        System.out.println("sb.toString " +sb.toString());
        return sb.toString();
    }

    /**
     * Description: 复制输入流</br>
     *
     * @param inputStream
     * @return</br>
     */
    public InputStream cloneInputStream(ServletInputStream inputStream) {
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        byte[] buffer = new byte[1024];
        int len;
        try {
            while ((len = inputStream.read(buffer)) > -1) {
                byteArrayOutputStream.write(buffer, 0, len);
            }
            byteArrayOutputStream.flush();
        }
        catch (IOException e) {
            e.printStackTrace();
        }
        InputStream byteArrayInputStream = new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
        return byteArrayInputStream;
    }
    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {

        final ByteArrayInputStream bais = new ByteArrayInputStream(body);

        return new ServletInputStream() {

            @Override
            public int read() throws IOException {
                return bais.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {
            }
        };
    }

}

 

【微服务】springboot 自定义注解+反射+aop实现动态修改请求参数
congge
09-01 1万+
springboot 动态修改请求参数常用方案
springboot中使用filter来修改body里的参数
老司机让开,Java新手来了
04-23 5054
在这里, 以去空格为例来进行说明. 背景:在项目中, 经常会遇到前端往后端传参会有字符串参数首尾有空格的情况, 一般如果字段比较少, 或者接口比较少, 自行在controller位置处理一下, 是没有问题的. 就是重复代码多, 工作重复, 没劲. 所以在这里以去空格说明如何处理post方法里的参数首尾空格问题. 自定义filter. public class ParamsFilter impl...
springboot经验之sql注入、xss注入拦截(POST
lipeng的博客
02-08 4174
简介 sql注入、xss注入、cors攻击的简介以及解决方案,可以参考下面链接: https://blog.csdn.net/yhhyhhyhhyhh/article/details/84504487 这里我就不做的的介绍了,解决sql注入根本方案在于使用预编译而不是拼接sql, 而通常拦截参数都只有针对GET方法,下面介绍下POST方法 POST防注入方案 1、增加httprequest包装类 ...
SpringBoot过滤器获取POST请求的JSON参数
林北
12-19 9456
​ 项目中需要将每个请求的路径请求参数以及响应结果,都记录在日志中,这样在出现问题时可以快速定位是哪里出现了问题。想到了使用过滤器来实现这个功能,当请求来到过滤器时,会有一个Request参数,通过该参数就能获取到请求路径请求参数,以及相关内容 parameterMap = httpRequest.getParameterMap(); String requestMethod = httpRequest.getMethod(); String remoteAddr = httpRequest.getR
SpringBoot中实现过滤Filter拦截器Interceptor
2201_75327219的博客
03-24 1221
主要内容是过滤Filter拦截器Interceptor,并进行简单的原理总结代码演示。
springboot使用过滤器对请求参数进行处理
指尖凉的博客
08-24 6255
前段时间对项目进行改造,需要实现对请求参数进行解密,再传输到控制层。参考了网上的一些文章,基本都是通过过滤实现RequestBodyAdvice接口进行处理。结合自己的项目要求,实现RequestBodyAdvice接口只能对参数请求体中(@RequestBody)才生效,而项目中需要对getpost请求都进行处理,所以最后决定使用过滤器来实现。这里记录下代码实现,方便以后遇到相似的功能就不需要再去网上搜了。 首先需要继承HttpServletRequestWrapper类来自定义一个Request
springboot拦截器,过滤器完成请求参数的获取
吻得太逼真的博客
03-04 4206
1.自定义拦截器 package com.impl.modelserver.common.config.interceptor; import com.alibaba.fastjson.JSON; import com.impl.modelserver.po.CheckNamespaceLegalParam; import com.impl.modelserver.service.IModelService; import java.util.Map; import javax.servlet.htt
SpringBoot过滤器获取请求参数
qq_38254635的博客
02-05 1872
SpringBoot过滤器获取请求参数
So eazy!SpringBoot一键去除参数前后空格XSS过滤实战解析
m0_75232472的博客
05-06 963
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
springbootFilter过滤参数的空格
龚艺洋的博客
08-07 4834
package org.module.organization.permission.filter; import java.io.IOException; import javax.servlet.DispatcherType; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servl...
SpringBoot---请求参数处理
tianynnb的博客
07-23 1374
1.请求映射 1.1 rest 请求 Rest风格支持(使用HTTP请求方式动词来表示对资源的操 以前:/getUser 获取用户 /deleteUser 删除用户 /editUser 修改用户 /saveUser 保存用户 现在: /user GET-获取用户 DELETE-删除用户 PUT-修改用户 POST-保存用户 核心Filter;HiddenHttpMethodFilter 用法: ①表单method=post,隐藏域 _meth
SpringBoot过滤器获取响应的参数
qq_38254635的博客
02-05 1321
SpringBoot过滤器获取响应的参数
springboot拦截器Filter获取配置文件参数
u010703690的博客
12-07 6989
方法一、过滤器使用@Component注解时,@value注解可用 说明:如果使用@Component,同时将Filter通过@Configuration加入过滤链时,@value将拿不到值。 @Component public class CorsFilter implements Filter { @Value("${xx.security.csrf-ingores}") private String csrfIngores; /************解决Origin跨域
SpringBoot项目中,拦截器获取Post方法的请求body
winne的博客
11-05 9206
前因交代:最近对接了第三方接口,我负责的部分是第三方来调用我们的接口,需要验签,本来按照常规的方法,我直接在service层写一个验签方法,然后被第三方访问的接口都调用这个验签方法就ok了,但是这个领导要求,验签不要写在业务里,不要每个方法都来调用,直接在controller层前面拦住,在拦截器里拦住,这可难倒了我,于是求救朋友,他发给了我这篇文章,仔细阅读后尝试,真的可行,所以想分享给大家(其中也有不懂的地方我放到文末了,希望看到的大神指教~~) 背景 通常对安全性有要求的接口都会对请求参数做一些签名验证
SpringBoot通过过滤器获取请求参数
Mu_Yue_Yue的博客
06-11 3147
SpringBoot使用过滤器获取请求参数、对参数进行操作或者日志记录
springboot过滤器转发请求到其它服务,并响应前端
路西法Lucifer
09-22 5107
通过调用 A服务,经过过滤器拦截,将请求转发到B服务,并将B服务的文件流,拿到后,响应给前端,并实现浏览器自动下载。
SpringBoot配置拦截器,获取请求内容
qq_33140257的博客
03-20 2915
做这个需求时还遇到过一个小问题,因为拦截后想要获取post请求参数需要用getInputStream()或getReader()来获取内容,但因为在整个请求中io流只能获取一次,我在这里就获取的话,后面会报相应的错误,故要重写类方法,将获取到的流保存下来。配置拦截器,重写preHandle(),postHandle(),afterCompletion()方法处理入参,这三个方法的作用。afterCompletion():请求处理之后进行调用,但是在视图被渲染之前(Controller方法调用之后)
springboot配置拦截器,在拦截器中获取@RequestBody注解参数post请求参数以及get请求参数
热门推荐
qq_35411229的博客
07-22 2万+
1.配置拦截器 package com.jy.gxw.config.interceptor; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.w...
SpringBootget请求参数的解析规则
最新发布
03-25
<think>嗯,我现在要了解SpringBootGET请求参数的解析规则。之前学过一点SpringBoot,但具体到参数解析可能还不太清楚。首先,GET请求参数一般是在URL的查询字符串里,对吧?比如`/user?id=1&name=Tom`这样的。那SpringBoot是怎么把这些参数映射到控制器方法的参数上的呢? 记得SpringMVC中有处理请求参数的注解,比如@RequestParam。可能SpringBoot也沿用了这些机制。比如说,如果控制器方法有一个参数用@RequestParam注解,那么应该会绑定对应的查询参数。那如果没有用这个注解,SpringBoot会不会自动根据参数名来匹配呢?比如方法参数URL中的参数名一致的话,是否自动绑定? 还有,如果参数是基本类型,比如int或者String,应该直接转换。但如果参数是对象,比如一个User对象,里面有idname属性,这时候是不是需要用@ModelAttribute?或者SpringBoot有没有自动绑定对象属性的功能? 另外,参数是可选的还是必须的?比如,如果URL中没有某个参数,会不会报错?这时候可能需要用到required属性,比如@RequestParam(required=false)。默认情况下,@RequestParam是不是required为true? 还有数组或列表的情况,比如多选框传多个值,参数名相同,如`hobbies=reading&hobbies=music`,这时候在方法参数里用List<String> hobbies是不是就能自动接收? 还有关于参数的类型转换,比如日期格式,可能需要自定义转换器,或者用@DateTimeFormat注解来指定格式。SpringBoot默认支持哪些类型的转换呢?比如String转Date是否会自动处理? 还有URL中的路径参数,比如@GetMapping("/user/{id}"),这时候用@PathVariable来获取,这部分是不是属于路径参数解析,查询参数分开处理? 还有编码的问题,比如参数里有中文或特殊字符,SpringBoot会自动解码吗?是否需要配置字符编码过滤器? 可能还有多级参数的情况,比如对象里面包含另一个对象,参数名类似`user.address.city=Beijing`,这时候能否自动绑定到嵌套属性?可能需要用@ModelAttribute或者直接用一个DTO对象来接收。 还有,如果参数方法参数名不一致,必须用@RequestParam指定名称对吧?比如@RequestParam("user_id") String userId。 总结一下,可能需要涉及的注解有@RequestParam、@PathVariable、@ModelAttribute,以及对象绑定、类型转换、默认值设置、可选参数处理、数组/列表处理、嵌套属性绑定等。同时,SpringBoot在背后可能使用了一些ConverterFormatter来处理类型转换,还有WebDataBinder来进行数据绑定。 可能需要举几个例子来说明不同的情况,比如基本类型参数、对象参数、数组、可选参数、默认值、日期格式等。这样用户就能更清楚不同的使用场景该怎么处理。 不过,有没有可能漏掉某些情况?比如处理Map类型的参数,或者使用@RequestParam Map<String, String> params来接收所有参数?或者是否支持复杂类型的嵌套,比如JSON格式的查询参数,但一般GET请求参数不太会用JSON,可能更多是POST请求的body里用JSON。 另外,关于参数的验证,比如用@Valid注解配合JSR-303验证,可能在参数绑定之后进行校验,但这可能属于另一个话题,参数解析之后的部分。 总之,需要系统化地整理SpringBoot处理GET请求参数的规则,分点说明不同的情况对应的处理方式,确保覆盖常见的用法注意事项。</think>SpringBootGET 请求参数的解析规则主要通过以下机制实现,按使用场景分类: --- ### 一、**基础参数绑定** 1. **`@RequestParam` 注解** - **作用**:将 URL 的查询参数绑定到方法参数。 - **默认规则**: - 参数名与 URL 参数名一致时,可省略注解。 示例: ```java // URL: /user?name=Tom public String getUser(String name) { ... } // 自动绑定 ``` - 参数名不一致时需显式指定: ```java public String getUser(@RequestParam("user_name") String name) { ... } ``` - **属性**: - `required`:是否必传(默认 `true`),缺失会抛出异常。 - `defaultValue`:设置默认值(自动将 `required` 设为 `false`)。 2. **基本类型自动转换** - SpringBoot 自动将字符串参数转换为 `int`、`boolean` 等基本类型。 示例: ```java // URL: /user?id=100 public String getUser(@RequestParam int id) { ... } ``` --- ### 二、**对象参数绑定** - **自动绑定对象属性**:若方法参数是一个对象,SpringBoot 会按**属性名**自动匹配 URL 参数。 示例: ```java // URL: /user?name=Tom&age=20 public String getUser(User user) { ... } // User 类需有 name age 的 setter 方法 ``` - **嵌套对象绑定**:使用 `.` 分隔符绑定嵌套属性。 示例: ```java // URL: /user?address.city=Beijing public String getUser(User user) { ... } ``` --- ### 三、**数组/集合参数** - **同名参数传递多个值**:直接绑定到数组或 `List` 类型。 示例: ```java // URL: /hobbies?hobby=reading&hobby=music public String getHobbies(@RequestParam List<String> hobby) { ... } ``` --- ### 四、**路径参数 `@PathVariable`** - **从 URL 路径中获取参数**:需与 `@GetMapping` 路径占位符匹配。 示例: ```java @GetMapping("/user/{id}") public String getUser(@PathVariable Long id) { ... } ``` --- ### 五、**可选参数与默认值** - **可选参数**:通过 `required=false` 允许参数缺失。 示例: ```java public String getUser(@RequestParam(required = false) String role) { ... } ``` - **默认值**:直接设置 `defaultValue`。 示例: ```java public String getUser(@RequestParam(defaultValue = "guest") String role) { ... } ``` --- ### 六、**日期/自定义类型转换** 1. **`@DateTimeFormat` 注解** 指定日期格式: ```java public String getEvent(@RequestParam @DateTimeFormat(pattern = "yyyy-MM-dd") Date date) { ... } ``` 2. **自定义转换器** 实现 `Converter<String, T>` 接口,注册为 Spring Bean。 --- ### 七、**编码处理** - **默认编码**:SpringBoot 使用 UTF-8 解码 URL 参数,需确保容器(如 Tomcat)的编码配置一致。 --- ### 八、**完整示例** ```java @GetMapping("/user") public String getUser( @RequestParam String name, // 必传参数 @RequestParam(required = false) Integer age, // 可选参数 @RequestParam(defaultValue = "1") int page, // 默认值 @DateTimeFormat(pattern = "yyyy-MM-dd") Date birth, @RequestParam List<String> hobbies, // 接收多个值 UserFilter filter // 自动绑定对象属性 ) { ... } ``` --- ### 九、**注意事项** 1. 避免在 GET 请求中传递复杂嵌套对象(推荐用 POST + JSON)。 2. 参数名匹配区分大小写。 3. 类型转换失败会抛出 `TypeMismatchException`。 通过上述规则,SpringBoot 灵活地简化了 GET 参数的解析,开发者只需关注业务逻辑。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值