当前位置: 首页 > news >正文

HttpServletRequestWrapper的使用与原理

news 2025/8/2 8:46:11

介绍

  • HttpServletRequestWrapper 实现了 HttpServletRequest 接口,可以让开发人员很方便的改造发送给 Servlet 的请求.HttpServletRequest 对参数值的获取实际调的是org.apache.catalina.connector.Request没有提供对应的set方法修改属性所以不能对前端传来的参数进行修改,实际场所像过滤xss攻击,取认证token统一去除token前缀等需要进行请求参数的处理,此时HttpServletRequestWrapper 就应运而生了。
  • 应用了装饰模式.HttpServletRequestWrapper 采用装饰者模式对HttpServletRequest进行包装,我们可以通过继承HttpServletRequestWrapper 类去重写getParameterValues,getParameter等方法,实际还是调用HttpServletRequest的相对应方法,但是可以对方法的结果进行改装。
  • 一般要和 Filter 配合应用

应用场景

需要修改客户端请求参数的场合,例如

  • 将不支持的语言参数修改为默认语言
  • 将加密的 DeviceId 解密,并解析出其中的 imei 和 sn,同时在客户端请求里添加这 2 个参数
    ** deviceId = hex(rc4(imei + ‘_’ + sn))

示例

就以上面所说的解密 DeviceId 为例

web.xml 配置

添加一个解析 DeviceId 的 Filter

<!-- 解析加密的 deviceId 得到 imei 和 sn --><filter><filter-name>deviceIdParseFilter</filter-name><filter-class>com.xxxxxx.DeviceIdParseFilter</filter-class><init-param><param-name>encoding</param-name><param-value>UTF-8</param-value></init-param><init-param><param-name>forceEncoding</param-name><param-value>true</param-value></init-param></filter><filter-mapping><filter-name>deviceIdParseFilter</filter-name><url-pattern>*.do</url-pattern></filter-mapping>

Filter 代码

public class DeviceIdParseFilter implements Filter {private static final String KEY = "xxxxxxx";private static final Logger log = Logger.getLogger(DeviceIdParseFilter.class);private static final String[] DEFAULT_RESULT = {"",""};@Overridepublic void init(FilterConfig filterConfig) throws ServletException {}@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)throws IOException, ServletException {String deviceId = request.getParameter("deviceId");if (deviceId != null && deviceId.length() > 0) {String[] result = parseDeviceId(deviceId);DeviceIdParseRequest req = new DeviceIdParseRequest((HttpServletRequest) request,result[0], result[1]);chain.doFilter(req, response);} else {chain.doFilter(request, response);}}/*** * 从 deviceId 里解析出 imei 和 sn* * imei = result[0]* sn   = result[1]* * * @param deviceId* @return*/private static final String[] parseDeviceId(String deviceId) {try {String src = Rc4Util.decrypt(deviceId, KEY);if (src.indexOf('_') >= 0) {return src.split("_");}} catch (Exception e) {log.error(e, e);}return DEFAULT_RESULT;}@Overridepublic void destroy() {}}

这个 Filter 会将包含 deviceId 参数的请求进行如下处理

  • 将 deviceId 的值用 RC4 进行解密
  • 从解密出来的 deviceId 里解析出 imei 和 sn
  • 将请求改造成 DeviceIdParseRequest,这就是我们的 HttpServletRequestWrapper
    而不包含 deviceId 参数的请求不做任何处理

HttpServletRequestWrapper 代码

public class DeviceIdParseRequest extends HttpServletRequestWrapper {private String imei;private String sn;/*** @param request*/public DeviceIdParseRequest(HttpServletRequest request) {super(request);this.imei = "";this.sn = "";}/*** @param request* @param imei* @param sn*/public DeviceIdParseRequest(HttpServletRequest request, String imei, String sn) {super(request);this.imei = imei;this.sn = sn;}@Overridepublic String getParameter(String name) {if ("imei".equals(name)) {return imei;} else if ("sn".equals(name)) {return sn;} else {return super.getParameter(name);}}@Overridepublic String[] getParameterValues(String name) {if ("imei".equals(name)) {return new String[] { imei };} else if ("sn".equals(name)) {return new String[] { sn };} else {return super.getParameterValues(name);}}}

这里针对 imei 和 sn 进行了特殊处理,返回的不是客户端提交的参数,而是在 Filter 里通过解析 deviceId 得到的 imei 和 sn

需要注意的是

  • 如果用 request.getParameter() 获取客户端请求参数的值,那么只需要重写该方法就行了
  • 如果用 SpringMVC 的 @RequestParam 注解来获取请求参数的值,那么需要重写 getParameterValues 方法:因为 SpringMVC 是用这个方法来获取参数值的

运行结果

用于测试的 controller

这个测试类把接收到的参数直接返回

@Controller
@RequestMapping("/api/")
public class TestController {@ResponseBody@RequestMapping("test.do")public Result test(String deviceId, String imei, String sn) {Map<String, String> map = new HashMap<>();map.put("deviceId", deviceId);map.put("imei", imei);map.put("sn", sn);return new Result(map);}}

请求参数不包含 deviceId.请求 url 如下:

http://xxxxx.in.xxxxx.com/api/test.do?reqno=123456&imei=imei&sn=1001&model=mx6&os=flyme6&ver=1.0.0&locale=en_US

返回结果

{"code": "200","message": "","redirect": "","value": {"sn": "1001","imei": "imei","deviceId": null}
}

请求参数包含 deviceId。请求 url

http://xxxxxxx.com/api/test.do?reqno=123456&sn=1001&model=mx6&os=flyme6&ver=1.0.0&locale=en_US&deviceId=7cfbf5cbd70bcf1c006d7d0aa77688518444497a2b45683ea41ce690e92d6d38

返回结果

{"code": "200","message": "","redirect": "","value": {"sn": "111","imei": "org.testng.annotations.Test;","deviceId": "7cfbf5cbd70bcf1c006d7d0aa77688518444497a2b45683ea41ce690e92d6d38"}
}

可以看到

  • 请求参数里不存在的 imei 能获取到值
  • 请求参数里存在的 sn 值被修改了
http://www.lryc.cn/news/66932.html

相关文章:

  • PBDB Data Service:List of fossil occurrences(化石产出记录列表)
  • 初识C语言
  • Leetcode 322. 零钱兑换(完全背包)
  • 怎么恢复回收站?分享4个宝藏方法!
  • 大模型混战,最先实现“智慧涌现”的会是谁?
  • Powerlink协议在嵌入式linux上的移植和主从站通信(电脑和linux板通信实验)
  • 快速理解基本的cookie、session 和 redis
  • STANet代码复现出现的问题
  • Java 中String对象详解
  • k8s nfs运行问题、etcd问题、calico网络问题
  • Qt--QString字符串类、QTimer定时器类
  • 2023.5.13>>Eclipse+exe4j打包Java项目及获取exe所在文件的路径
  • Centos系统的使用基本教程
  • IDEA生成ER图、UML类图、时序图、流程图等的插件推荐或独立工具推荐
  • Python心经(3)
  • 单工,半双工,全双工通讯
  • 【2023-05-09】 设计模式(单例,工厂)
  • 批量任务导致页面卡死解决方案
  • 避免“文献综抄”,5种写作结构助你完成文献综述→
  • Java异常和反射
  • Accesss数据库的那点事
  • 网络基础学习:osi网络七层模型
  • EndNote X9 引用参考 单击文献编号,不能跳转到文尾文献列表处,咋解决?文献编号 不能跳转 ,怎么办?
  • 用免费蜜罐工具配置Modbus工控蜜罐
  • DataGridXL中快速搜索单元格和底部全屏模式区域隐藏
  • DotNet几种微服务框架,你用过吗?
  • Nature | 生成式人工智能如何构建更好的抗体
  • 【hive】基于Qt5和libuv udp 的lan chat
  • Java版本工程项目管理系统源码,助力工程企业实现数字化管理
  • 什么是零拷贝?