JFinal 如何进行XSS过滤（JFinal 的简单介绍到利用JFinal 的handler实现)

来源：互联网发布：面向对象java怎么用编辑：程序博客网时间：2024/05/16 09:00

在此之前我们来谈谈JFinal

JFinal 是基于Java 语言的极速 web开发框架，其核心设计目标是开发迅速、代码量少、学习简单、功能强大、轻量级、易扩展、Restful。在拥有Java语言所有优势的同时再拥有ruby、python等动态语言的开发效率。
JFinal 采用微内核全方位扩展架构，全方位是指其扩展方式在空间上的表现形式。JFinal由Handler、Interceptor、Controller、Render、Plugin五大部分组成。

所以今天我们就讲讲其一：Handler。

JFinal的 Handler是 AOP + 责任链模式的一个变种，JFinal对action及interceptor处理自身也是一个Handler名叫ActionHandler，可见其功能之强大。平时开发的时候一般不需要使用，当Action与Interceptor还不够用的时候可以考虑Handler上场。另外Handler可以替代Filter，你无需在web.xml 中再声明Filter了。

废话不多说了，赶紧进入正文

JFinal 是一个近乎零配置，基于spring MVC研发的框架，操作简单。节省代码，适用于所有web项目。适合中小型项目开发。10分钟写出一个页面的增删改查。。app，服务端也可以。只需一个简单的继承JFinalConfig 的配置类来配置JFinal所需的就行了。然后把它配置到web.xml中就可以了，其他的Interceptor、Controller、Handler只在该配置类里处理就行了，无需再在web.xml中配置了

下面是将该配置类配置到web.xml的示例：

    <filter>        <filter-name>jfinal</filter-name>        <filter-class>com.jfinal.core.JFinalFilter</filter-class>        <init-param>            <param-name>configClass</param-name>            <param-value>com.uniasia.JFinalProjectConfigurer</param-value>        </init-param>    </filter>

下面简要说说JFinalProjectConfigurer.java 这个类因为该类继承JFinal 框架的抽象 JFinalConfig 类，该类有5个抽象，所以要实现这5个抽象方法

    /**     * Config constant     */    public abstract void configConstant(Constants me);    /**     * Config route     */    public abstract void configRoute(Routes me);    /**     * Config plugin     */    public abstract void configPlugin(Plugins me);    /**     * Config interceptor applied to all actions.     */    public abstract void configInterceptor(Interceptors me);    /**     * Config handler     */    public abstract void configHandler(Handlers me);

今天我们主要关注的是configHandler(Handlers me) 这个方法，这里是配置我们自己写的handler。
在该方法里面配置我们的handler的方法如下：

    /**     * 配置处理器(这里添加了对html后缀的处理)如果不需要则默认为rest风格     */    public void configHandler(Handlers handler) {        //handler.add(我们自定义handler的实例)        handler.add(new XssHandler());    }

下面开始定义我们的handler的。
创建一个XssHandler类，继承JFinal 的 Handler 实现handler（）方法

public class XssHandler extends Handler{    @Override    public void handle(String target, HttpServletRequest request,            HttpServletResponse response, boolean[] isHandled) {        // 对于非静态文件，和非指定排除的url实现过滤        //我这里过滤的是资源文件和网站后台        if (target.indexOf(".") == -1&&!target.contains("manager")){            request = new HttpServletRequestWrapper(request);        }        nextHandler.handle(target, request, response, isHandled);    }}

下面就是重写HttpServletRequestWrapper继承javax.servlet.http.HttpServletRequestWrapper

package com.uniasia.common.handler;import java.util.HashMap;import java.util.Iterator;import java.util.Map;import java.util.Set;import javax.servlet.http.HttpServletRequest;import org.apache.commons.lang.ArrayUtils;import org.apache.commons.lang.StringUtils;/** * @desc 处理Xss漏洞 * @author oneask * @time  2016年12月16日 */public class HttpServletRequestWrapper extends javax.servlet.http.HttpServletRequestWrapper{    private HttpServletRequest request;    public HttpServletRequestWrapper(HttpServletRequest request) {        super(request);        this.request = request;    }    /**     * 重写getParameter方法     */    @Override    public String getParameter(String name) {        String value = this.request.getParameter(name);        if (value == null)            return null;        value = format(value);        return value;    }    /**     * 重写getParameterMap     */    @SuppressWarnings("unchecked")    @Override    public Map<String, String[]> getParameterMap() {        HashMap<String, String[]> paramMap = (HashMap<String, String[]>) super.getParameterMap();        paramMap = (HashMap<String, String[]>) paramMap.clone();        for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext(); ) {            Map.Entry<String, String[]> entry = (Map.Entry<String, String[]>) iterator.next();            String [] values = entry.getValue();            for (int i = 0; i < values.length; i++) {                if(values[i] instanceof String){                    values[i] = format(values[i]);                }            }            entry.setValue(values);        }        return paramMap;    }    public String filter(String message) {        if (message == null)            return (null);        message = format(message);        return message;    }    /**     *  @desc 统一处理特殊字符的方法，这里用的是apache的StringUtils.replaceEach  方法     *  @org.apache.commons.lang.StringUtils.replaceEach      *  @author  oneask     *  @time 2016年12月16日     *  @param name 要替换的字符     */    private String format(String name) {        //注意该方法，替换的字符前后数组长度要一一对应，我这里将特殊的字符要替换为空        return StringUtils.replaceEach(name,//                new String[]  {"%22","%27","%28","%29","%2B","%2b","%2F", "%2f","%2f","%25","%3E","%3E","%3E","%3D","%3d","%3C","%3c","%3b","%3B","%3B","%3E","%3E",":","\\","'","<",">","\"","/","%20","=",".","@"},             //                new String[]{"","","","","","","","","","","","","","","","","","","","","","","","","","","","","","","","",""});    }}

希望以上的内容能帮助到大家，这是我经过了两三次的踩坑得出来的。

0 0