0

我遇到了 Struts 1 框架的新问题。我需要从页面中过滤一些输入值,所以我编写了自定义过滤器来执行此操作。

它适用于未映射到任何形式的单个参数。但是当它映射到某些struts Form字段时,它并没有获取参数。

有谁知道如何处理它?

这是我的过滤器的代码

public class XSSFillter implements Filter {


@Override
public void doFilter(ServletRequest request, ServletResponse response,
        FilterChain chain) throws IOException, ServletException {
    chain.doFilter(new XSSRequest((HttpServletRequest) request), response);
}

@Override
public void init(FilterConfig filterConfig) throws ServletException {       
}

@Override
public void destroy() {
}
    }


public class XSSRequest extends MultipartRequestWrapper{

public XSSRequest(HttpServletRequest request) {
    super(request);
}

@Override
public String[] getParameterValues(String name) {
    String[] values = super.getParameterValues(name);

    if(values == null){
        return null;
    }

    String[] newValues = new String[values.length];

    for(int index = 0; index < values.length; index++ ){
        newValues[index] = XSSFilterUtil.removeXSSTokens(values[index]);
    }

    return newValues;
}

@Override
public String getParameter(String name) {
    String value = super.getParameter(name); 
    return XSSFilterUtil.removeXSSTokens(value);
}

@Override
public String getHeader(String name) {
    String value = super.getHeader(name);
    return XSSFilterUtil.removeXSSTokens(value);
}
}

当然我已经在 web.xml 中定义了

我猜这是最重要的部分之一。

if (isMultipart) {
            parameterValue = multipartParameters.get(name);
        } else {
            parameterValue = request.getParameterValues(name);
        }

因此,在一种情况下,它们是parameterValue从 中获取的multipartParameters,而它们又是在一些临时文件中定义的。我认为最好的方法是修改所有请求参数,然后让它抛出 Struts 1.3.8 库。

4

2 回答 2

0

我对此非常生疏,但是ActionForm.reset(ActionMapping, HttpServletRequest)方法可能会给你你想要的。

几年前,我不得不在映射属性之前使用它来计算一些东西,此时您应该可以访问所有请求参数。

于 2013-06-06T11:15:08.893 回答
0

经过两天的研究和实验,我找到了一些解决方案。我写了自定义MultipartRequestHandler

public class XSSMultipartRequestHandler extends CommonsMultipartRequestHandler {

    @Override
    public Hashtable getAllElements() {
        Hashtable table = super.getAllElements();
        for (Object key : table.keySet()) {
            Object value = table.get(key);
            if (value instanceof String[]) {
                String[] arr = (String[]) value;
                String[] newValue = { XSSFilterUtil.removeXSSTokens(arr[0]) };
                table.put(key, newValue);
            }
        }
        return table;
    }

}

您还需要编写自定义 RequestProcessor,因为在验证之前将请求包装到MultipartRequestWrapper

public class XSSRequestProcessor extends TilesRequestProcessor {

    @Override
    protected boolean processValidate(HttpServletRequest request,
            HttpServletResponse response, ActionForm form, ActionMapping mapping)
            throws IOException, ServletException, InvalidCancelException {
        return super.processValidate(new XSSFilteredRequest(request), response, form, mapping);
    }

}

并在 struts-config 中

<controller processorClass="com.package.filter.XSSRequestProcessor" multipartClass="com.package.filter.XSSMultipartRequestHandler" contentType="text/html; charset=UTF-8"/>

就这样 :)

于 2013-06-07T12:57:32.003 回答