编程语言
首页 > 编程语言> > java使用@Constraint注解来做Xss校验

java使用@Constraint注解来做Xss校验

作者:互联网

目的

依赖 @Constraint 来自定义注解以便进行对象属性的校验。

比如说当前创建新用户的时候,需要验证前台传过来的用户名是不是包含了script脚本,通过使用自定义注解,我们可以很方便地进行属性校验。

方法

一、自定义Xss校验注解

我们需要校验Xss,所以我们自定义一个Xss校验注解,并且使用@Constraint修饰它。

@Retention(RetentionPolicy.RUNTIME)
@Target(value = { ElementType.METHOD, ElementType.FIELD, ElementType.CONSTRUCTOR, ElementType.PARAMETER })
@Constraint(validatedBy = { XssValidator.class })
public @interface Xss
{
    String message()

    default "不允许任何脚本运行";

    Class<?>[] groups() default {};

    Class<? extends Payload>[] payload() default {};
}

@Constraint(validatedBy = { XssValidator.class })其中的validatedBy属性指定了需要进行校验的策略类集合,这是一个数组。

XssValidator.class是我们接下来要定义的校验器,由它来完成校验的具体逻辑。

二、校验器

public class XssValidator implements ConstraintValidator<Xss, String>
{
    private final String HTML_PATTERN = "<(\\S*?)[^>]*>.*?|<.*? />";

    @Override
    public boolean isValid(String value, ConstraintValidatorContext constraintValidatorContext)
    {
        return !containsHtml(value);
    }

    public boolean containsHtml(String value)
    {
        Pattern pattern = Pattern.compile(HTML_PATTERN);
        Matcher matcher = pattern.matcher(value);
        return matcher.matches();
    }
}

校验类需要实现ConstraintValidator接口。

public interface ConstraintValidator<A extends Annotation, T> {
    void initialize(A constraintAnnotation);
    boolean isValid(T value, ConstraintValidatorContext context);
}

接口使用了泛型,需要指定两个参数,第一个是自定义注解类,第二个是需要校验的数据的类型。

实现接口后可以override两个方法,分别为initialize方法和isValid方法。其中initialize为初始化方法,可以在里面做一些初始化操作,isValid方法就是我们最终需要的校验方法了。可以在该方法中实现具体的校验步骤。

三、使用自定义Xss注解

接下来需要将我们第一步定义的Xss注解放在字段或get方法的上方,就可以使用该注解来校验属性了。

public class SysUser extends BaseEntity
{
	......
    @Xss(message = "登录账号不能包含脚本字符")
    public String getLoginName()
    {
        return loginName;
    }
    ......
}

四、controller调用点

接着我们需要去controller的方法上,给参数SysUser类加上@Validated来修饰,这样校验就可以生效了。

    @PostMapping("/add")
    @ResponseBody
    public AjaxResult addSave(@Validated SysUser user)
    {
        ......
    }

五、处理异常

在valid校验中,如果校验不通过,会产生BindException异常,捕捉到异常后可以获取到defaultMessage也就是自定义注解中定义的内容。在上面的例子中,我们是自己手动传递了message参数。

这一步我们需要定义一个全局异常处理器,当产生BindException异常


@RestControllerAdvice
public class GlobalExceptionHandler
{
    /**
     * 自定义验证异常
     */
    @ExceptionHandler(BindException.class)
    public AjaxResult handleBindException(BindException e)
    {
        log.error(e.getMessage(), e);
        String message = e.getAllErrors().get(0).getDefaultMessage();
        return AjaxResult.error(message);
    }

	......
}

@RestControllerAdvice相当于@ControllerAdvice@ResponseBody

@ControllerAdvice,是Spring3.2提供的新注解,它是一个Controller增强器,可对controller中被@RequestMapping注解的方法加一些逻辑处理。最常用的就是异常处理。

然后配合@ExceptionHandler指定处理方法,当将异常抛到controller时,可以对异常进行统一处理,规定返回的json格式。

上面代码中AjaxResult是封装的返回给前端json数据的类,包括了状态码code、返回内容msg、数据对象data,这个在前后端分离的项目中很常见。


有参考以下资料:

若依框架
通过实现ConstraintValidator完成自定义校验注解_hhsway的博客-CSDN博客_constraintvalidator
@ControllerAdvice实现优雅地处理异常_KEN DO EVERTHING-CSDN博客_controlleradvice
springboot-No7 加入异常拦截机制ExceptionHandler_lambda-fk 的专栏-CSDN博客
springboot-No6 : 校验的引入 @Constraint和自定义注解进行校验策略的设计模式浅谈_lambda-fk 的专栏-CSDN博客

标签:Xss,java,自定义,Constraint,校验,class,注解,public
来源: https://blog.csdn.net/qq_34626094/article/details/122290561