1.1  过滤器简介

过滤器是向Web应用程序的请求和响应处理添加功能的Web服务组件。在Servlet处理用户输入的请求之前,过滤器可以访问该请求。在将Web响应发送给用户之前,过滤器还可以访问该响应。在用户和Servlet之间可以有多个过滤器,它们连接为过滤器链。过滤器用法灵活且功能强大,通常过滤器可以执行以下操作。

(1) 授权请求:根据用户ID和密码授权用户登录。

(2) 修改请求标题和数据:针对请求修改用户提供的标题和数据。

(3) 修改响应标题和数据:针对响应修改Web资源提供的标题和数据。

过滤器参与请求与响应的过程如图1.1所示:

Web资源

请求

响应

1.2          过滤器API

编写过滤器的应用程序接口由javax.servlet包中的Filter、FilterChain、FilterConfig接口定义。

1.2.1          Filter接口

Filter接口中的方法如图2.1所示:

Filter接口

init()

doFilter()

destroy()

图2.1 Filter接口中的方法

(1)    init():在使用过滤器之前由Web容器调用。init()方法的语法为:

public void init(FilterConfig filterConfig) throws ServletException {

this.config=config;//获取过滤器配置信息

}

init方法在整个过滤器的生命周期中仅执行一次,init()方法有一个FilterConfig参数,该参数用于保存与Filter配置相关的数据信息。

(2)    doFilter()方法:每当传递请求或响应时由Web容器调用。doFilter()方法的语法为:

public void doFilter(ServletRequest req, ServletResponse res,FilterChain     chain) throws IOException, ServletException     ServletException

其中:

ServletRequest定义一个对象,用于封装用户的请求。

ServletResponse定义一个对象,用于封装用户的响应。

FilterChain用于调用过滤器链中的下一个过滤器。

(3)    destroy()方法:在停止使用过滤之后,由容器调用。destroy()方法的语法为:

public void destroy() {}

该方法可释放被Filter对象打开的资源,例如,关闭数据库连接和IO流等

1.2.2          FilterChian接口

FilterChina接口的doFilter方法用于通知Web容器把请求交给Filter链中的下一个Filter处理,如果当前调用此方法的Filter对象是Filter链中的最后一个Filter,则会调用Web资源,例如,Servlet或JSP等。

1.2.3          FilterConfig接口

Filter程序需要在web.xml文件中进行注册,在注册Filter程序时还可设置其初始化参数。如下所示:

<!-- 配置过滤器 -->

<filter>

<filter-name>loginFilter</filter-name>    <filter-class>com.soft.javawebzx1.filter.LoginFilter</filter-class>

<!-- 配置初始化参数 -->

<init-param>

<param-name>encoding</param-name>

<param-value>gbk</param-value>

</init-param>

</filter>

其中的<init-param>用于配置Filter的初始化参数。<param-name>代表参数名称,<param-value>代表参数值。要访问这些参数必须借助于FilterConfig接口中的getInitParameter()方法。

1.3  过滤器定义和过滤器映射

使用过滤器之前,需要在web.xml文件中定义过滤器及其映射。过滤器定义用于将过滤器名称与特定的类关联起来。如下代码所示:

<filter>

<filter-name>filterName</filter-name>

<filter-class>className</filter-class>

</filter>

其中:

<filter-name>指定过滤器名称

<filter-class>指定类的名称

过滤器映射用于通过<filter-mapping>元素将过滤器映射到Web资源,如Servlet、JSP等。如下代码所示:

<filter-mapping>

<filter-name>filterName<filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

其中:

<filter-name>指定过滤器名称

<url-pattern>指定Filter所拦截的访问请求路径。

1.3          使用过滤器处理乱码

在JSP中,如果请求中出现中文,在接受时可能会出现乱码。如图3.1所示:

图3.1 根据商品名查询页面

提交之后,获取商品名称并显示,结果如图3.2所示:

图3.2  中文乱码

以前的做法是在负责接受中文请求数据的每个页面编写用于处理中文乱码的代码。这样不利于代码重用。由于过滤器可在请求执行之前进行预处理,所以可把处理中文乱码的代码置于过滤器中。该示例的编写步骤如下:

(1)       创建一个过滤器,命名为encodeFilter.java。代码如下:

public class CodeFilter implements Filter {

FilterConfig config;//定义FilterConfig对象,以读取初始化参数值

public void destroy()

{

}

public void doFilter(ServletRequest arg0, ServletResponse arg1,

FilterChain arg2) throws IOException, ServletException {

HttpServletRequest request=(HttpServletRequest)arg0;//转化request对象

HttpServletResponse response=(HttpServletResponse)arg1;//转化response对象

String encoding=this.config.getInitParameter("encoding");//从web.xml中获取配置参数

request.setCharacterEncoding(encoding);//处理请求乱码

response.setContentType("text/html;charset="+encoding);//处理响应乱码

arg2.doFilter(arg0, arg1);//执行滤器链继续给请求的目标资源

}

public void init(FilterConfig config) throws ServletException {

this.config=config;//获取过滤器配置信息

}

}

(2)       在web.xml文件中配置该Filter。代码如下:

<!-- 配置过滤器 -->

<filter>

<filter-name>encodingFilter</filter-name>

<filter-class>com.soft.javawebzx1.filter.CodeFilter</filter-class>

<!-- 配置encoding初始化参数 -->

<init-param>

<param-name>encoding</param-name>

<param-value>gbk</param-value>

</init-param>

</filter>

<!-- 配置过滤器映射 -->

<filter-mapping>

<filter-name>encodingFilter</filter-name>

<url-pattern>/*</url-pattern><!-- 对所有资源进行过滤 -->

</filter-mapping>

(3)       再次运行以上中文乱码示例,测试该Filter。运行结果如图3.3所示:

图3.3 使用过滤器后解决中文乱码

1.4          使用过滤器避免JavaScript注入攻击

在开发留言板,“添加留言“功能时,如果用户将”<script>alert(‘hahaha’);</script>”这样的内容做为留言插入到数据库,当用户查看留言时,浏览器就会执行对应的JavaScript,从而实现JavaScript注入攻击,利用过滤器,可以改变响应的信息,把其中的”<script>”与”</script>”屏蔽掉,即可。该示例的开发步骤如下:

(1)    创建一个用于获取响应内容的JavaBean,命名为CharacterResponse.java。代码如下:

public class CharacterResponse extends HttpServletResponseWrapper {

private CharArrayWriter output;//实例化CharArrayWriter对象

public String toString() {//重写父类的toString方法

return output.toString();

}

//构造函数,传入response

public CharacterResponse(HttpServletResponse response){

super(response);

this.output=new CharArrayWriter();

}

public PrintWriter getWriter(){ //得到输出PrintWriter对象

return new PrintWriter(output);

}

}

(2)    创建一个过滤器,命名为CharacterResponse.java。代码如下:

public class CharacterFilter extends HttpServlet implements Filter {

public void init(FilterConfig filterConfig) throws ServletException {

}

public void doFilter(ServletRequest request, ServletResponse response,

FilterChain filterChain) throws ServletException,

IOException {

response.setCharacterEncoding("gb2312");//设置编码

PrintWriter out = response.getWriter();//得到输出对象

//实例化CharacterResponse对象

CharacterResponse wrapper = new CharacterResponse((HttpServletResponse)response);

//执行doFilter方法,传递请求给目标对象

filterChain.doFilter(request, wrapper);

String resStr = wrapper.toString();//获取响应后的结果

//过滤掉响应之后的<script>与</script>。

String newStr =resStr.replace("<script>", "&lt;script&gt;").replace("</script>", "&lt;/script&gt;");

out.println(newStr);//输出结果

}

}

(3)    在web.xml中,配置该过滤器。代码如下:

<filter>

<filter-name>characterfilter</filter-name>  <filter-class>com.soft.javawebzx1.filter.CharacterFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>characterfilter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

(4)    创建一个JSP页面,命名为test.jsp。代码如下:

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>

<html>

<head>

<title></title>

</head>

<body>

过滤器应用<hr/>

<script>

alert("这是一段javaScript注入攻击代码");

</script>

</body>

</html>

没有使用过滤器,浏览器会直接执行该JavaScript脚本,如图4.1所示:

图4.1 没有使用过滤器的运行结果

使用过滤器后,浏览器不再执行JavaScript而是按原样显示,如图4.2所示:

图4.2 使用过滤器后运行结果

Servlet过滤器(详询请加qq:2085920154)的更多相关文章

  1. Oracle数据库导入导出命令总结 (详询请加qq:2085920154)

    分类: Linux Oracle数据导入导出imp/exp就相当于oracle数据还原与备份.exp命令可以把数据从远程数据库服务器导出到本地的dmp文件,imp命令可以把dmp文件从本地导入到远处的 ...

  2. SQL Server日期时间格式转换字符串详解 (详询请加qq:2085920154)

    在SQL Server数据库中,SQL Server日期时间格式转换字符串可以改变SQL Server日期和时间的格式,是每个SQL数据库用户都应该掌握的.本文我们主要就介绍一下SQL Server日 ...

  3. io流(详询请加qq:2085920154)

    import java.io.File; import java.io.FileInputStream; import java.io.IOException; public class ioTest ...

  4. oracle,sqlserver同一个表两个字段和成一个列查询 (详询请加qq:2085920154)

    sql 同一张表开两个字段合成一个字段 例如   SQL tab 字段1 字段2 字段3 3 4 莫 合成 tab 字段1 字段2 3-4 莫     SQL SERVER select 字段1 + ...

  5. SQL SERVER 将表中字符串转换为数字的函数 (详询请加qq:2085920154)

    在SQL SERVER 2005中,将表中字符串转换为数字的函数共2个:1. convert(int,字段名)   例如:select convert(int,'3')2. cast(字段名 as i ...

  6. SQL SERVER增加、删除、更改表中的字段名 (详询请加qq:2085920154)

    1. 向表中添加新的字段 alter  table  table_name  add  column_name  varchar2(20) not null 2. 删除表中的一个字段 delete t ...

  7. 把文件打成zip或然rar下载 (详询请加qq:2085920154)

    //文件打包下载 public static HttpServletResponse downLoadFiles(List<File> files, HttpServletRequest ...

  8. Servlet过滤器基础及使用场景

    Servlet过滤器详解 一.过滤器基础 1.Servlet过滤器是Servlet的一种特殊用法,主要用来完成一些通用的操作.比如编码的过滤,判断用户的登陆状态等等.Servlet过滤器的适用场合: ...

  9. Servlet过滤器——过滤器分析流量

    1.概述 Servlet过滤器可以对用户提交的数据或服务器返回的数据进行更改.任何到达服务器的请求都会首先经过过滤器的处理.本实例应用过滤器的这个特点,编写了一个在过滤器中统计网站流量的实例. 本实例 ...

随机推荐

  1. Gridview实现删除弹出提示信息

    实现方法: 双击GridView的OnRowDataBound事件: 在后台的GridView1_RowDataBound()方法添加代码,最后代码如下所示:       protected void ...

  2. Delphi JCL JEDI使用 jclDebug

    开源 https://github.com/project-jedi/jcl jclDebug 下载jcl,还要下载https://github.com/project-jedi/jedi里的2个in ...

  3. WPS for Linux,系统缺失字体

    启动WPS for Linux后,出现提示"系统缺失字体" . 出现提示的原因是因为WPS for Linux没有自带windows的字体,只要在Linux系统中加载字体即可. 具 ...

  4. MySQL追踪优化器小试

    首先看一下MySQL追踪优化器的典型用法: 打开:SET optimizer_trace="enabled=on"; 查询优化器的信息:SELECT * FROM INFORMAT ...

  5. Java Daemon 守护线程

    Java中可以通过Thread或ThreadGroup的setDaemon方法将线程设置为守护线程 当所有非守护线程退出后 守护线程将被杀死不在运行 .Net中可以通过设置IsBackground属性 ...

  6. CSS3常用选择器(三)

    在CSS3的选择器中,除了结构性伪类选择器外,还有一种UI元素状态伪类选择器.这些选择器的共同特征: 指定的样式只有当元素处于某种状态时才起作用,在默认状态下不起作用. 1.hover.focus.a ...

  7. LESS初探

    1. 安装less $ npm install -g less 2. less文件编译成css文件 $ lessc styles.less styles.css <!DOCTYPE html&g ...

  8. C++STL内存管理方法(g++版)

    STL作为C++的经典作品,一直备受人们关注.本文主要介绍STL的内存管理策略. 早期的STL内存管理 第一次接触STL源码是看侯捷先生的<STL源码剖析>,此书通俗易懂,剖析透彻,是极佳 ...

  9. 转:xampp-php5.6下安装memcached.exe

    1.下载PHP对应版本的php_memcache.dll,我的PHP 5.6.3 所以下载 ,根据phpinfo输出的信息来找出匹配的版本: (1)看 Compiler,的后缀,一般带有vc11的字样 ...

  10. note->notice

    登陆博客园,乍眼一看上一篇博客的日期还是2月底,如今已是5月份,期间好几次想要记录一些东西,总感觉现在一天二十四小时越来越短,有几次登陆博客园甚至连密码都要重置一下才能登陆...这两个月的时间里经理了 ...