1.1 过滤器简介
过滤器是向Web应用程序的请求和响应处理添加功能的Web服务组件。在Servlet处理用户输入的请求之前,过滤器可以访问该请求。在将Web响应发送给用户之前,过滤器还可以访问该响应。在用户和Servlet之间可以有多个过滤器,它们连接为过滤器链。过滤器用法灵活且功能强大,通常过滤器可以执行以下操作。
(1) 授权请求:根据用户ID和密码授权用户登录。
(2) 修改请求标题和数据:针对请求修改用户提供的标题和数据。
(3) 修改响应标题和数据:针对响应修改Web资源提供的标题和数据。
过滤器参与请求与响应的过程如图1.1所示:
|
用 户 |
|
过 滤 器 |
|
Web资源 |
|
请求 |
|
响应 |
1.2 过滤器API
编写过滤器的应用程序接口由javax.servlet包中的Filter、FilterChain、FilterConfig接口定义。
1.2.1 Filter接口
Filter接口中的方法如图2.1所示:
|
Filter接口 |
|
init() |
|
doFilter() |
|
destroy() |
图2.1 Filter接口中的方法
(1) init():在使用过滤器之前由Web容器调用。init()方法的语法为:
|
public void init(FilterConfig filterConfig) throws ServletException {
this.config=config;//获取过滤器配置信息 } |
init方法在整个过滤器的生命周期中仅执行一次,init()方法有一个FilterConfig参数,该参数用于保存与Filter配置相关的数据信息。
(2) doFilter()方法:每当传递请求或响应时由Web容器调用。doFilter()方法的语法为:
|
public void doFilter(ServletRequest req, ServletResponse res,FilterChain chain) throws IOException, ServletException ServletException |
其中:
ServletRequest定义一个对象,用于封装用户的请求。
ServletResponse定义一个对象,用于封装用户的响应。
FilterChain用于调用过滤器链中的下一个过滤器。
(3) destroy()方法:在停止使用过滤之后,由容器调用。destroy()方法的语法为:
|
public void destroy() {} |
该方法可释放被Filter对象打开的资源,例如,关闭数据库连接和IO流等
1.2.2 FilterChian接口
FilterChina接口的doFilter方法用于通知Web容器把请求交给Filter链中的下一个Filter处理,如果当前调用此方法的Filter对象是Filter链中的最后一个Filter,则会调用Web资源,例如,Servlet或JSP等。
1.2.3 FilterConfig接口
Filter程序需要在web.xml文件中进行注册,在注册Filter程序时还可设置其初始化参数。如下所示:
<!-- 配置过滤器 -->
<filter>
<filter-name>loginFilter</filter-name> <filter-class>com.soft.javawebzx1.filter.LoginFilter</filter-class>
<!-- 配置初始化参数 -->
<init-param>
<param-name>encoding</param-name>
<param-value>gbk</param-value>
</init-param>
</filter>
其中的<init-param>用于配置Filter的初始化参数。<param-name>代表参数名称,<param-value>代表参数值。要访问这些参数必须借助于FilterConfig接口中的getInitParameter()方法。
1.3 过滤器定义和过滤器映射
使用过滤器之前,需要在web.xml文件中定义过滤器及其映射。过滤器定义用于将过滤器名称与特定的类关联起来。如下代码所示:
<filter>
<filter-name>filterName</filter-name>
<filter-class>className</filter-class>
</filter>
其中:
<filter-name>指定过滤器名称
<filter-class>指定类的名称
过滤器映射用于通过<filter-mapping>元素将过滤器映射到Web资源,如Servlet、JSP等。如下代码所示:
<filter-mapping>
<filter-name>filterName<filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
其中:
<filter-name>指定过滤器名称
<url-pattern>指定Filter所拦截的访问请求路径。
1.3 使用过滤器处理乱码
在JSP中,如果请求中出现中文,在接受时可能会出现乱码。如图3.1所示:
图3.1 根据商品名查询页面
提交之后,获取商品名称并显示,结果如图3.2所示:
图3.2 中文乱码
以前的做法是在负责接受中文请求数据的每个页面编写用于处理中文乱码的代码。这样不利于代码重用。由于过滤器可在请求执行之前进行预处理,所以可把处理中文乱码的代码置于过滤器中。该示例的编写步骤如下:
(1) 创建一个过滤器,命名为encodeFilter.java。代码如下:
public class CodeFilter implements Filter {
FilterConfig config;//定义FilterConfig对象,以读取初始化参数值
public void destroy()
{
}
public void doFilter(ServletRequest arg0, ServletResponse arg1,
FilterChain arg2) throws IOException, ServletException {
HttpServletRequest request=(HttpServletRequest)arg0;//转化request对象
HttpServletResponse response=(HttpServletResponse)arg1;//转化response对象
String encoding=this.config.getInitParameter("encoding");//从web.xml中获取配置参数
request.setCharacterEncoding(encoding);//处理请求乱码
response.setContentType("text/html;charset="+encoding);//处理响应乱码
arg2.doFilter(arg0, arg1);//执行滤器链继续给请求的目标资源
}
public void init(FilterConfig config) throws ServletException {
this.config=config;//获取过滤器配置信息
}
}
(2) 在web.xml文件中配置该Filter。代码如下:
<!-- 配置过滤器 -->
<filter>
<filter-name>encodingFilter</filter-name>
<filter-class>com.soft.javawebzx1.filter.CodeFilter</filter-class>
<!-- 配置encoding初始化参数 -->
<init-param>
<param-name>encoding</param-name>
<param-value>gbk</param-value>
</init-param>
</filter>
<!-- 配置过滤器映射 -->
<filter-mapping>
<filter-name>encodingFilter</filter-name>
<url-pattern>/*</url-pattern><!-- 对所有资源进行过滤 -->
</filter-mapping>
(3) 再次运行以上中文乱码示例,测试该Filter。运行结果如图3.3所示:
图3.3 使用过滤器后解决中文乱码
1.4 使用过滤器避免JavaScript注入攻击
在开发留言板,“添加留言“功能时,如果用户将”<script>alert(‘hahaha’);</script>”这样的内容做为留言插入到数据库,当用户查看留言时,浏览器就会执行对应的JavaScript,从而实现JavaScript注入攻击,利用过滤器,可以改变响应的信息,把其中的”<script>”与”</script>”屏蔽掉,即可。该示例的开发步骤如下:
(1) 创建一个用于获取响应内容的JavaBean,命名为CharacterResponse.java。代码如下:
public class CharacterResponse extends HttpServletResponseWrapper {
private CharArrayWriter output;//实例化CharArrayWriter对象
public String toString() {//重写父类的toString方法
return output.toString();
}
//构造函数,传入response
public CharacterResponse(HttpServletResponse response){
super(response);
this.output=new CharArrayWriter();
}
public PrintWriter getWriter(){ //得到输出PrintWriter对象
return new PrintWriter(output);
}
}
(2) 创建一个过滤器,命名为CharacterResponse.java。代码如下:
public class CharacterFilter extends HttpServlet implements Filter {
public void init(FilterConfig filterConfig) throws ServletException {
}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain filterChain) throws ServletException,
IOException {
response.setCharacterEncoding("gb2312");//设置编码
PrintWriter out = response.getWriter();//得到输出对象
//实例化CharacterResponse对象
CharacterResponse wrapper = new CharacterResponse((HttpServletResponse)response);
//执行doFilter方法,传递请求给目标对象
filterChain.doFilter(request, wrapper);
String resStr = wrapper.toString();//获取响应后的结果
//过滤掉响应之后的<script>与</script>。
String newStr =resStr.replace("<script>", "<script>").replace("</script>", "</script>");
out.println(newStr);//输出结果
}
}
(3) 在web.xml中,配置该过滤器。代码如下:
<filter>
<filter-name>characterfilter</filter-name> <filter-class>com.soft.javawebzx1.filter.CharacterFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>characterfilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
(4) 创建一个JSP页面,命名为test.jsp。代码如下:
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<html>
<head>
<title></title>
</head>
<body>
过滤器应用<hr/>
<script>
alert("这是一段javaScript注入攻击代码");
</script>
</body>
</html>
没有使用过滤器,浏览器会直接执行该JavaScript脚本,如图4.1所示:
图4.1 没有使用过滤器的运行结果
使用过滤器后,浏览器不再执行JavaScript而是按原样显示,如图4.2所示:
图4.2 使用过滤器后运行结果