java使用@Constraint注解来做Xss校验
目的
依赖 @Constraint 来自定义注解以便进行对象属性的校验。
比如说当前创建新用户的时候,需要验证前台传过来的用户名是不是包含了script脚本,通过使用自定义注解,我们可以很方便地进行属性校验。
方法
一、自定义Xss校验注解
我们需要校验Xss,所以我们自定义一个Xss校验注解,并且使用@Constraint修饰它。
@Retention(RetentionPolicy.RUNTIME)
@Target(value = { ElementType.METHOD, ElementType.FIELD, ElementType.CONSTRUCTOR, ElementType.PARAMETER })
@Constraint(validatedBy = { XssValidator.class })
public @interface Xss
{
String message()
default "不允许任何脚本运行";
Class<?>[] groups() default {};
Class<? extends Payload>[] payload() default {};
}
@Constraint(validatedBy = { XssValidator.class })其中的validatedBy属性指定了需要进行校验的策略类集合,这是一个数组。
XssValidator.class是我们接下来要定义的校验器,由它来完成校验的具体逻辑。
二、校验器
public class XssValidator implements ConstraintValidator<Xss, String>
{
private final String HTML_PATTERN = "<(\\S*?)[^>]*>.*?|<.*? />";
@Override
public boolean isValid(String value, ConstraintValidatorContext constraintValidatorContext)
{
return !containsHtml(value);
}
public boolean containsHtml(String value)
{
Pattern pattern = Pattern.compile(HTML_PATTERN);
Matcher matcher = pattern.matcher(value);
return matcher.matches();
}
}
校验类需要实现ConstraintValidator接口。
public interface ConstraintValidator<A extends Annotation, T> {
void initialize(A constraintAnnotation);
boolean isValid(T value, ConstraintValidatorContext context);
}
接口使用了泛型,需要指定两个参数,第一个是自定义注解类,第二个是需要校验的数据的类型。
实现接口后可以override两个方法,分别为initialize方法和isValid方法。其中initialize为初始化方法,可以在里面做一些初始化操作,isValid方法就是我们最终需要的校验方法了。可以在该方法中实现具体的校验步骤。
三、使用自定义Xss注解
接下来需要将我们第一步定义的Xss注解放在字段或get方法的上方,就可以使用该注解来校验属性了。
public class SysUser extends BaseEntity
{
......
@Xss(message = "登录账号不能包含脚本字符")
public String getLoginName()
{
return loginName;
}
......
}
四、controller调用点
接着我们需要去controller的方法上,给参数SysUser类加上@Validated来修饰,这样校验就可以生效了。
@PostMapping("/add")
@ResponseBody
public AjaxResult addSave(@Validated SysUser user)
{
......
}
五、处理异常
在valid校验中,如果校验不通过,会产生BindException异常,捕捉到异常后可以获取到defaultMessage也就是自定义注解中定义的内容。在上面的例子中,我们是自己手动传递了message参数。
这一步我们需要定义一个全局异常处理器,当产生BindException异常
@RestControllerAdvice
public class GlobalExceptionHandler
{
/**
* 自定义验证异常
*/
@ExceptionHandler(BindException.class)
public AjaxResult handleBindException(BindException e)
{
log.error(e.getMessage(), e);
String message = e.getAllErrors().get(0).getDefaultMessage();
return AjaxResult.error(message);
}
......
}
@RestControllerAdvice相当于@ControllerAdvice和@ResponseBody。
@ControllerAdvice,是Spring3.2提供的新注解,它是一个Controller增强器,可对controller中被@RequestMapping注解的方法加一些逻辑处理。最常用的就是异常处理。
然后配合@ExceptionHandler指定处理方法,当将异常抛到controller时,可以对异常进行统一处理,规定返回的json格式。
上面代码中AjaxResult是封装的返回给前端json数据的类,包括了状态码code、返回内容msg、数据对象data,这个在前后端分离的项目中很常见。
有参考以下资料:
若依框架
通过实现ConstraintValidator完成自定义校验注解_hhsway的博客-CSDN博客_constraintvalidator
@ControllerAdvice实现优雅地处理异常_KEN DO EVERTHING-CSDN博客_controlleradvice
springboot-No7 加入异常拦截机制ExceptionHandler_lambda-fk 的专栏-CSDN博客
springboot-No6 : 校验的引入 @Constraint和自定义注解进行校验策略的设计模式浅谈_lambda-fk 的专栏-CSDN博客