java使用@Constraint注解来做Xss校验

目的

依赖 @Constraint 来自定义注解以便进行对象属性的校验。

比如说当前创建新用户的时候，需要验证前台传过来的用户名是不是包含了script脚本，通过使用自定义注解，我们可以很方便地进行属性校验。

方法一、自定义Xss校验注解

我们需要校验Xss，所以我们自定义一个Xss校验注解，并且使用@Constraint修饰它。

@Retention(RetentionPolicy.RUNTIME)
@Target(value = { ElementType.METHOD, ElementType.FIELD, ElementType.CONSTRUCTOR, ElementType.PARAMETER })
@Constraint(validatedBy = { XssValidator.class })
public @interface Xss
{
    String message()

    default "不允许任何脚本运行";

    Class[] groups() default {};

    Class[] payload() default {};
}

@Constraint(validatedBy = { XssValidator.class })其中的validatedBy属性指定了需要进行校验的策略类集合，这是一个数组。

XssValidator.class是我们接下来要定义的校验器，由它来完成校验的具体逻辑。

二、校验器

public class XssValidator implements ConstraintValidator
{
    private final String HTML_PATTERN = "<(\S*?)[^>]*>.*?|<.*? />";

    @Override
    public boolean isValid(String value, ConstraintValidatorContext constraintValidatorContext)
    {
        return !containsHtml(value);
    }

    public boolean containsHtml(String value)
    {
        Pattern pattern = Pattern.compile(HTML_PATTERN);
        Matcher matcher = pattern.matcher(value);
        return matcher.matches();
    }
}

校验类需要实现ConstraintValidator接口。

public interface ConstraintValidator {
    void initialize(A constraintAnnotation);
    boolean isValid(T value, ConstraintValidatorContext context);
}

接口使用了泛型，需要指定两个参数，第一个是自定义注解类，第二个是需要校验的数据的类型。

实现接口后可以override两个方法，分别为initialize方法和isValid方法。其中initialize为初始化方法，可以在里面做一些初始化操作，isValid方法就是我们最终需要的校验方法了。可以在该方法中实现具体的校验步骤。

三、使用自定义Xss注解

接下来需要将我们第一步定义的Xss注解放在字段或get方法的上方，就可以使用该注解来校验属性了。

public class SysUser extends baseEntity
{
	......
    @Xss(message = "登录账号不能包含脚本字符")
    public String getLoginName()
    {
        return loginName;
    }
    ......
}

四、controller调用点

接着我们需要去controller的方法上，给参数SysUser类加上@Validated来修饰，这样校验就可以生效了。

    @PostMapping("/add")
    @ResponseBody
    public AjaxResult addSave(@Validated SysUser user)
    {
        ......
    }

五、处理异常

在valid校验中，如果校验不通过，会产生BindException异常，捕捉到异常后可以获取到defaultMessage也就是自定义注解中定义的内容。在上面的例子中，我们是自己手动传递了message参数。

这一步我们需要定义一个全局异常处理器，当产生BindException异常

@RestControllerAdvice
public class GlobalExceptionHandler
{
    
    @ExceptionHandler(BindException.class)
    public AjaxResult handleBindException(BindException e)
    {
        log.error(e.getMessage(), e);
        String message = e.getAllErrors().get(0).getDefaultMessage();
        return AjaxResult.error(message);
    }

	......
}

@RestControllerAdvice相当于@ControllerAdvice和@ResponseBody。

@ControllerAdvice，是Spring3.2提供的新注解，它是一个Controller增强器，可对controller中被@RequestMapping注解的方法加一些逻辑处理。最常用的就是异常处理。

然后配合@ExceptionHandler指定处理方法，当将异常抛到controller时，可以对异常进行统一处理，规定返回的json格式。

上面代码中AjaxResult是封装的返回给前端json数据的类，包括了状态码code、返回内容msg、数据对象data，这个在前后端分离的项目中很常见。

有参考以下资料：

若依框架
通过实现ConstraintValidator完成自定义校验注解_hhsway的博客-CSDN博客_constraintvalidator
@ControllerAdvice实现优雅地处理异常_KEN DO EVERTHING-CSDN博客_controlleradvice
springboot-No7 加入异常拦截机制ExceptionHandler_lambda-fk 的专栏-CSDN博客
springboot-No6 : 校验的引入 @Constraint和自定义注解进行校验策略的设计模式浅谈_lambda-fk 的专栏-CSDN博客

java使用@Constraint注解来做Xss校验

Java相关栏目本月热门文章