标签:Xss java 自定义 Constraint 校验 class 注解 public
目的
依赖 @Constraint 来自定义注解以便进行对象属性的校验。
比如说当前创建新用户的时候,需要验证前台传过来的用户名是不是包含了script脚本,通过使用自定义注解,我们可以很方便地进行属性校验。
方法
一、自定义Xss校验注解
我们需要校验Xss,所以我们自定义一个Xss校验注解,并且使用@Constraint修饰它。
@Retention(RetentionPolicy.RUNTIME)
@Target(value = { ElementType.METHOD, ElementType.FIELD, ElementType.CONSTRUCTOR, ElementType.PARAMETER })
@Constraint(validatedBy = { XssValidator.class })
public @interface Xss
{
String message()
default "不允许任何脚本运行";
Class<?>[] groups() default {};
Class<? extends Payload>[] payload() default {};
}
@Constraint(validatedBy = { XssValidator.class })其中的validatedBy属性指定了需要进行校验的策略类集合,这是一个数组。
XssValidator.class是我们接下来要定义的校验器,由它来完成校验的具体逻辑。
二、校验器
public class XssValidator implements ConstraintValidator<Xss, String>
{
private final String HTML_PATTERN = "<(\\S*?)[^>]*>.*?|<.*? />";
@Override
public boolean isValid(String value, ConstraintValidatorContext constraintValidatorContext)
{
return !containsHtml(value);
}
public boolean containsHtml(String value)
{
Pattern pattern = Pattern.compile(HTML_PATTERN);
Matcher matcher = pattern.matcher(value);
return matcher.matches();
}
}
校验类需要实现ConstraintValidator接口。
public interface ConstraintValidator<A extends Annotation, T> {
void initialize(A constraintAnnotation);
boolean isValid(T value, ConstraintValidatorContext context);
}
接口使用了泛型,需要指定两个参数,第一个是自定义注解类,第二个是需要校验的数据的类型。
实现接口后可以override两个方法,分别为initialize方法和isValid方法。其中initialize为初始化方法,可以在里面做一些初始化操作,isValid方法就是我们最终需要的校验方法了。可以在该方法中实现具体的校验步骤。
三、使用自定义Xss注解
接下来需要将我们第一步定义的Xss注解放在字段或get方法的上方,就可以使用该注解来校验属性了。
public class SysUser extends BaseEntity
{
......
@Xss(message = "登录账号不能包含脚本字符")
public String getLoginName()
{
return loginName;
}
......
}
四、controller调用点
接着我们需要去controller的方法上,给参数SysUser类加上@Validated来修饰,这样校验就可以生效了。
@PostMapping("/add")
@ResponseBody
public AjaxResult addSave(@Validated SysUser user)
{
......
}
五、处理异常
在valid校验中,如果校验不通过,会产生BindException异常,捕捉到异常后可以获取到defaultMessage也就是自定义注解中定义的内容。在上面的例子中,我们是自己手动传递了message参数。
这一步我们需要定义一个全局异常处理器,当产生BindException异常
@RestControllerAdvice
public class GlobalExceptionHandler
{
/**
* 自定义验证异常
*/
@ExceptionHandler(BindException.class)
public AjaxResult handleBindException(BindException e)
{
log.error(e.getMessage(), e);
String message = e.getAllErrors().get(0).getDefaultMessage();
return AjaxResult.error(message);
}
......
}
@RestControllerAdvice相当于@ControllerAdvice和@ResponseBody。
@ControllerAdvice,是Spring3.2提供的新注解,它是一个Controller增强器,可对controller中被@RequestMapping注解的方法加一些逻辑处理。最常用的就是异常处理。
然后配合@ExceptionHandler指定处理方法,当将异常抛到controller时,可以对异常进行统一处理,规定返回的json格式。
上面代码中AjaxResult是封装的返回给前端json数据的类,包括了状态码code、返回内容msg、数据对象data,这个在前后端分离的项目中很常见。
有参考以下资料:
若依框架
通过实现ConstraintValidator完成自定义校验注解_hhsway的博客-CSDN博客_constraintvalidator
@ControllerAdvice实现优雅地处理异常_KEN DO EVERTHING-CSDN博客_controlleradvice
springboot-No7 加入异常拦截机制ExceptionHandler_lambda-fk 的专栏-CSDN博客
springboot-No6 : 校验的引入 @Constraint和自定义注解进行校验策略的设计模式浅谈_lambda-fk 的专栏-CSDN博客
标签:Xss,java,自定义,Constraint,校验,class,注解,public 来源: https://blog.csdn.net/qq_34626094/article/details/122290561
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。