Spring Boot 实现敏感词及特殊字符过滤处理
背景:
技术采用的是 Spring Boot ,请求方法主要为 POST, 请求使用较多的注解为 @RequestBody
交付测试人员进行测试,测试人员在对模糊搜索模块进行了各种特殊字符的搜索,以至于敏感词和特殊字符均会入库。
对于我这样有情怀的开发者而言,是不能容忍的。
上来就是干!主要采用
@ControllerAdvice(basePackages = "com.my")
的方式,对用户提交的数据做处理。
以下是示例代码,不影响笔者要言表的功能实现:
/**
* @author Ryan
* @date 2019/4/25 18:41
*/
@ControllerAdvice(basePackages = "com.ytkj")
public class EscapeSensitiveWordFilter implements RequestBodyAdvice {
@Override
public boolean supports(MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {
return true;
}
@Override
public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) throws IOException {
return inputMessage;
}
@Override
public Object afterBodyRead(Object o, HttpInputMessage httpInputMessage, MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {
if(o != null){
SensitiveWordUtils.apply(o);
}
return o;
}
@Override
public Object handleEmptyBody(Object o, HttpInputMessage httpInputMessage, MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {
return o;
}
}
由于我们主要针对提交的数据做处理,主要入口在 SensitiveWordUtils.apply(o); 这里的 “Object ” 参数,其实也就是我们 Controller 方法参数中,打了 @RequestBody 的实体。我们可以直接在这里,使用一些手段做处理即可。
这里的手段,也只能使用反射了(如果读者有什么好的方案可以告诉我)。
1. 字符串替换;
2. 自定义抛出运行时异常;
这样做的另外一个好处就是,可以在这里统一管理敏感词。
如果你使用 replaceAll 的话,统一管理上就比较费劲了。
最后,笔者把自己写的反射放在下面,仅供参考,敏感词替换部分写了一个“测试“ 作为要替换入口的标记。
欢迎各界大佬来扶正!
import java.lang.reflect.Field;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;
import java.util.Map;
/**
* @author Ryan
* @date 2019/4/26 12:40
*/
public class SensitiveWordUtils {
/**
* @param result
* @return
*/
public static Object apply(Object result) {
if (result == null) {
return null;
}
objectParse(result);
return result;
}
/**
* @param obj
*/
public static void objectParse(Object obj) {
List<Field> allField = findAllField(obj);
for (Field field : allField) {
field.setAccessible(true);
Class<?> typeClazz = field.getType();
matchFieldType(obj, field, typeClazz);
}
}
public static List<Field> findAllField(Object object){
List<Field> result = new ArrayList<>();
Class<?> clazz = object.getClass();
while (true) {
clazz = clazz.getSuperclass();
if (clazz == Object.class) {
break;
}
Field[] declaredFields = clazz.getDeclaredFields();
result.addAll(Arrays.asList(declaredFields));
}
return result;
}
/**
* @param obj
* @param field
* @param clazz
*/
public static <T> void matchFieldType(Object obj, Field field, T clazz) {
try {
T param = (T) field.get(obj);
if(param == null){
return;
}
if (clazz == List.class) {
List p = (List)param;
for (Object o : p) {
objectParse(o);
}
} else if (clazz == String.class) {
setValue(obj, field, "测试");
} else if (clazz == Map.class) {
Map map = (Map)param;
for (Object o : map.keySet()) {
objectParse(o);
}
}
} catch (IllegalAccessException e) {
e.printStackTrace();
}
}
/**
*
* @param object
* @param field
* @param param
* @throws IllegalAccessException
*/
public static void setValue(Object object, Field field, Object param) throws IllegalAccessException {
if(!field.isAccessible()){
throw new IllegalAccessException("modify the field fail.");
}
field.set(object, param);
}
}
这里的 SensitiveWordUtils 还有很大的优化点,我在这里没有目前只是看看效果,写的很粗糙,望大神不要喷。
读者自行实现一下,我说一下优化点:
1. 缓存 object 的 String.class 类型的 Field 或者 methodName; 在第一次加载的时候,缓存进去;放到 ConcurrentHashMap<ObjectType, List<StringField>> , 是不是感觉清爽了好多;
2. 过滤出来 String 类型的 Field ,其他的类型酌情考虑;
3. 等臣妾的再想想;
Spring Boot 统一敏感词过滤 demo
对象序列化前的处理
例如springframework框架(responseBody)json 格式:
org.springframework.web.servlet.mvc.method.annotation.RequestResponseBodyAdviceChain#beforeBodyWrite
中进行对象数据的转换。
@ControllerAdvice
@Slf4j
public class ShanDongShengYuHandler implements ResponseBodyAdvice {
@Autowired
private ObjectMapper objectMapper;
@Override
public boolean supports(MethodParameter returnType, Class converterType) {
return true;
}
@Override
public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType, Class selectedConverterType, ServerHttpRequest request, ServerHttpResponse response) {
ResponseData d = new ResponseData();
sensitiveHidden(body);
d.setData(body);
return d;
}
/**
* 只支持自定义类型数据的敏感词过滤,考虑递归性能
*/
private void sensitiveHidden(Object body) {
if(body==null || StringUtils.isBlank(body.getClass().getName()) || !body.getClass().getName().contains("山东")){
return;
}
Field[] declaredFields = body.getClass().getDeclaredFields();
for (Field declaredField : declaredFields) {
SensitiveWorldHidden annotation = declaredField.getAnnotation(SensitiveWorldHidden.class);
log.warn("【注解类型】{}",annotation);
try {
declaredField.setAccessible(true);
Object o = declaredField.get(body);
if(annotation != null) {
String content = objectMapper.writeValueAsString(o);
content = content.replace("垃圾", "**");
Object replaced = objectMapper.readValue(content, o.getClass());
declaredField.set(body, replaced);
}else {
sensitiveHidden(o);
}
} catch (IllegalAccessException e) {
e.printStackTrace();
} catch (JsonProcessingException e) {
e.printStackTrace();
} catch (IOException e) {
e.printStackTrace();
}
}
}
}
以上为个人经验,希望能给大家一个参考,也希望大家多多支持我们。
相关推荐
-
Spring boot项目中异常拦截设计和处理详解
背景: 项目运行过程中会出现各种各样的问题,常见的有以下几种情况: 业务流程分析疏漏,对业务流程的反向操作.边界分析设计不充分 调用外部服务.调用外部系统出现的超时.错误.返回值与预期不符 外部资源连通性问题,db等服务器出现的网络抖动或宕机 无论是分析设计.开发.测试.线上都需要能够准确定位问题并制定解决方案. 目的: 规范化异常的处理过程,避免异常被吞和到处都在捕获异常的情况 准确的反馈异常信息,为定位问题提供依据 通用性异常全局处理,降低业务开发关注度 对异常情况进行预警,以便能够及时响应
-
Spring Boot XSS 攻击过滤插件使用
XSS 是什么 XSS(Cross Site Scripting)攻击全称跨站脚本攻击,为了不与 CSS(Cascading Style Sheets)名词混淆,故将跨站脚本攻击简称为 XSS,XSS 是一种常见 web 安全漏洞,它允许恶意代码植入到提供给其它用户使用的页面中. xss 攻击流程 简单 xss 攻击示例若网站某个表单没做相关的处理,用户提交相关恶意代码,浏览器会执行相关的代码. 解决方案 XSS 过滤说明 对表单绑定的字符串类型进行 xss 处理. 对 json 字符串数据进行
-
Spring Boot配置过滤器的2种方式示例
前言 过滤器(Filter)是Servlet中常用的技术,可以实现用户在访问某个目标资源之前,对访问的请求和响应进行拦截,常用的场景有登录校验.权限控制.敏感词过滤等,下面介绍下Spring Boot配置过滤器的两种方式. 一.@WebFilter注解方式 使用@WebFilter注解为声明当前类为filter,第一个参数为该filter起一个名字,第二个参数为说明要拦截的请求地址,当前类需要实现Filter接口,里面有三个方法,分别为过滤器初始化.过滤方法和过滤器销毁. @Slf4j @Web
-
spring boot实现过滤器和拦截器demo
整理文档,搜刮出一个spring boot实现过滤器和拦截器demo ,稍微整理精简一下做下分享. 拦截器定义: @WebServlet public class ActionInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Ex
-
spring boot 配置Filter过滤器的方法
Filter 过滤器是web开发中很重要的一个组件,下面以一个session登陆的例子介绍下spring boot中如何使用Filter 首先要准备一个实现了Filter的接口的类 SessionFilter: import org.slf4j.LoggerFactory; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRespo
-
Springboot实现XSS漏洞过滤的示例代码
背景 前阵子做了几个项目,终于开发完毕,进入了测试阶段,信心满满将项目部署到测试环境,然后做了安全测评之后..... (什么!你竟然说我代码不安全???) 然后测出了 Xss漏洞 安全的问题 解决方案 场景:可以在页面输入框输入JS脚本, 攻击者可以利用此漏洞执行恶意的代码 ! 问题演示 所以我们要对于前端传输的参数做处理,做统一全局过滤处理 既然要过滤处理,我们首先需要实现一个自定义过滤器 总共包含以下四部分 XssUtil XssFilterAutoConfig XssHttpSe
-
Spring Boot 实现敏感词及特殊字符过滤处理
背景: 技术采用的是 Spring Boot ,请求方法主要为 POST, 请求使用较多的注解为 @RequestBody 交付测试人员进行测试,测试人员在对模糊搜索模块进行了各种特殊字符的搜索,以至于敏感词和特殊字符均会入库. 对于我这样有情怀的开发者而言,是不能容忍的. 上来就是干!主要采用 @ControllerAdvice(basePackages = "com.my") 的方式,对用户提交的数据做处理. 以下是示例代码,不影响笔者要言表的功能实现: /** * @author
-
Java实现DFA算法对敏感词、广告词过滤功能示例
一.前言 开发中经常要处理用户一些文字的提交,所以涉及到了敏感词过滤的功能,参考资料中DFA有穷状态机算法的实现,创建有向图.完成了对敏感词.广告词的过滤,而且效率较好,所以分享一下. 具体实现: 1.匹配大小写过滤 2.匹配全角半角过滤 3.匹配过滤停顿词过滤. 4.敏感词重复词过滤. 例如: 支持如下类型类型过滤检测: fuck 全小写 FuCk 大小写 fuck全角半角 f!!!u&c ###k 停顿词 fffuuuucccckkk 重复词 敏感词过滤的做法有很多,我简单描述我现在理
-
JavaEE Filter敏感词过滤的方法实例详解
我们在聊天的时候的或者留言的时候,有部分词是不允许发表出来.我们可以采用过滤器实现这个功能. 我们只是简单利用过滤器实现这个过滤的功能,有些地方没写的很全 前台代码: <body> <form action="<c:url value='/WordServlet'/>" method="post"> 姓名:<input type="text" name="name"/><b
-
Java实现敏感词过滤实例
敏感词.文字过滤是一个网站必不可少的功能,如何设计一个好的.高效的过滤算法是非常有必要的.前段时间我一个朋友(马上毕业,接触编程不久)要我帮他看一个文字过滤的东西,它说检索效率非常慢.我把它程序拿过来一看,整个过程如下:读取敏感词库.如果HashSet集合中,获取页面上传文字,然后进行匹配.我就想这个过程肯定是非常慢的.对于他这个没有接触的人来说我想也只能想到这个,更高级点就是正则表达式.但是非常遗憾,这两种方法都是不可行的.当然,在我意识里没有我也没有认知到那个算法可以解决问题,但是Googl
-
Spring Boot日志的打印与持久化详细解析
目录 1. 日志有什么用 2. 日志怎么用 3. Spring Boot 自定义日志的打印 3.1 先获取到打印日志对象 3.2 使用日志对象打印日志 3.3 日志格式说明 4. 日志级别 5. 日志持久化(将日志永久的保存到磁盘的某个位置) 设置日志的保存路径 6. 更简单的日志输出—lombok 6.1 添加 lombok 到当前项目 6.2 使用 @Slf4j 得到日志对象 log 总结 1. 日志有什么用 日志是程序的重要组成部分,想象一下,如果程序报错了,不让你打开控制台看日志,那么你
-
Python实现敏感词过滤的4种方法
在我们生活中的一些场合经常会有一些不该出现的敏感词,我们通常会使用*去屏蔽它,例如:尼玛 -> **,一些骂人的敏感词和一些政治敏感词都不应该出现在一些公共场合中,这个时候我们就需要一定的手段去屏蔽这些敏感词.下面我来介绍一些简单版本的敏感词屏蔽的方法. (我已经尽量把脏话做成图片的形式了,要不然文章发不出去) 方法一:replace过滤 replace就是最简单的字符串替换,当一串字符串中有可能会出现的敏感词时,我们直接使用相应的replace方法用*替换出敏感词即可. 缺点: 文本和敏感词少
-
SpringBoot实现过滤敏感词的示例代码
过滤敏感词 1. 创建一个储存要过滤的敏感词的文本文件 首先创建一个文本文件储存要过滤的敏感词 在下面的工具类中我们会读取这个文本文件,这里提前给出 @PostConstruct // 这个注解表示当容器实例化这个bean(服务启动的时候)之后在调用构造器之后这个方法会自动的调用 public void init(){ try( // 读取写有"敏感词"的文件,getClass表示从程序编译之后的target/classes读配置文件,读之后是字节流 // java7语法,在这里的句子
-
java利用DFA算法实现敏感词过滤功能
前言 敏感词过滤应该是不用给大家过多的解释吧?讲白了就是你在项目中输入某些字(比如输入xxoo相关的文字时)时要能检 测出来,很多项目中都会有一个敏感词管理模块,在敏感词管理模块中你可以加入敏感词,然后根据加入的敏感词去过滤输 入内容中的敏感词并进行相应的处理,要么提示,要么高亮显示,要么直接替换成其它的文字或者符号代替. 敏感词过滤的做法有很多,我简单描述我现在理解的几种: ①查询数据库当中的敏感词,循环每一个敏感词,然后去输入的文本中从头到尾搜索一遍,看是否存在此敏感词,有则做相 应的处理,
-
Jsp敏感词过滤的示例代码
大部分论坛.网站等,为了方便管理,都进行了关于敏感词的设定. 在多数网站,敏感词一般是指带有敏感政治倾向(或反执政党倾向).暴力倾向.不健康色彩的词或不文明语,也有一些网站根据自身实际情况,设定一些只适用于本网站的特殊敏感词. 比如,当你发贴的时候带有某些事先设定的词时,这个贴是不能发出的.或者这个词被自动替换为星号(*)或叉号(X)等,或者说是被和谐掉了. 在我看来敏感词过滤最重要的是在写过滤词汇的算法,如何过滤出大批量的敏感词,我感觉DFA的思想不错 DFA简介 在实现文字过滤的算法中,DF
-
C#敏感词过滤实现方法
本文实例讲述了C#敏感词过滤实现方法.分享给大家供大家参考.具体如下: 这两天突然想到了敏感词过滤 就结合网上找到的资料自己写了一个,脏字数量700+(效率不是很高 测试在110多KB的情况下比replace快 3-4倍) 测试结果图 单位:秒 代码如下: System.Text.StringBuilder sb = new System.Text.StringBuilder(text.Length); string filterText = "需要过滤的脏字 以|分开"; //脏字