【发布时间】:2016-01-29 11:46:14
【问题描述】:
我最近通过添加 csrf 支持对我的 spring 应用程序进行了一些更改。为此,我还必须更改以前处理多部分请求的方式。
为了确保多部分请求正确通过,我将org.springframework.web.multipart.support.MultipartFilter 放在org.springframework.web.filter.DelegatingFilterProxy 之前的web.xml 中
虽然它对于大多数请求都可以正常工作,但有些请求在控制器级别没有收到任何请求参数。我调试了一下,发现在这段代码中
HttpServletRequest processedRequest = request;
if (multipartResolver.isMultipart(processedRequest)) {
if (logger.isDebugEnabled()) {
logger.debug("Resolving multipart request [" + processedRequest.getRequestURI() +
"] with MultipartFilter");
}
processedRequest = multipartResolver.resolveMultipart(processedRequest);
}
else {
// A regular request...
if (logger.isDebugEnabled()) {
logger.debug("Request [" + processedRequest.getRequestURI() + "] is not a multipart request");
}
}
MultipartFilter 内部没有将我的请求作为多部分处理。当进行multipartResolver.isMultipart(processedRequest) 检查时,请求转到else 部分。
JSP 中的表单具有enctype="multipart/form-data" 参数。
<form:form modelAttribute="configVO" name="ConfigForm" method="post" enctype="multipart/form-data" action="${contextPath}/project/urlConfig">
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
<div class="urldivSales">
<div class="main-subdiv-urls-msa">
<div class="leftlable">
<span>Website Name</span>
</div>
</div>
<div class="main-subdiv-urls-msa">
<div class="leftlable">
<span>Request URL</span>
</div>
</div>
<div class="main-subdiv-urls-msa">
<div class="leftlable">
<span>Response URL</span>
</div>
</div>
<div class="main-subdiv-urls-msa">
<div class="leftlable">
<span>Image Name</span>
</div>
</div>
<div class="main-subdiv-urls-msa">
<div class="leftlable">
<span>Image File</span>
</div>
</div>
<div class="main-subdiv-urls-msa">
<div class="rightbox">
<div id='url'></div>
</div>
</div>
<div class="main-subdiv-urls-msa">
<div class="rightbox">
<div id='req'></div>
</div>
</div>
<div class="main-subdiv-urls-msa">
<div class="rightbox">
<div id='res'></div>
</div>
</div>
<div class="main-subdiv-urls-msa">
<div class="rightbox">
<div id='image'></div>
</div>
</div>
<div class="main-subdiv-urls-msa">
<div class="rightbox">
<div id='imageFile'></div>
</div>
</div>
<div class="form3buttons">
<input type="button" name="button" id="save" value="Save" onclick="validateForm();" />
<input type="button" name="cancel" id="cancel" value="Cancel" />
</div>
</div>
</form:form>
javascript验证方法
function validateForm() {
$('#save').attr('disabled', 'disabled');
var isValid = false;
var noOfRows = '${num}';
var webSiteArray = new Array();
var imageNameArray = new Array();
for(var i=0; i<noOfRows; i++) {
var web = "web"+i;
var req = "req"+i;
var res = "res"+i;
var image = "image"+i;
var webSiteUrl = document.getElementById(web).value;
var imageNameValue = document.getElementById(image).value;
webSiteArray[i]= webSiteUrl;
imageNameArray[i]= imageNameValue;
var newReqUrl = document.getElementById(req).value;
var newResUrl = document.getElementById(res).value;
isValid = checkParm(webSiteUrl,newReqUrl,newResUrl);
if (!isValid) {
$('#save').removeAttr("disabled");
break;
}
}
if (isValid) {
if (checkValueisEqual(webSiteArray, imageNameArray)) {
var contextPath = '${contextPath}'+'/project/urlConfig';
document.forms[0].action= contextPath;
document.forms[0].submit();
}
}
}
过滤 web.xml 中的映射
<filter>
<filter-name>MultipartFilter</filter-name>
<filter-class>org.springframework.web.multipart.support.MultipartFilter</filter-class>
</filter>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>MultipartFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
这里唯一的特别之处是 <input type="file"> 元素是使用 javascript 动态添加的。
我在这里遗漏了什么...最后要注意的一件事 - 在添加 csrf 支持之前,代码运行良好,并且在控制器端收到了请求参数
【问题讨论】:
-
您实际上是在提交该表单,还是您也通过 javascript 提交它,而愉快地忽略了表单中的所有设置?同样将过滤器放在另一个之前并不能保证任何事情,导入部分是
filter-mapping元素而不是filter元素。filter-mapping的顺序很重要! -
@M.Deinum 表单正在通过 javascript 提交。我已经编辑了帖子并添加了正在使用的方法
-
也添加您的 web.xml,至少是过滤器部分。
-
添加了过滤器映射
-
我不明白的是,你为什么要再次设置操作 URL?它已经在表格上。你是如何添加输入元素的?
标签: java spring spring-mvc csrf multipartform-data