责任链设计模式的一次实践_民生

责任链设计模式的一次实践

创始人

2025-06-01 09:38:48

0次

业务需求

框架：SSH

需要对全部接口的响应体 ResponseBody 做 XSS 拦截

解决方案

在全局拦截器中检测 Response Body 是否有非法字符，如果有，就抛出异常。

实际上，在 struts2 的拦截器上，我发现

即使修改了 action 中的返回结果，即使直接使用 HttpServletResponse 的 write 打印错误信息。

这些修改都不会成功，因为请求早已提交，所以当发现 Response Body 出现非法字符时，因为无法修改响应内容，非法字符被直接返回给了用户。

此时，点进 struts2 源码中查看，发现可以抛出异常，这样也算一种解决方法：修改了响应体。

因为在这个拦截器中拿到了 action 对象，则需要判断其中的返回值字段是否合法，而这个项目中返回值字段存在以下这么多种。。。

也就是说，每个对象使用的返回值字段都不一样。

现在要判断的是一个对象中的这些字段中有没有非法字符。

以下是我第一版写的判断代码

当时我以为要判断的字段就 2-3 个，所以直接 if 嵌套了，可是当我重新梳理后，居然有 24 个字段。

重写刻不容缓。

使用责任链模式解决问题

责任节点定义

public interface XssHandler {/*** xss 拦截* @param action 要拦截的 action 对象*/boolean xss(Object action);/*** 责任链：设置下一个责任节点** @param fieldName 下一个责任节点要拦截的字段* @param xssHandlerType 下一个责任节点要拦截的字段类型*/XssHandler nextHandler(String fieldName, XssHandlerType xssHandlerType);/*** 为当前责任节点设置要拦截的字段名*/void setFieldName(String fieldName);}

具体实现一

public class StringXssHandler extends BaseXssHandlerTemplate {@Overridepublic boolean handlerXss(String checkObject) {boolean result = XssUtils.stripXSS(checkObject);if (result) {return false;}return true;}
}

具体实现二

public class ListXssHandler extends BaseXssHandlerTemplate {@Overridepublic boolean handlerXss(List checkObject) {for (Object re : checkObject) {Field[] declaredFields = re.getClass().getDeclaredFields();for (Field declaredField : declaredFields) {if (declaredField.getType() == String.class) {// 校验 StringdeclaredField.setAccessible(true);String value;try {value = (String) declaredField.get(re);} catch (IllegalAccessException e) {return true;}if (XssUtils.stripXSS(value)) {// xss 了，此次请求不合法return false;}}}}return true;}}

具体实现三

public class MapXssHandler extends BaseXssHandlerTemplate {@Overridepublic boolean handlerXss(Map checkObject) {// 遍历 mapSet keySet = checkObject.keySet();for (Object key : keySet) {Object value = checkObject.get(key);if (value instanceof String) {// 如果 map 里的值是 String，则进行 xss 校验String mapStringValue = (String) value;if (XssUtils.stripXSS(mapStringValue)) {// xss 了，此次请求不合法return false;}}}return true;}}

类图

其中混合了一个模板模式

BaseXssHandlerTemplate

这个类我是想把一切操作都准备好，最终留给子类做的就是单纯的针对一个对象进行检查。

/*** 模板模式，最基本的实现，实现基本操作，真实的 xss 校验留给子类实现*  要检查的字段类型** @author SUN* @date 2023/3/22*/
public abstract class BaseXssHandlerTemplate implements XssHandler {/*** 下一个责任节点*/private XssHandler nextHandler;/*** 当前责任节点要校验的字段名*/private String fieldName;/*** 直接获取到要处理的字段，字段有值就传给子类做真实的 xss 校验** @param action 要拦截的 action 对象*/@Overridepublic final boolean xss(Object action) {Class actionClass = action.getClass();Field field;try {field = actionClass.getDeclaredField(getFieldName());} catch (NoSuchFieldException e) {// 没有这个字段，传给后面执行return goon(action);}field.setAccessible(true);try {Object checkObject = field.get(action);if (checkObject == null) {// 没有这个字段，传给后面执行return goon(action);}// 让子类实现真实的 检查方法CheckObjectType checkObjectType = (CheckObjectType) checkObject;boolean result = handlerXss(checkObjectType);if (result) {return goon(action);} else {return false;}} catch (IllegalAccessException e) {e.printStackTrace();// 不会出现这个问题因为已经 field.setAccessible(true);}// 直接成功return true;}/*** 子类负责处理 xss 拦截*/public abstract boolean handlerXss(CheckObjectType checkObject);public boolean goon(Object action) {if (nextHandler == null) {return true;}return nextHandler.xss(action);}/// ==================================  setter / getter ===================================@Overridepublic final XssHandler nextHandler(String fieldName, XssHandlerType xssHandlerType) {XssHandler xssHandler = XssHandlerFactory.newHandler(fieldName, xssHandlerType);this.nextHandler = xssHandler;return xssHandler;}@Overridepublic final void setFieldName(String fieldName) {this.fieldName = fieldName;}public final String getFieldName() {return fieldName;}public final XssHandler getNextHandler() {return nextHandler;}}

子类实现

新建一个处理器责任节点只需要完成以下代码。

责任节点定义完了，看看代码如何组织

public class XssActionInterceptor {private final static XssHandler XSS_HANDLER;static {XSS_HANDLER =XssHandlerFactory.newHandler("result", STRING);XSS_HANDLER.nextHandler("map", MAP).nextHandler("errorCode", STRING).nextHandler("propertyVO", OBJECT).nextHandler("resContainer", RES_CONTAINER).nextHandler("payedDataList", STRING).nextHandler("ownerInformation", OBJECT).nextHandler("jsonData", LIST).nextHandler("feeDataList", STRING).nextHandler("collectInfo", STRING).nextHandler("payableDataList", STRING).nextHandler("roomInfo", STRING).nextHandler("dataList", LIST).nextHandler("propertys", STRING).nextHandler("results", STRING).nextHandler("logList", STRING).nextHandler("feeDetails", STRING).nextHandler("judgeNo", STRING).nextHandler("roomLogList", STRING).nextHandler("roomFees", STRING).nextHandler("payDetails", STRING).nextHandler("resultContainer", RESULT_CONTAINER).nextHandler("resultCode", STRING).nextHandler("exeResult", STRING);}}