(十三)struts2的输入校验
输入校验是web应用必须处理的问题,要防止用户的误输入和恶意非法输入。struts2给我们提供了非常强大的输入校验体系。 输入校验分为客户端校验和服务器端校验。一般开发中两者都用,但是服务端校验必须使用。 客户端校验是通过javascript在表单页面进行初步过滤。客户端校验并不安全,攻击者有很多方法可以绕过客户端校验,所以服务端校验是必不可少的。 但是客户端校验必不可少,因为大多数浏览者都是正常用户,可以阻止一些误操作,降低了服务器的负载。 服务端校验: 我们以前在servlet中增加校验。是通过获取参数,然后判断参数是否为空和长度等等来进行校验。 在servlet中使用硬编码进行输入校验乏味而又繁琐,struts2提供了基于校验框架的输入校验,只需要指定简单的配置文件即可。
一、声明式验证:通过xml配置文件进行验证
-校验规则文件与Action类放在同一目录下 -校验配置文件名称为 ActionClassName-validation.xml 例如 :UserAction-validation.xml 增加校验文件后,系统会自动加载该文件。当用户提交请求时,struts2会根据该文件对用户数据进行校验
二、基于表单字段的配置风格
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE validators PUBLIC "-//Apache Struts//XWork Validator 1.0.3//EN" "http://struts.apache.org/dtds/xwork-validator-1.0.3.dtd"> //校验文件的根元素 <validators> //被校验表单项名称 <field name="username"> //指定校验器,struts2有很多内建校验器,requiredstring是校验数据是否为空并去除两端空格 <field-validator type="requiredstring"> //校验失败后的提示信息 <message>用户名不能为空</message> </field-validator> </field> </validators>
校验失败后,struts2会返回名为input的逻辑视图名,因此我们还需要添加一个<result> 这个配置文件是全局验证。也就是这个Action中的所有动作都会被验证,我们Action有的方法并不需要验证,加入验证甚至会出错。 我们有两种方式可以让不需要验证的方法跳过验证: 第一种:在不需要验证的方法前面添加注解@SkipValidation 第二种:针对动作类中的某个方法进行验证,创建的XML文件名为 ActionClassName-ActionName-validation.xml ,这里的ActionName不是方法名,而是配置的action名字 ,例如 :UserAction-regist-validation.xml
三、非字段配置风格(基于验证器的配置风格)
<validators> //验证器类型 <validator type="requiredstring"> //要校验的参数名字 <param name="fieldName">password</param> //校验失败后返回的信息 <message>密码不能为空</message> </validator> </validators>
四、短路校验器
校验配置文件的<field-validator>和<validator>元素可以指定一个可选的short-circuit属性,指定该校验器是否是短路校验器,默认是false。 短路校验器的作用是如果一个字段内有多个校验器,如果一个校验器校验失败,其他校验器根本不会继续校验。 校验器的执行顺序 -所有基于验证器的配置风格的校验器优先于字段风格的校验器 -所有的基于验证器风格的校验器,排在前面的先执行 -所有的基于字段风格的校验器,排在前面的先执行。 校验器的短路原则 -所有的非字段校验器最先执行,如果某个非字段校验器校验失败,则该字段上的所有字段校验器都不会执行 -非字段校验器校验失败,不会阻止其他非字段校验器的执行 -如果某个字段校验器校验失败,则该字段下的后面的字段校验器都不会执行 -字段校验器永远都不会阻止非字段校验器的执行
五、struts2的内建校验器
required:必填验证器,要求指定的字段必须有值。使用非字段风格的配置时,可以配置fieldName属性来设置要校验的表单项名称。 requiredstring:必填字符串验证器。 int、long、short:整数校验器。要求字段的整数值必须在指定范围内。参数:min指定该属性最小值,不指定不检查最小值。max指定该属性最大值,不指定不检查最大值。 date:日期校验器。要求字段的日期值必须在指定范围内。参数:min最小日期 ,max最大日期 expression:表达式校验器,它只能被非字段风格配置。参数:expression指定一个逻辑表达式。 fieldexpression:字段表达式校验器。要求字段满足一个逻辑表达式。 email:邮件校验器。要求被检查字段非空,并且必须是合法的邮箱地址,底层是正则表达式。 url:网址校验器。要求被检查字段非空并且是个发的url地址,底层是正则表达式。 stringlength:字符串长度校验器。要求字段长度必须在指定的范围内。参数:manLength 最大长度 minLength最小长度 regex:正则表达式校验器。 等等。
六、自定义校验
struts2内建的校验器可以完成大部分输入校验。但是有时候无法满足一些特殊的要求,struts2允许通过手动方式完成自定义校验。 继承ActionSupport,重写validate方法 public void validate() { if(user.getUsername()==null||user.getUsername().isEmpty()){ addFieldError("username", "用户名不能为空!!!"); } } 重写validate方法会检验action类里的所有方法,我们不需要校验某些方法,有两种方法。 第一种:在不需要校验的方法前加上注解@SkipValidation 第二种:重写validateXxx方法,Xxx即为要验证的方法名 public void validateRegist() { if(user.getUsername()==null||user.getUsername().isEmpty()){ addFieldError("username", "用户名不能为空!!!"); } }
七、struts2的输入校验流程
1.对字符串类型的请求参数进行类型转换,并且设置给JavaBean的属性 2.类型转换中可能出现异常,如果出现异常,将异常信息保存并封装 3.调用struts2的输入校验规则进行输入校验(根据各种vatidate.xml文件里定义的校验规则) 4.通过反射调用validateXxx方法进行校验 5.调用validate方法校验 6.上面的校验出现错误,转到input对应的视图资源。没错误,调用action中的处理方法。