HTTP 400 的 Spring MVC 自定义消息

Question

我有几个像下面这样的 SprigMVC 方法，返回一个 ModelAndView 或一个 Responsebody。当用户向这些缺少必需参数的 url 发出请求时，他们自然会得到消息“必需的字符串参数 'id' 不存在”。

从安全角度来看，我想向用户隐藏此详细描述消息。所以黑客不容易知道丢失的参数，会得到一个没有任何描述的 400 错误。这是否可以通过 spring 配置/Spring Security 实现，或者我必须手动重构所有方法以以某种方式返回自定义消息。

@RequestMapping(value = "/payment", method = RequestMethod.GET)
public ModelAndView getReponse(@RequestParam(value = "id", required = true)) {

    return model;
}

@RequestMapping(value = "/status", method = RequestMethod.GET)
public @ResponseBody String getStatus(@RequestParam(value = "id", required = true) String id) {

    return "string";
}

Answer 1

您真正需要的是MissingServletRequestParameterException 的全局处理程序，当缺少请求参数时，Spring 会抛出该处理程序。解决此问题的最简单方法是使用 ControllerAdvice，它将为您的所有控制器处理它。

import org.springframework.web.bind.MissingServletRequestParameterException;

@ControllerAdvice
class MissingServletRequestParameterExceptionHandler {
    @ExceptionHandler(MissingServletRequestParameterException.class)
    @ResponseBody
    @ResponseStatus(HttpStatus.BAD_REQUEST)
    public String handleMissingParameter() {
        return "Your custom result";
    }
}

如果您想仅为特定控制器隐藏缺少的参数消息，只需将 handleMissingParameter 方法移动到该控制器而不创建 ControllerAdvice。

Answer 2

我个人赞成 Daniel Olszewski 的回答，因为它时髦、美观、简洁且易读，尽管在面向客户的公开网站上（当您超越 Spring Boot 阶段的快速原型设计并且需要完全确定 nothing 可以通过）人们可能想在 web.xml 方法中将它与普通的 error-page 一起使用（这里有一些示例：Handle error 404 with Spring controller）。

这可能不好玩（我个人鄙视任何与 XML 相关的东西，除了可解释性之外），但是（除非你根本没有使用 web.xml 来支持 WebApplicationInitializer），web.xml 几乎 em> web 应用程序的最低层，没有错误页面（无论是异常还是 URL 映射）将通过它，只要记住映射所有 HTTP 状态代码（即有一个默认的 error-page 元素没有子 @987654326 @元素）。

WebApplicationInitializer 的解决方案类似，这里有一些示例：Using Spring MVC 3.1+ WebApplicationInitializer to programmatically configure session-config and error-page。

最低层的方法是设置错误页面内容，例如对于 Tomcat：http://linux-sxs.org/internet_serving/c581.html.