我有一个web表单,使用Spring MVC控制器。表单由Spring验证。当存在验证错误时,Spring显示相同的表单,预先填充用户输入的值,并显示验证错误。
出于安全原因,我不希望表单预先填充用户输入的值,但我确实需要显示验证错误。
我该怎么做?
我通过查看Spring MVC源代码并查看如何构建BINDING_RESULT_KEY来实现此行为。这是源代码。
然而,这是一个hack,它可能会停止工作在一个新版本的Spring MVC。
我如何正确地实现这一点?
package com.nespresso.ecommerce.naw.controller;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.validation.BeanPropertyBindingResult;
import org.springframework.validation.BindingResult;
import org.springframework.validation.Errors;
import org.springframework.validation.ObjectError;
import org.springframework.validation.FieldError;
import org.springframework.web.bind.annotation.ModelAttribute;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import javax.validation.Valid;
@Controller
@RequestMapping("/my_form")
public class MyFormController extends FrontEndController {
final String MY_FORM_OBJECT_NAME = "myForm";
final String BINDING_RESULT_KEY = BindingResult.MODEL_KEY_PREFIX + "myForm";
@RequestMapping(method = RequestMethod.POST)
public String post(@Valid @ModelAttribute("myForm") MyForm myForm, Errors errors, Model model) {
if (errors.hasErrors()) {
emptyMyFormWhileKeepingFormErrors(model);
return "my_form";
}
return "redirect:/confirmation";
}
@ModelAttribute("myForm")
public MyForm myForm() {
return new MyForm();
}
private void emptyMyFormWhileKeepingFormErrors(Model model) {
BeanPropertyBindingResult bindingResult = (BeanPropertyBindingResult) model.asMap().get(BINDING_RESULT_KEY);
if (bindingResult == null) {
return;
}
MyForm emptyForm = myForm();
// set the empty form, so the form is not pre-filled with the previous values.
// However, this clears the validation errors also
model.addAttribute(MY_FORM_OBJECT_NAME, emptyForm);
// re-attach the validation errors, and empty the rejectedValue
BeanPropertyBindingResult updatedBindingResult = new BeanPropertyBindingResult(emptyForm, MY_FORM_OBJECT_NAME);
for (ObjectError oe : bindingResult.getAllErrors()) {
if (!(oe instanceof FieldError)) {
updatedBindingResult.addError(oe);
} else {
FieldError fieldError = (FieldError) oe;
String rejectedValue = null; // that's the point, create a copy of the FieldError, emptying the rejectedValue;
FieldError updatedFieldError = new FieldError(
MY_FORM_OBJECT_NAME,
fieldError.getField(),
rejectedValue,
fieldError.isBindingFailure(),
fieldError.getCodes(),
fieldError.getArguments(),
fieldError.getDefaultMessage());
updatedBindingResult.addError(updatedFieldError);
}
}
model.addAttribute(BINDING_RESULT_KEY, updatedBindingResult);
}
}
编辑:添加另一个解决方案
你可以有一个空的模型对象,同时保持以前的错误,简单地通过复制新的值(从一个新初始化的对象)到你的模型属性通过org.springframework.beans.BeanUtils
:
@RequestMapping(method = RequestMethod.POST)
public String post(@Valid @ModelAttribute("myForm") MyForm myForm, Errors errors, Model model) {
if (errors.hasErrors()) {
MyForm emptyForm = new MyForm();
BeanUtils.copyProperties(emptyForm, myForm);
return "my_form";
}
return "redirect:/confirmation";
}
这样,您仍然可以显示以前的错误,并且表单为空。
仍然有一个警告:如果工作良好,当我使用<input>
字段,但不与<form:input>
春季增强字段,从errors
使用拒绝值。
如果您更喜欢继续使用<form:input>
字段,您将不得不创建另一个BindingResult
对象并使用当前错误初始化它,只需将被拒绝的值设置为null。您甚至可以重置所有字段或仅重置错误字段:
@RequestMapping(value = "/form", method=RequestMethod.POST)
public String update(@Valid @ModelAttribute Form form, BindingResult result, Model model) {
if (result.hasErrors()) {
// uncomment line below to reset all fields - by default only offending ones are
//form = new Form();
BeanPropertyBindingResult result2 = new BeanPropertyBindingResult(form, result.getObjectName());
for(ObjectError error: result.getGlobalErrors()) {
result2.addError(error);
}
for (FieldError error: result.getFieldErrors()) {
result2.addError(new FieldError(error.getObjectName(), error.getField(), null, error.isBindingFailure(), error.getCodes(), error.getArguments(), error.getDefaultMessage()));
}
model.addAllAttributes(result2.getModel());
return "my_form";
}
return "redirect:/confirmation";
}
我能想到的最简单的解决方案是不使用<form:*>
标签。而是使用标准的<input>
标记。
:
<form:form modelAttribute="userForm" method="post">
Username: <form:input path="username" /><br>
<form:errors path="password" element="div" />
Password: <input path="password" ><br>
<input type="submit" value="Save" />
</form:form>
在上面的示例中,密码字段将始终保持空白,同时仍然显示验证错误。