基于AOP的ajax的referrer判断

最新推荐文章于 2021-08-06 18:44:12 发布
最新推荐文章于 2021-08-06 18:44:12 发布
阅读量311 收藏
点赞数
分类专栏: 技术技巧 文章标签: java ajax
网页中ajax请求的referrer的值是当前域名。(其实这个工作nginx来做最好)
所以对于一些简单的安全验证可以通过这样的方式来做。
下面是我的实现。 


import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Inherited;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 用于ajax请求时,通过referrer对请求合法性做验证的注解
 * 注解的controller方法中必须包含HttpServletRequest和HttpServletResponse参数且参数被放置与参数列表最后request在前response在后
 *
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Inherited
public @interface AjaxReferrerAuthentication {

	String hostString() default "hstong.com";
}



import java.io.IOException;
import java.net.MalformedURLException;
import java.net.URL;
import java.util.stream.Collectors;
import java.util.stream.Stream;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang3.StringUtils;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;

import com.xxx.h5.support.annotation.AjaxReferrerAuthentication;
import com.xxx.h5.vo.MessageEntity;

@Aspect
@Component
public class AjaxReferrerAspect {

	private final Logger logger = LoggerFactory.getLogger(getClass());

	@Around(value = "execution(public * com.xxx.h5.controller..*(..)) && args(..,request,response) && @annotation(ajaxReferrer)")
	public MessageEntity authenticationReferrer(ProceedingJoinPoint jp,
			HttpServletRequest request, HttpServletResponse response, AjaxReferrerAuthentication ajaxReferrer) {

		// 由于Http规范以前对referrer写错,所以对两种写法都兼容下
		String referrer = StringUtils.isNotEmpty(request.getHeader("referer")) ? request.getHeader("referer")
				: request.getHeader("referrer"),
				errMsg = "";
		URL referrerURL = null;
		MessageEntity me = null;
		try {

			referrerURL = new URL(referrer);
		} catch (MalformedURLException e) {

			logger.info("验证referrer时,解析referrer地址异常");
			logger.info(jp.getClass() + "=>方法=>" + jp.getSignature() + "参数=>"
					+ Stream.of(jp.getArgs())
					.map(String::valueOf)
					.collect(Collectors.joining(",")));
			logger.error(e.getMessage());
			return me;
		}

		// 使用AjaxReferrerAuthentication注解的controller方法只给ajax请求,所以如果是从我们自己的页面过来的ajax请求一定是带上referrer的
		if (StringUtils.isEmpty(referrer)) {

			errMsg = "非法请求";
		} else if (!referrerURL.getHost().endsWith(ajaxReferrer.hostString())) {

			errMsg = "非法请求";
		}
		if (StringUtils.isNotEmpty(errMsg)) {

			try {
				response.sendError(HttpServletResponse.SC_FORBIDDEN);
			} catch (IOException e) {

				logger.info("验证referrer时,返回Http状态时异常(IO异常)");
				logger.info(jp.getClass() + "=>方法=>" + jp.getSignature() + "参数=>"
						+ Stream.of(jp.getArgs())
						.map(String::valueOf)
						.collect(Collectors.joining(",")));
				logger.error(e.getMessage());
			}
			return me;
		}
		try {
			me = (MessageEntity) jp.proceed();
		} catch (Throwable e) {

			logger.info("验证referrer后,执行切点方法时异常");
			logger.info(jp.getClass() + "=>方法=>" + jp.getSignature() + "参数=>"
					+ Stream.of(jp.getArgs())
					.map(String::valueOf)
					.collect(Collectors.joining(",")));
			logger.error(e.getMessage());
		}
		return me;
	}
A_D_wocaoni
关注
专栏目录
ajax请求模拟referer,用头和请求负载模拟AJAX请求
weixin_42515136的博客
08-06 1758
这是我要抓取的网站。当您打开该网站时,将使用ajax请求生成列表。当您向下滚动时,相同的请求会一直填充页面。这就是他们如何实现无限滚动。。。在当我向下滚动时,我发现这是发送到服务器的请求,我试图用头和请求负载模拟相同的请求。这是我的蜘蛛。在class MySpider(scrapy.Spider):name = 'kralilanspider'allowed_domains = ['kralila...
Ajax 参数怎么加Referer,解决XMLHttpRequest(Ajax)不能设置自定义的Referer办法
weixin_30002151的博客
08-05 3800
$url = 'http://pandavip.www.net.cn/check/check_ac1.cgi';$ch = curl_init($url);curl_setopt($ch, CURLOPT_POST, true); // POSTcurl_setopt($ch, CURLOPT_POSTFIELDS, 'domain='.$dn.$ex);curl_setopt($ch, CURL...
ASP、Ajax 更改来源 Referer 和 UserAgent
07-26 6711
测试发现,同 ASP.NET 一样,Referer 在 ASP 和 Ajax 中也是无法通过设置 Header 来更改的,但 ASP.NET 中可通过类 HttpWebRequest 来实现,ASP、Ajax 我倒还没发现什么解决的办法。ASP 中: <% dim http
在MUI中修改AJAXReferer
sgliyang2的博客
04-18 796
问题描述 使用mui利用微博官网的api做个性化的微博app的时候,发现凡是发微博、评论、转发之类的接口,在html5 plus runtime中发起请求后,都会被服务器拒绝。 使用Fiddler抓包测试之后,发现是微博检测了请求Header中的Reffer,Reffer必须来自微博的域名才允许通过。 但是众所周知,Reffer是有浏览器自动加上的,并且出于安全限制,浏览器不允许我们手动修改它。 ...
reques ajax referer,Request.UrlReferrer注意点
weixin_39878549的博客
08-06 386
定义:public sealed class HttpRequest{//// 摘要:// 获取有关客户端上次请求的 URL 的信息,该请求链接到当前的 URL。//// 返回结果:// 一个 System.Uri 对象。//// 异常:// System.UriFormatException:// HTTP Referer 请求标头格式不正确,并且不能被转换为 Sys...
基于springmvc实现文件上传下载 基于AOP的日志功能
最新发布
03-02
基于springmvc实现文件上传下载 基于AOP的日志功能基于springmvc实现文件上传下载 基于AOP的日志功能基于springmvc实现文件上传下载 基于AOP的日志功能基于springmvc实现文件上传下载 基于AOP的日志功能基于...
Spring如何基于aop实现事务控制
08-24
Spring基于AOP实现事务控制 Spring框架中提供了多种方式来实现事务控制,基于AOP(Aspect-Oriented Programming,面向方面编程)是其中的一种常用方式。通过使用AOP,可以将事务控制逻辑从业务逻辑中分离出来,...
Spring框架基于AOP实现简单日志管理步骤解析
08-19
Spring框架基于AOP实现简单日志管理步骤解析 在本篇文章中,我们将详细介绍如何使用Spring框架基于AOP(Aspect-Oriented Programming,面向方面编程)来实现简单日志管理步骤解析。AOP是一种编程范式,旨在将横切...
基于AOP策略模式的实现机制
07-20
本文首先将传统基于OOP策略模式的局限性进行分析说明,提出基本的策略模式以及“链式”策略模式基于AOP的具体实现,解决传统策略模式可能出现的代码分散、代码混乱问题;接着进行复杂度方面的实验对比分析;最后分析...
javascript AOP 实现,ajax回调函数使用比较方便
weixin_33815613的博客
11-20 63
function actsAsDecorator(object) { object.setupDecoratorFor = function(method) { if (! ('original_' + method in object) ) { object['original_' + method] = object[method]; o...
HTTP首部---referrer 知识点
zhangsir的博客
08-13 2万+
Referrer介绍 Referrer网站来路;访问者进入网站任何途径。HTTP Referer是header的一部分,当浏览器向web服务器发出请求的时候,一般会带上Referer,告诉服务器用户从那个页面连接过来的,服务器藉此可以获得一些信息用语处理。 获取referrer js中获取:var referer = document.referrer; java后台获取:String...
[HTTP趣谈]origin,referer和host区别
皮皮的博客
03-13 3万+
[HTTP趣谈]origin,referer和host区别 发起一个ajax请求时,request header里面有三个属性会涉及请求源信息。前端可能用不到这些值,但是,后台业务系统会比较关心它们,场景可能有: 处理跨域请求时,必须判断来源请求方是否合法; 后台做重定向时,需要原地址信息; 作为前端,了解三者的区别和使用场景,还是有很意义的。 先看图: host.png ...
JS无法修改referer
huanliandie的博客
03-18 9728
因为要跨域访问,容易丢失referer,所以需要在header里面设置referer,然并卵 能修改referer的方法主要是根据浏览器的漏洞,比如IE chrome的安全性很高,不过可以使用webrequest组件来修改,但这个是用于插件开发的。总结几点js遇到的几点安全性问题 1.跨域: 不止体现在ajax上,就连iframe内部的html都无法使用外部的js解决即便是最新的html5
js伪造Referer来路
huaieli1的博客
10-31 2万+
首先说明,伪造访问来路不是什么光明正大的事情,目的就是为了欺骗服务器。原本以为给 XMLHTTP 对象增加一个 Referer 的header 就可以,结果却没有任何作用,改用 ServerXMLHTTP 也如此。 无意间发现公司内部项目使用的 paypal 扣款程序里面有 WinHttp.WinHttpRequest.5.1 对象,它负责把客户的信用卡信息提交到 paypal 的服务器,看
ajax请求添加自定义header参数
热门推荐
linj努力,奋斗
11-29 4万+
$.ajax({ type: "post", url:"http://127.0.0.1:4564/bsky-app/template/testPost", contentType: "application/json;charset=utf-8", data :JSON.stringify({
jquery ajax设置header的两种方式
行成于思毁于随
06-13 2万+
一、setting参数 headers $.ajax({ headers: { Accept: "application/json; charset=utf-8" }, type: "get", success: function (data) { } }); 二、beforeSend方法 $("#t
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值