Java springboot过滤器实现防盗链接

最新推荐文章于 2024-05-12 20:28:32 发布
最新推荐文章于 2024-05-12 20:28:32 发布
阅读量901 收藏 1
点赞数 1
分类专栏: Java 文章标签: java filter 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jimmy12581/article/details/109449556
版权

实现原理:HTTP协议响应头中包含的Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。所以我们可以通过得到响应头中包含的referer来判断其请求来自哪里,如果不是本系统页面的请求则可能是盗链(referer包含的是请求发过来的源页面,而对于浏览器地址栏直接发送的请求referer为空)。

代码实现:

      1.添加一个类继承Filter

package com.app.test.common.security.http;

import com.app.test.common.utils.DataUtil;
import org.springframework.beans.factory.annotation.Value;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@WebFilter(urlPatterns = "/*", filterName = "handAll")
public class RefererFilter implements Filter {

    @Value("${test.security.exclude-path}")
    private String excludePath;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("Filter初始化...");
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        /*禁用缓存*/
        response.setHeader("Cache-Control", "no-store");
        response.setHeader("Pragrma", "no-cache");
        response.setDateHeader("Expires", 0);

        /* 从请求头中获得的请求全地址*/
        String referer = request.getHeader("referer");

        String path = request.getServletPath();
        if(isExcludePath(path)){
            // 如果为referer来源为null, 则表示直接从浏览器地地址输入的
            if (referer == null) {
                request.getRequestDispatcher("/index.html").forward(request, response);
                return;            // 不再向下执行
            }

            /* 发起请求域名或IP*/
            String address = request.getServerName();

            boolean contains = referer.contains(address);
            /*如果不包含, 即发起请求的点不是本站的页面*/
            if (!contains) {
                request.getRequestDispatcher("/index.html").forward(request, response);
                return;
            }

            // 放行
            chain.doFilter(request, response);
        }else {
            // 放行
            chain.doFilter(request, response);
        }


    }

    @Override
    public void destroy() {
        System.out.println("Filter销毁...");
    }

    private Boolean isExcludePath(String path) {
        Boolean flag = true;
        String[] excludeArr = null;
        if (DataUtil.isNotEmpty(excludePath)) {
            excludeArr = excludePath.split(",");
            if (excludeArr.length > 0) {
                for (int i = 0; i < excludeArr.length; i++) {
                    String excludeItem = excludeArr[i];
                    if (DataUtil.isNotEmpty(excludeItem) && path.indexOf(excludeItem) >= 0) {
                        return flag = false;
                    }

                }
            }
        }
        return flag;
    }
}

    2.在spring boot的启动器上添加注解, 将要用到的Filter加入进来

@SpringBootApplication
@ServletComponentScan(basePackageClasses=RefererFilter.class) // RefererFilter为要使用的Filter
public class TestApplication extends Bootup {

    public static void main(String[] args) {
        try {
            new SzydApplication().start(args);
        } catch (Exception ex) {
            ex.printStackTrace();
        }
    }
}

 参考资料:

https://blog.csdn.net/lljxk2008/article/details/81630062

 

iuw...
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
servlet高级应用过滤器防盗链等一系列技术工具打包
08-25
本资源包“servlet高级应用过滤器防盗链等一系列技术工具打包”聚焦于Servlet的高级应用场景,提供了多种实用的技术工具,以提升Web应用程序的安全性、性能和用户体验。 首先,我们来探讨“过滤器Filter)”。...
防盗链之基于springboot过滤器实现
Lengff
11-11 1559
文章目录防盗链之基于springboot过滤器实现什么是盗链防盗链的原理防盗链实现实现代码总结 防盗链之基于springboot过滤器实现 什么是盗链 内容不在自己的服务器上,通过技术手段将其他网站的内容(图片,音乐,软件等) 放置在自己的网站中,通过这种方式盗取其他网站的空间和流量,减轻自己服务器的负担。 举个例子我们服务器上有一个播放视频的地址,其他的网站用户就可以将我们的视频地址引用到他们的网站上,他们服务器实际没有任何开销,却能以此吸引用户! 防盗链的原理 根本原理是基于HTTP协议中的Refer
阿里云对象存储之文件上传
weixin_53998054的博客
08-19 1425
文件上传
springboot实现文件防盗链设计
shigen的博客
05-12 977
`shigen`,一位专注于Java、Python、Vue和Shell的博主,分享成长和技术。近期将探讨SpringBoot实现图片防盗链,通过限制`Referer`防止资源被盗用。基础版通过`WebMvcConfigurer`配置静态资源,升级版添加拦截器检查`Referer`,确保请求来源合法性。详细代码实现和案例可在文中链找到。一起学习,每天进步!
SpringBoot Referer防盗链
weixin_44988811的博客
02-11 970
问题 测试修改了Referer信息后,再次发送请求,目前仍可返回结果。 解决 1、在application.yml配置文件中添加需要过滤的白名单。 referer: refererDomain: - localhost - 127.0.0.1 - 192.168.XX.XX 2、新增配置模板 import lombok.Data; import org.springframework.boot.context.properties.ConfigurationProperties
七牛云 时间戳 防盗链
qq171563857的博客
12-28 1837
首先打开域名配置面板   找到访问控制,然后下面会有时间戳防盗链设置,点击修改配置   点击后会展示配置面板 ① 选择开启 ② 选择key生成器 ③ 将key1复制粘贴到 主要key ④ 将key2复制粘贴到备用key2   然后下来就要先生成一个测试URL进行检查,附上加密代码 import org.apache.commons.codec.binary.Hex;...
防止非法盗链的几种解决方案
积跬步,至千里。
09-30 398
非法盗链指的是在未获得授权的情况下,将别人的资源(如图片、视频等)直到自己的网站上,从而消耗他人的带宽和流量,并影响原始资源的安全性。
java 防盗链详解及解决办法
08-29
使用 Java Filter实现防盗链的解决方案。 ```java public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest...
Java项目基于Springboot实现的智慧图书管理系统设计与实现
最新发布
05-30
基于Spring Boot实现的智慧图书管理系统,通过集成先进的技术和创新的理念,为图书馆提供了高效、便捷的管理方式。以下是该系统的主要功能描述: 图书管理:系统支持图书的入库、借阅、归还、盘点等全流程管理,...
家庭防盗报警器如何实现防盗报警功能?
08-01
家庭防盗报警器是一种重要的安全防护设备,用于保护住宅免受非法入侵。它的核心目标是及时发现并报告任何潜在的威胁,以确保家庭的安全。本文将深入探讨家庭防盗报警器的功能原理及其硬件组成。 首先,防盗报警系统...
JavaWeb之Filter过滤器详解
08-31
3. **销毁**:当Web容器不再需要Filter时,会调用`destroy()`方法,让过滤器释放资源,如关闭数据库连等。这是过滤器生命周期的最后阶段,之后容器不会再次调用`doFilter()`。 三、Filter案例——防盗链功能 在...
SpringBoot集成FastDFS+Nginx整合基于Token的防盗链的方法
08-26
主要介绍了SpringBoot集成FastDFS+Nginx整合基于Token的防盗链的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
2022-09-07 请求头referer拦截器防止csrf攻击
Young的博客
09-07 1833
工作中用到的对csrf攻击的简单防范方法
java springboot 通过Referer防止跨站点请求伪造
qq_44154912的博客
10-21 4070
防止跨站点请求伪造 获取 referer 为null, 无法获取 referer 导致过滤失败
SpringBoot安全验证之Referer拦截器
跟派大星学编程
04-11 1万+
自定义Referer拦截器 public class RefererInterceptor extends HandlerInterceptorAdapter { // URL匹配器 private AntPathMatcher matcher = new AntPathMatcher(); @Autowired private RefererProperties ...
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5557
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
SpringBoot 通过拦截器验证Referer 防御CSRF攻击
热门推荐
哎幽的成长
10-10 1万+
问题: **CSRF概念:**CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为...
通过验证Referer解决CSRF安全防御问题
向南
09-26 5375
一、背景 JAVAWEB 类项目处于客户验收阶段,在安全扫描处出现 CSRF 问题,通过多个博客中解决思路都无法解决。后来通过同事提醒 可以试试判断 Referer页面来源参数,最终使用该方法解决问题。 二、环境 服务器:Linux 前端:Angular 后端:Springboot Java 三、安全证书 四、解决方法 后端拦截器判断访问来源,其它地方不用修改。 @...
Springboot后台设置允许跨域的方法
以爱护甲,爱满枫林。
11-04 6149
1、在启动类中继承WebMvcConfigurerAdapter,重写其中的addCorsMappings方法 package com.example.springbootdemo; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.web.servlet.c.
红外遥控家居防盗报警器设计与实现
红外遥控报警器是一种创新的家居安全解决方案,旨在提供智能化和便捷的防盗、防火等功能。该报警器由易X、刘XX和张XX团队在2014年第七届"圆融杯"电子设计竞赛中开发,其设计目标是对抗日益增长的家居安全需求,尤其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值