wap应用对请求地址的限制 filter,也可以用于其他

最新推荐文章于 2022-03-23 22:05:03 发布
最新推荐文章于 2022-03-23 22:05:03 发布
阅读量646 收藏
点赞数
分类专栏: Java 文章标签: filter wap import string session properties

/*
 * Created on 2004-12-2
 *wap应用对请求地址的限制 filter,也可以用于其他
 *
 */
package org.nightkids.filter.wap;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.io.Writer;
import java.util.ArrayList;
import java.util.Enumeration;
import java.util.List;
import java.util.Properties;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;

/**
 * @author weidewang
 */
public class BlockNotMobileAccess implements Filter {
 private Log _logger = LogFactory.getLog(this.getClass());

 private static final String MODE_SESSION_IP = "BlockNotMobileAccessModeSession";

 private static FilterConfig filterConfig;

 private HttpServletRequest request;

 private HttpServletResponse response;

 private HttpSession session;

 private static Properties gatewayProperties = new Properties();

 private static List gatewayList = new ArrayList();

 public void init(FilterConfig fconfig) throws ServletException {
  filterConfig = fconfig;
  initGatewayList(filterConfig);
 }

 /**
  * 加载网关列表
  *
  * @param fc
  */
 private void initGatewayList(FilterConfig fc) {
  String properRealPath = fc.getServletContext().getRealPath(fc.getInitParameter("gateway-properties"));
  try {
   gatewayProperties.load(new FileInputStream(properRealPath));
   _logger.debug("已经读取全国网关列表配置文件: " + properRealPath);
   Enumeration elems = gatewayProperties.elements();
   while (elems.hasMoreElements()) {
    String gateway = (String) elems.nextElement();
    // 如果 gateway 里面没有 - 的话 就是一个单一的 IP ,直接加到 list 中,否则 获取 - 左边到 . 的,- 右边到 结束的 字符串,转为数字,然后遍历一下为单一的 ip 加入 list 中
    int indexOf = gateway.indexOf("-");
    if (indexOf == -1) {// 如果是单一ip,直接加到 list 中
     gatewayList.add(gateway);
     _logger.debug("添加一个网关: " + gateway);
    } else {
     // 否则是一个 ip 组,现在只解析最后一段 ip 组
     // 首先获取到 - 左边 第一个 . 到开始的字符串
     int indexLeftPoint = gateway.lastIndexOf(".", indexOf) + 1;// 获取 - 左边到 . 的 字符串
     String prefixStr = gateway.substring(0, indexLeftPoint);// 获取到 - 左边 第一个 . 到开始的字符串
     String leftStr = gateway.substring(indexLeftPoint, indexOf).trim();// 得到左边的字符串
     String rightStr = gateway.substring(indexOf + 1).trim();// 获取 - 右边到结束的 字符串
     // 已经得到字符串之后,就要遍历一下分割成单独的 ip 加入到 list 中
     int leftInt = Integer.parseInt(leftStr);
     int rightInt = Integer.parseInt(rightStr);
     for (int i = leftInt; i <= rightInt; i++) {
      String grGateway = prefixStr + i;
      gatewayList.add(grGateway);
      _logger.debug("添加一个网关: " + grGateway);
     }
    }
   }
   _logger.debug("共添加了 " + gatewayList.size() + " 个网关.");
  } catch (NullPointerException e) {
   _logger.debug("读取全国网关列表配置文件错误:(没有设置 gateway-properties) " + e);
  } catch (FileNotFoundException e) {
   _logger.debug("读取全国网关列表配置文件错误:(找不到配置文件):" + properRealPath + " " + e);
  } catch (IOException e) {
   _logger.debug("读取全国网关列表配置文件错误:(IO错误):" + properRealPath + " " + e);
  }
 }

 /**
  *
  */

 public void doFilter(ServletRequest _servletRequest, ServletResponse _servletResponse, FilterChain filterChain) throws IOException, ServletException {
  boolean isActive = false;
  boolean allowAccess = false;
  request = (HttpServletRequest) _servletRequest;
  response = (HttpServletResponse) _servletResponse;
  session = request.getSession(true);
    
    if (null != filterConfig.getInitParameter("active")) {
   if ("true".equalsIgnoreCase(filterConfig.getInitParameter("active")) || "yes".equalsIgnoreCase(filterConfig.getInitParameter("active"))) {
    isActive = true;
    _logger.debug("激活 " + this.getClass().getName());
   }
  }

  if (isActive) {
   allowAccess = doProcess(request);
  } else {
   allowAccess = true;
  }

  if (!allowAccess) {
   error();
   return;
  }
  filterChain.doFilter(_servletRequest, _servletResponse);
 }

 /**
  * @param req
  * @return true 通过,false 不能通过
  */
 private boolean doProcess(HttpServletRequest req) {
  String userAgent = null;
  boolean bRe = true;
  /**
   * 设置调试模式
   */
  String modeName = filterConfig.getInitParameter("mode-name");
  String modeValue = filterConfig.getInitParameter("mode-value");
  if (modeName != null && modeValue != null) {
   if (request.getParameter(modeName) != null && modeValue.equals(request.getParameter(modeName)) || modeValue.equals(session.getAttribute(MODE_SESSION_IP))) {
    session.setAttribute(MODE_SESSION_IP, modeValue);
    return bRe;
   }
  }
  /*
   * 首先判断浏览器类型
   */
  String[] blockUserAgent = {
    "Mozilla", "ApacheBench"
  };
  userAgent = req.getHeader("User-Agent").toLowerCase();

  int indexOf = userAgent.indexOf("/");
  if (indexOf == -1) {
   indexOf = userAgent.indexOf("*");
   if (indexOf == -1) {
    indexOf = userAgent.length();
   }
  }
  userAgent = userAgent.substring(0, indexOf);
  for (int i = 0; i < blockUserAgent.length; i++) {
   String str = blockUserAgent[i].toLowerCase();
   if (str.equalsIgnoreCase(userAgent)) {
    return false;
   }
  }
  String getRemoteAddr = request.getRemoteAddr();
  if (!gatewayList.contains(getRemoteAddr)) {// 如果网关列表里没有访问者ip 的话,不允许访问
   return false;
  }
  return bRe;
 }

 public void destroy() {

 }

 private void error() throws IOException {
  response.setContentType(filterConfig.getInitParameter("content-type"));
  StringBuffer sb = new StringBuffer();
  String errorMessage = "对不起,请使用手机访问.";
  if (filterConfig.getInitParameter("ERROR_MESSAGE") != null) {
   errorMessage = filterConfig.getInitParameter("ERROR_MESSAGE");
  }
  sb.append("<!DOCTYPE wml PUBLIC /"-//WAPFORUM//DTD WML 1.1//EN/" /"http://www.wapforum.org/DTD/wml_1.1.xml/"><wml><card><p align=/"center/">" + errorMessage + "<br/><a href=/"http://wap.monternet.com//">梦网首页</a></p></card></wml>");
  Writer out = response.getWriter();
  out.write(sb.toString());
  out.close();
 }

TomyGuan
关注
专栏目录
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
SpringBoot防XSS攻击
热门推荐
BlueKitty的博客
12-21 2万+
1 . pom中增加依赖 org.jsoup jsoup 1.9.2 2 . 增加标签处理类 package com.xbz.utils; import org.apache.commons.lang3.StringUtils; import org.jsoup.Jsoup; import org.jsoup.nodes.Document; impor
SpringBoot2 学习笔记(四)——使用Jsoup防御XSS攻击
haliaddel的博客
12-15 653
什么是XSS攻击 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 使用Jsoup可以有效的过滤不安全的代码。Jsoup使用白名...
防止Xss脚本攻击(XssFilter
SuperDuDu的博客
01-15 691
配置文件 package com.sdyy.cas.config; import com.google.common.collect.Maps; import com.sdyy.cas.filter.XssFilter; import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springfra...
wap应用请求地址限制 filter
生命之箭的专栏
03-03 677
 /* * Created on 2004-12-2 *wap应用请求地址限制 filter,也可以用于其他 *  */package org.nightkids.filter.wap;import java.io.FileInputStream;import java.io.FileNotFoundException;import java.io.IOException;import jav
第十七ssrf攻击技术 很全面 服务器端请求伪造
代码审计
03-23 1652
SSRF攻击技术 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人) 1.1.1 SSRF形成原因 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址过滤限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档,等等。 首先
浅析Android——Android 8.0(O)后台服务的限制和变化
kdsde的专栏
08-28 2868
Android 最近几版的特色主要集中在省电和后台管理上,O的发布,对Service和Broadcast又近一步加强了管束。主要可概括为如下两点:       1、后台应用不被允许创建后台服务,必须通过JobScheduler或者Context.startForegroundService()进行创建       2、特定的隐式广播不再被允许启动,必须通过JobScheduler调用或者显式注...
AndroidMainfest.xml详解——<uses-permission/>
o190847959的专栏
11-23 3885
最近几年看了很多大神的博客和GitHub,自己想写、但是每次都觉得太麻烦了,而都放弃了。今天开始我打算把知识系统的和小伙伴们一起回顾分享一下,每篇文章可能不长,但是会按照类别找一些零散的时间依次更新。正如标题所讲,先从清单中的说起。 当我们在Android系统总使用某些权限时,需要在 AndroidMainfest.xml清单中加入相应的权限,他是系统的一种安全机制 uses-permissi
2.SDL规范文档
weixin_30872337的博客
02-27 2341
01.安全设计Checklist 输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等)格式化字符串时,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向Java Runtime.exec()方法传递不可信、未净化的数据(当参数中包含空格,双引号,以-或者/符号开头表示一个参数开关时,可能会导致参数注入漏洞),建议如果可以禁止JVM...
spring boot实战之XSS过滤
思与学的博客
10-06 1万+
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 你可以自己做个简单尝试: 1. 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){aler
SpringBoot项目XSS攻击过滤防御实现
weixin_45818787的博客
09-02 3025
一、先来个简介# 什么是XSS? 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、XSS分类# xss攻击可以分成两种类型: 1.非
spring boot xss拦截+OncePerRequestFilter+application/json
碎花爱洋裙
05-19 884
spring-boot-xss 版本 jdk1.8 spring boot 2.3.0 概念 XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 实例 将该字段存入数据库之后,当前端铺入div的时候,会出现弹窗 <script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</script> 解决 可以通过Jsoup把xss恶性攻击的过滤出去 参考:spri
中国移动:算网一体定义算力网络未来.pdf
最新发布
11-03
中国移动:算网一体定义算力网络未来.pdf
yolo算法-包装盒检测数据集-26张图像带标签-盒子.zip
11-03
yolo系列算法目标检测数据集,包含标签,可以直接训练模型和验证测试,数据集已经划分好,包含数据集配置文件data.yaml,适用yolov5,yolov8,yolov9,yolov7,yolov10,yolo11算法; 包含两种标签格:yolo格式(txt文件)和voc格式(xml文件),分别保存在两个文件夹中; yolo格式:<class> <x_center> <y_center> <width> <height>, 其中: <class> 是目标的类别索引(从0开始)。 <x_center> 和 <y_center> 是目标框中心点的x和y坐标,这些坐标是相对于图像宽度和高度的比例值,范围在0到1之间。 <width> 和 <height> 是目标框的宽度和高度,也是相对于图像宽度和高度的比例值
VB程序实例-使用Access报表.zip
11-03
VB程序实例-使用Access报表.zip
基于MATLAB图像平滑处理系统GUI面板.zip
11-03
强网杯
写一个springboot filter过滤请求地址
06-06
好的,下面是一个简单的 Spring Boot Filter 的示例代码,可以对请求地址进行过滤: ```java @Component public class CustomFilter implements Filter { @Override public void doFilter(ServletRequest ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值