此方法仅供参考,不知道能不能防住黑客。
String conString = "";
//获取父url--如果不是直接输入的话就是先前的访问过来的页面,要是用户输入了,这个父url是不存在的
conString = req.getHeader("REFERER");
//当前请求url,去掉几个可以直接访问的页面
String servletPath = req.getServletPath();
//去掉几个特殊访问,拦截器拦截所有请求,重定向到专属错误页面。
if(!servletPath.contains("login")){
//剩下的自己操作,login页面不用防止
}