springboot跨站拦截器

已于 2022-01-19 17:53:10 修改
阅读量358 收藏
点赞数
分类专栏: spring boot java 文章标签: spring boot java 跨站
于 2022-01-19 17:28:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aw277866304/article/details/122585673
版权

对于有安全需求的系统来说,或者项目安全测试啥的一般都会对跨站请求进行验证,跨站拦截应该算是用得比较多的安全验证方式。

具体攻击细节及防护措施,请点击查看跨站请求伪造_百度百科

其中,检查Referer字段方式可以通过自定义一个跨站拦截器进行有效拦截

package cn.xxx.rdc.fi.filter;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.context.annotation.Configuration;

import com.alibaba.fastjson.JSON;

import cn.trasen.BootComm.Contants;
import lombok.extern.slf4j.Slf4j;

/**
 * Referer拦截器
 * 
 * @author xxx
 * @date: 2021-04-07 16:07:09
 * @Copyright: Copyright (c) 2006 - 2021
 * @Company: xxx
 * @Version: V1.0
 */
@Slf4j
@Configuration
@ConditionalOnProperty(prefix = "referer.filter", name = "enabled", matchIfMissing = true, havingValue = "true")
public class RefererFilter implements Filter {

    @Value("${request.url.prefix}")
    private String requestUrlPrefix;

    /**
     * 验证Referer
     * 
     * @author: xxx
     * @date: 2021-04-07 16:11:08
     * @param request
     * @param response
     * @param chain
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {

        log.info("RefererFilter doFilter start");

        HttpServletRequest req = (HttpServletRequest)request;
        HttpServletResponse res = (HttpServletResponse)response;

        String referer = req.getHeader("Referer");

        log.info("RefererFilter doFilter refere:" + referer);

        // 验证请求地址
        if ((referer != null) && (referer.trim().startsWith(requestUrlPrefix))) {
            chain.doFilter(request, response);
        } else {
            Map<String, Object> result = new HashMap<String, Object>();
            result.put("statusCode", Contants.NO_AUTHENTICATION);
            result.put("message", "不允许跨站请求!");
            result.put("object", null);
            res.setContentType("application/json;charset=UTF-8");
            PrintWriter writer = res.getWriter();
            writer.write(JSON.toJSONString(result));
            writer.flush();
            writer.close();
            res.flushBuffer();
        }

        log.info("RefererFilter doFilter end");

    }

    @Override
    public void destroy() {
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {
        log.info("============RefererFilter 拦截器启动============");
    }

}

Contants.NO_AUTHENTICATION为自定义常量,本系统为消息码

// 未授权
public static final Integer NO_AUTHENTICATION = 21000;

配置项

# 请求地址前缀
request.url.prefix=http://192.168.18.28:7070/
# 是否开启跨站拦截:不配置或true为开启
referer.filter.enabled=false
CS_草祭先生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot拦截器的使用场景示例详解
08-19
Spring Boot 拦截器是基于Spring MVC的拦截器机制,用于在请求处理之前、之后以及发生异常时执行特定的业务逻辑。它们是实现应用程序级跨切面关注点(如日志、安全性、性能监控)的有效工具。在本文中,我们将深入...
SpringBoot集成SpringMVC例子.docx
12-03
`WebMvcConfigurer`接口提供了许多方法来定制SpringMVC的行为,例如配置拦截器、CORS(跨源资源共享)规则、静态资源映射等。以下是一些常用配置示例: - **拦截器**:可以通过`addInterceptors`方法注册拦截器,...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot安全验证之Referer拦截器
yuguang的博客
07-01 1706
public class RefererInterceptor extends HandlerInterceptorAdapter { // URL匹配器 private AntPathMatcher matcher = new AntPathMatcher(); @Autowired private RefererProperties properties; @Override public boolean preHandle(HttpServletReq.
springboot实现文件防盗链设计
最新发布
shigen的博客
05-12 973
`shigen`,一位专注于Java、Python、Vue和Shell的博主,分享成长和技术。近期将探讨SpringBoot实现图片防盗链,通过限制`Referer`防止资源被盗用。基础版通过`WebMvcConfigurer`配置静态资源,升级版添加拦截器检查`Referer`,确保请求来源合法性。详细代码实现和案例可在文中链接找到。一起学习,每天进步!
拦截器后台安全验证
weixin_33985507的博客
06-19 126
package com.huiminSys.web;import java.util.Date;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpSession;import org.apache.struts2.ServletActionContext;import com.huiminSys.d...
SpringBoot拦截器
浩泽学编程的博客
09-26 187
SpringBoot拦截器讲解(原理、源码讲解)
springboot整合流行框架Demo
02-27
SpringBoot整合Shiro,可以通过定义ShiroFilterFactoryBean并配置Shiro的路径拦截规则。同时,需要创建自定义的Shiro Realm,实现用户身份验证和权限校验。Shiro Realm连接到你的数据源,如数据库,从中获取用户信息...
springboot-security.zip
08-24
5. **启用CSRF保护**:SpringSecurity默认开启CSRF(跨站请求伪造)防护,但某些API可能不需要,可以通过配置关闭或定制。 在提供的压缩包`springboot-security.zip`中,应包含了一个完整的SpringBoot整合Spring...
springboot基于redis防止接口恶意刷新和暴力请求
01-17
在提供的压缩包文件`springboot-redisIpUrlLimit`中,可能包含了实现这一功能的示例代码,包括配置文件、拦截器类、以及相关的Redis操作方法。通过研究这些代码,读者可以更直观地了解如何在Spring Boot项目中实践这...
springboot拦截器实现拦截器 权限校验,登录demo
11-14
不知道为啥不能设置0。这个是demo,有时间博主吧git整理下 链接发出来
springboot实现拦截器之验证登录示例
08-31
本篇文章主要介绍了springboot实现拦截器之验证登录示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Springboot实现拦截器功能
weixin_44675056的博客
03-15 515
这里很简单,先引入spring-boot-starter-parent,parent 是父模块,由父模块统一进行 spring-boot 版本管理,dependencies 中与 spring-boot 启动绑定的包不需要再指定版本。(我这里是为了测试,接口参数str的值是否包含admin,如果包含就返回该接口的数据,否则跳转到登录接口)注解,不然拦截器不会生效。类,并且在该类上添加。注入到该类中,然后在。
SpringBoot Referer防盗链
weixin_44988811的博客
02-11 961
问题 测试修改了Referer信息后,再次发送请求,目前仍可返回结果。 解决 1、在application.yml配置文件中添加需要过滤的白名单。 referer: refererDomain: - localhost - 127.0.0.1 - 192.168.XX.XX 2、新增配置模板 import lombok.Data; import org.springframework.boot.context.properties.ConfigurationProperties
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5531
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
xss攻击和csrf攻击的定义及区别
weixin_33841503的博客
04-22 355
1.CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,并在本地生成Coo...
Springboot的跨域配置及拦截器设置
互联网编程爱好者
03-14 1448
跨域配置 @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { /* * 添加跨域访问映射路径 */ @Override public voi...
Springboot过滤器和拦截器详解及使用场景
m0_63437643的博客
07-12 994
过滤器和拦截器非常相似,但是它们有很大的区别 最简单明了的区别就是**过滤器可以修改request,而拦截器不能 过滤器需要在servlet容器中实现,拦截器可以适用于javaEE,javaSE等各种环境 拦截器可以调用IOC容器中的各种依赖,而过滤器不能 过滤器只能在请求的前后使用,而拦截器可以详细到每个方法** 区别很多,大家可以去查下。4、Filter是依赖于Servlet容器,属于Servlet规范的一部分,而拦截器则是独立存在的,可以在任何情况下使用。
springsecurity与springboot拦截器有什么区别
06-08
虽然 Spring Security 和 Spring Boot 拦截器都可以用于保护你的应用程序的安全性,但它们的作用略有不同。Spring Security 主要用于保护应用程序免受各种恶意攻击,而 Spring Boot 拦截器主要用于对请求进行处理。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值