Wicket按Session加密URL请求,让你的Web应用更安全

最新推荐文章于 2020-05-19 12:41:28 发布
最新推荐文章于 2020-05-19 12:41:28 发布
阅读量118 收藏
点赞数
原文链接:https://my.oschina.net/noahxiao/blog/98751
版权

1、问题背景

由于使用Wicket框架,自带了做请求url做加密的功能,意思很简单就是让生成的action url不可理解。

只需要在主Application中的init方法中加入以下内容(官方样例) 

IRequestMapper cryptoMapper = new CryptoMapper(getRootRequestMapper(), this);
setRootRequestMapper(cryptoMapper);
但问题是url虽然加密了,但加密的结果是一样的就是说,如果url被记录,从其他用户的会话中一样可以访问到对应请求。

所以我希望得到的效果是,每个一 用户(session)请求的url加密出的url都不同。

2、分析解决

a、源码分析

查看org.apache.wicket.core.request.mapper.CryptoMapper的源码发现,CryptoMapper会从application.getSecuritySettings().getCryptFactory()中获得CryptFactory。

默认情况下采用org.apache.wicket.util.crypt.CachingSunJceCryptFactory来加密,但密钥是固定值
org.apache.wicket.settings.ISecuritySettings#DEFAULT_ENCRYPTION_KEY其实就是"WiCkEt-FRAMEwork"
这就导致了每次加密都是相同的结果。

b、更换CryptFactory解决

其实我们可以用org.apache.wicket.core.util.crypt.KeyInSessionSunJceCryptFactory来替换默认的factory 

getSecuritySettings().setCryptFactory(new KeyInSessionSunJceCryptFactory());
IRequestMapper cryptoMapper = new CryptoMapper(getRootRequestMapper(), this);
setRootRequestMapper(cryptoMapper);
这样每个session的密钥都会不同,生成的url也不同,符合我的要求。


P.S.

有人可能会说加密没有效果,那是因为是Home页,或者是被mount过的页面。为了达到比较好的加密效果需要加一个空跳转首页,引导到正确加密后的页面请求,这样会更安全。把下面的内容设置为application中的homepage。 

public class HomePage extends Page {

    public HomePage() {
        init();
    }

    public HomePage(IModel<?> model) {
        super(model);
        init();
    }

    public HomePage(PageParameters parameters) {
        super(parameters);
        init();
    }

    private void init() {
        setResponsePage(XXXXXXPage.class);
    }
}
XXXXXXPage.class就起到了隐藏的效果,会自动跳转到
/dvsOWxqltC1Lu-hxacR5bMPgoBRqoZo_zoCEQ0HSHf6EzKCQbYXYyFzxLP6VdPzGvIe1sLqBPLnOfdnnit56E8Ptoy6iZAiC/dvs30/PzG2c/AiC9a,复制到其他浏览器由于会话不存在会返回404,完全隐藏真实的页面。


转载于:https://my.oschina.net/noahxiao/blog/98751

chijiefen1087
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Wicket中文开发指南 读书笔记
nmj2008的博客
05-10 362
先下载实例:https://zh.osdn.net/projects/sfnet_wicket/downloads/wicket-examples/1.2.4/wicket-examples-1.2.4.tar.gz/ 然后复制.war到tomcat目录下的webapps。重新启动运行tomcat会自动解压
wicket-sample:示例 Apache Wicket Web 应用程序,用于使用 Apache Fortress 演示基本的 Java EE 安全性和 RBAC
07-23
本文档演示了如何获取、构建和部署 Apache Fortress Wicket 示例应用程序。 要完成本教程,请首先按照本 README 中的步骤进行操作。 接下来是这里的步骤: 先决条件 Java 8++ Apache Maven 3++ Apache Tomcat ...
如何在Wicket加密/编码URL
一名可爱的技术搬运工
05-19 137
Wicket中,对URL进行编码或加密是一项非常简单的任务,默认情况下会提供此功能,您只需激活它即可。 Wicket默认普通URL http://localhost:8080/WicketExamples/?wicket:interface=:0:urlQueryPanel: Wicket编码或加密URL http://localhost:8080/WicketExampl...
关于URL加密技术
xiaoxingchi的专栏
07-12 2465
http://www.51dj.net/dj/ 它的链接地址你能找到吗?找不到啊哈哈就连URLSnooper都无能为力:)你行吗? 服了这又是一个:http://www.djkk.com/sort.asp?classid=1 songid="1260" if(window.name!=HeiRui_Studio_Player) { alert("对不起,本站资源有限,谢绝盗链!/n谢谢您的
URL中允许携带sessionid带来的安全隐患。
如果你真的想做一件事,你一定会找到方法; 如果你不想做一件事,你一定会找到借口。
08-23 859
session.invalidate():减除绑定Session中的所有变量   转自:http://www.blogjava.net/BearRui/archive/2010/08/23/url_session_id_leek.html   很多WEB开发语言为了防止浏览器禁止了cookie而无法识别用户,允许在URL中携带sessionid,这样虽然方便,但却有可能引起钓鱼的安全漏洞。...
创建并扩展Apache_Wicket_Web应用.doc
01-10
Apache Wicket 是一个基于组件的轻量级Web应用框架,其设计目的是使展现层与业务逻辑分离,便于创建可测试、可调试且支持性强的Web 2.0应用程序。本篇文档关注的是如何在不修改已有代码的情况下扩展一个基于Wicket的...
pm-wicket-archetype:使用Wicket + Guice + Hibernate创建Web应用程序的模板
02-03
Web应用程序模板,支持Wicket + Guice + Hibernate 要求 Java 8 Maven PostgreSQL服务器9.x 重击(可选) PostgreSQL客户端(可选) 不到5分钟即可运行您的项目 设置项目 打开您的终端并运行以下命令: mvn ...
wicket:带有 wicket、Hibernate 4、JPA 的 CRUD Web 应用程序
05-31
wicket:带有 wicket、Hibernate 4、JPA 的 CRUD Web 应用程序”这个标题表明我们将探讨一个基于Wicket框架、使用Hibernate 4作为ORM工具和JPA(Java Persistence API)进行数据持久化的Web应用程序。CRUD是创建...
wicket:Apache Wicket-基于组件的Java Web框架
02-03
通过适当的标记/逻辑分离,POJO数据模型以及令人耳目一新的XML缺乏,Apache Wicket使开发Web应用程序变得简单而又愉快。 交换样板,复杂的调试和易碎的代码,以获取使用纯Java和HTML编写的功能强大且可重用的组件。...
wicket自定义url
shazhifeng的专栏
03-06 136
wicket允许你自定义你自己的url,在WebApplication的init方法里面添加mount(ummount为卸载):     @Override    public void init(){        super.getMarkupSettings().setDefaultMarkupEncoding("UTF-8");        super.mountBookmarkable...
Wicket中会话管理HttpSession
ballkingyao的专栏
07-25 1738
最近用Wicket框架,要用到session,而Wicket中定义的session与以前常说的session(HttpSession)是不一样。具体解释摘录《Wicket开发指南》:Wicket中的Session是指每一个Application中所拥有的数据,离开这个Applic
wicket session
shazhifeng的专栏
12-11 91
1. getWebRequestCycle().getWebRequest().getHttpServletRequest().getSession().setAttribute("showMessage", 1); Object showMessageObj = getWebRequestCycle().getWebRequest().getHttpServletRequest().ge...
飞机大战系列 Space War1.0(免费,开源)
07-14
飞机大战系列 Space War1.0(免费,开源)
基于Hadoop的文件词频统计的实现(大数据技术课程设计)
07-14
使用Hadoop大数据架构体系中的HDFS、HBase以及Spark软件,完成大数据处理的典型案例:文件词频统计的实现。
湖科大计算机网络视频笔记,跟着视频系统学了一遍的记录
最新发布
07-14
视频链接:https://www.bilibili.com/video/BV1c4411d7jb/,适用于考研后期查缺补漏和前期确定复习方向、期末考和课前预习。做成PDF形式便于查阅和在iPad上查看。
matlab下载,表面张力,main.m
07-14
matlab下载,表面张力,main.m
2.4.27.2a.pdf
07-13
2.4.27.2a.pdf
大学生创业计划书(33)三套材料.doc
07-14
大学生创业计划书(33)三套材料.doc
springboot wicket
12-01
Spring Boot和Wicket可以很好地结合使用,通过Spring Boot提供的自动配置和快速开发能力,开发人员可以快速搭建起一个基于WicketWeb应用程序。Wicket提供的组件化开发方式能够很好地与Spring Boot的开发模式相结合...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值