url动态加解密

已于 2022-03-26 15:15:40 修改
阅读量2.6k 收藏 2
点赞数 1
分类专栏: technology 文章标签: springMVC web安全
于 2018-08-19 12:41:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/devotedwife/article/details/81837063
版权

个人博客原文地址:url动态加解密 | DevotedWife's Yard.

表单提交(或其他需要请求后台url)的场景下,url对于客户端来说是可见的,攻击者可以通过url猜测到很多信息并伪造请求对url进行攻击。本文探讨了一种对
url加密和解密的方案,并给出了关键代码。

Form表单提交

  1. 页面form的action地址加密:

    先在原始url之前添加encoded/(或其他)以方便后台认证是否合法url;
    在加密后的url地址后加.do(或其他)以方便filter过滤。

    1
2
3
4
5
6
7
8
9
10

    <%
    String url = DesUtil.encrypt("encoded/test/second.htm");
%>
<form action="<%=url%>.do" method="post">
    <input type="text" id="account" name="j_username" class="text " placeholder="请输入手机号/邮箱"
           value="tangliu"/>
    <input type="text" id="password" name="j_password" class="text " placeholder="请输入密码"
           value="123456"/>
    <input type="submit" value="Submit" />
</form>

  2. 自定义一个filter,放在其他filter之前:

    1
2
3
4
5
6
7
8
9

    <filter>
    <filter-name>decodeFilter</filter-name>
    <filter-class>com.tangliu.test.encodeurl.DecodeUrlFilter</filter-class>
    <async-supported>true</async-supported>
</filter>
<filter-mapping>
    <filter-name>decodeFilter</filter-name>
    <url-pattern>*.do</url-pattern>
</filter-mapping>

  3. filter中对url进行解密,若解密后的url不符合规范(不是以”encoded/“开头),则抛弃,否则对url请求进行forward转发。

    1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

    @Override
public void doFilter(ServletRequest request, ServletResponse response,
                     FilterChain chain) throws IOException, ServletException {
    try {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        String encodedUrl = httpRequest.getRequestURI();
        encodedUrl = encodedUrl.substring(1, (encodedUrl.length() - 3));

        String unencodedUrl = DesUtil.decrypt(encodedUrl);
        //如果解密后不是以encoded开头则说明不是合法请求,抛弃
        if(!unencodedUrl.startsWith("encoded"))
            return;

        unencodedUrl = unencodedUrl.replace("encoded/", "");
        unencodedUrl = httpRequest.getContextPath() + unencodedUrl;
        request.getRequestDispatcher("/" + unencodedUrl).forward(request, response);

    } catch (Exception e) {
        e.printStackTrace();
    }
}

  4. 经过测试,froward转发的url可以被其他filter正确拦截,于此同时地址栏显示的是加密后的url,设置如下:

 
1
2
3
4
5
6
7
8
9
10
11

 <filter>
    <filter-name>testFilter</filter-name>
    <filter-class>com.tangliu.test.encodeurl.TestFilter</filter-class>
    <async-supported>true</async-supported>
</filter>
<filter-mapping>
    <filter-name>testFilter</filter-name>
    <url-pattern>/test/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
    <dispatcher>FORWARD</dispatcher>
</filter-mapping>

其中`<dispatcher>`标签如果不设置,默认是REQUEST,表示拦截客户端请求,`FORWARD`表示拦截内部的forward请求。

  1. 同时最后收到请求的controller,能够正常接收request的参数:

    1
2
3
4
5
6
7
8
9

    @RequestMapping(value = "second", method = RequestMethod.POST)
@ResponseBody
public String service(HttpServletRequest request) {

    System.out.println(request.getParameter("j_username"));
    System.out.println(request.getParameter("j_password"));

    return "test";
}

使用ajax post提交

  1. <meta>中写入加密后的url地址:

    1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

    <meta name="formUrl" content="<%=DesUtil.encrypt("encoded/test/second.htm")%>.do">
<script src="//cdn.bootcss.com/jquery/1.11.3/jquery.min.js"></script>
<script>
    function ajaxTest(){

        var url = $("meta[name='formUrl']").attr("content");
        var data = {};
        data['j_username'] = 'tangliu';
        data['j_password'] = '123456';
        $.post(url, data, function(result){
            alert(result);
        });

    }
</script>

  2. <script>中写入加密后的url地址:

    1
2
3
4
5
6
7
8
9
10
11
12

    <script>
    function ajaxTest(){

        var url = "<%=DesUtil.encrypt("encoded/test/second.htm")%>.do";
        var data = {};
        data['j_username'] = 'tangliu';
        data['j_password'] = '123456';
        $.post(url, data, function(result){
            alert(result);
        });
    }
</script>

测试可行。

devotedwife
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
三种保证URL地址可信的加密方式
愿今日的一切困难在未来都不值一提
11-21 1746
近日接到一个需求,要求一台资源服务器不仅在可以暴露在公网环境下的同时,还要保证只接受并处理可信的http访问请求。   需求场景如图: 为了访问资源文件,用户需要首先访问某一台Frontend Server进行用户身份认证———所有的用户信息均由Frontend Server保存,Frontend Server认证通过后返回真实的重定向地址,用户再根据重定向地址访问Resource Se...
URL编码解码详解
drnrrwfs的博客
07-31 7886
URL路径或者查询参数中,带有中文或者特殊字符的时候,就需要对URL进行编码(采用十六进制编码格式)。URL编码的原则是使用安全字符去表示那些不安全的字符。安全字符,指的是没有特殊用途或者特殊意义的字符。...
常见加密解密URL编解码
热门推荐
5ingwings(SiHao)的博客
04-02 1万+
MD5Message Digest algorithm 5非对称加密,不可逆(因为会将原文部分信息丢失),长度固定 哈希算法的一种加密工具类public class MD5 { public static String md5(String content) { byte[] hash; try { // MessageDigest.
PHP url 加密解密函数代码
10-28
是一种方式,但是是最安全的,因为只要知道这个原理就可以解开,不过你的要求不高这样就可以了.
php实现URL加密解密的方法
10-21
主要介绍了php实现URL加密解密的方法,结合实例形式分析了php针对URL字符串进行加密解密操作的相关技巧,需要的朋友可以参考下
js url加密解密
08-14
js对文字进行编码及相应的解码函数 传递参数时 进行url跳转时
.net调用JScript脚本及JS url加密解密
10-27
.net调用JScript脚本及JS url加密解密,需要的朋友可以参考一下
Java实现url加密处理的方法示例
08-30
主要介绍了Java实现url加密处理的方法,涉及java基于base64、编码转换实现加密解密相关操作技巧,需要的朋友可以参考下
url 加密解密
s3248149993的博客
08-24 1494
1
URLEncode进行url传递地址加密解密
。。。。
10-12 4555
【代码】URLEncode进行url传递地址加密解密
URL参数加密解密,URL参数加密解密
11-15
URL参数加密解密;使用简便;URL参数加密解密;使用简便;URL参数加密解密;使用简便;URL参数加密解密;使用简便;
base64_encode()和base64_decode(),URL加密解密详解
wangxuanyang_zer的博客
10-18 5249
和是两个 PHP 函数,用于将数据在二进制和文本之间进行相互转换,而不是用于加密解密。它们的主要目的是将二进制数据转换为文本格式,以便在文本传输中安全地传递二进制数据,例如在 URL 中传递参数、在 XML 或 JSON 中嵌入二进制数据,或在电子邮件中传输二进制附件。函数将二进制数据编码为Base64格式。2.它接受一个包含二进制数据的字符串作为输入,并返回一个Base64编码的字符串。
用C/C++实现代码的动态修改(SMC)
oRbIt 的专栏
08-02 9161
  作者:星轨(oRbIt)  E_Mail :[email protected]   摘要:所谓SMC(Self Modifying Code)技术,就是一种将可执行文件中的代码或数据进行加密,防止别人使用逆向工程工具(比如一些常见的反汇编工具)对程序进行静态分析的方法,只有程序运行时才对代码和数据进行解密,从而正常运行程序和访问数据。计算机病毒通常也会采用SMC技术动态修改内存中的可执行代码
URL编码解码以及常见压缩算法和加密
Blue的博客
10-17 5702
1) 将客户端在进行网址请求的时候,如果网址中使用了非ASCII码形式的内。比如百度可以使用中文搜索但是sougou搜索那么就需要进行编码 2)URLEncoding:在编码的时候保留所有的英文字母、数字、下划线、以及特定的字符,这些字符全都是ASCII中的,除此之外将会转换成十六进制,并且将会在每一个十六进制之前加上%。 3)内容中的“ ”空格全都采用“+” 代替 4)URLEncoding
URL解码
曦阳的博客
11-18 6001
URL解码 decodeURI() 函数可对 encodeURI() 函数编码过的 URI 进行解码。 url = decodeURI(url); url = decodeURIComponent(url); 摘要: 本文章就是介绍两个解码的函数,他们就是decodeURI()和decodeURIComponent()函数,这两个函数可以对特定函数生成的密码字符串进行解密操作,就可以生成为未解密的字符串,比较实用,下面来看看这两个函数的用法和实例,你就会用了: decodeURI()...
URL 简单加密
Zhu_daye的博客
05-11 3478
问题:使用window.open();打开一个页面时如果不对url进行处理,将会把所有的参数完整的显示在地址栏中,
js / url地址加密解密
最新发布
qq_73700909的博客
11-18 984
是一个 JavaScript 内置函数,它用于将字符串进行 URL 编码。这种编码方式可以将特殊字符(例如空格、标点符号等)转换为 URL 安全的格式,以便在 URL 中使用。encodeURIComponent() 函数可把字符串作为 URI 组件进行编码。该方法不会对 ASCII 字母和数字进行编码,也不会对这些 ASCII 标点符号进行编码: - _ .!~ * ' ( )。其他字符(比如 :;:@&=+$,# 这些用于分隔 URI 组件的标点符号),都是由一个或多个十六进制的转义序列替换的。
URL请求地址加密方法
NanGe_BoKe
01-31 7231
可以直接复制代码去看一下效果:  function keyED($txt, $encrypt_key){ $encrypt_key = md5($encrypt_key); $ctr = 0; $tmp = ""; for ($i = 0; $i &lt; strlen($txt); $i++) { if ($ctr == strlen($enc...
请求数据通过URL加入sign验证加密解密
墨的博客
03-28 2488
通过生成sign对网络请求进行加密的算法案例分析
易语言文本url加解密源码
11-12
易语言文本url加解密源码是一个使用易语言编写的程序源代码,用于对文本进行加密解密操作,加密后的文本可以作为url的一部分传输或存储,解密时可以还原原始的文本内容。 以下是一个示例的易语言文本url加解密源码: ```python ' 加密函数 Function EncryptText(text As String) As String Dim encryptedText As String Dim i As Integer encryptedText = "" For i = 1 To Len(text) encryptedText = encryptedText & "%" & Hex(Asc(Mid(text, i, 1))) Next EncryptText = encryptedText End Function ' 解密函数 Function DecryptText(encryptedText As String) As String Dim decryptedText As String Dim i As Integer decryptedText = "" encryptedText = Mid(encryptedText, 2) ' 去掉开头的% For i = 1 To Len(encryptedText) Step 3 decryptedText = decryptedText & Chr("&H" & Mid(encryptedText, i + 1, 2)) Next DecryptText = decryptedText End Function ' 主程序 Sub Main() Dim originalText As String Dim encryptedText As String Dim decryptedText As String originalText = "Hello World!" ' 要加密的文本 encryptedText = EncryptText(originalText) ' 加密 decryptedText = DecryptText(encryptedText) ' 解密 ' 输出结果 Print "Original Text: " & originalText Print "Encrypted Text: " & encryptedText Print "Decrypted Text: " & decryptedText End Sub ``` 这个源码中定义了两个函数,一个用于对文本进行加密操作,一个用于解密操作。加密函数会将文本中的每个字符转换为对应的ASCII值,并使用%加上转换为16进制的ASCII值来表示,然后将这些加密过的字符拼接在一起。解密函数则是将加密后的文本还原成原始的文本内容。 在主程序中,首先定义了原始的文本内容,然后分别调用加密函数和解密函数,将加密后的文本和解密后的文本输出。输出结果会显示原始文本、加密后的文本和解密后的文本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值