url动态加解密

已于 2022-03-26 15:15:40 修改
阅读量2.6k 收藏 2
点赞数 1
分类专栏: technology 文章标签: springMVC web安全
于 2018-08-19 12:41:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/devotedwife/article/details/81837063
版权

个人博客原文地址:url动态加解密 | DevotedWife's Yard.

表单提交(或其他需要请求后台url)的场景下,url对于客户端来说是可见的,攻击者可以通过url猜测到很多信息并伪造请求对url进行攻击。本文探讨了一种对
url加密和解密的方案,并给出了关键代码。

Form表单提交

  1. 页面form的action地址加密:

    先在原始url之前添加encoded/(或其他)以方便后台认证是否合法url;
    在加密后的url地址后加.do(或其他)以方便filter过滤。

    1
2
3
4
5
6
7
8
9
10

    <%
    String url = DesUtil.encrypt("encoded/test/second.htm");
%>
<form action="<%=url%>.do" method="post">
    <input type="text" id="account" name="j_username" class="text " placeholder="请输入手机号/邮箱"
           value="tangliu"/>
    <input type="text" id="password" name="j_password" class="text " placeholder="请输入密码"
           value="123456"/>
    <input type="submit" value="Submit" />
</form>

  2. 自定义一个filter,放在其他filter之前:

    1
2
3
4
5
6
7
8
9

    <filter>
    <filter-name>decodeFilter</filter-name>
    <filter-class>com.tangliu.test.encodeurl.DecodeUrlFilter</filter-class>
    <async-supported>true</async-supported>
</filter>
<filter-mapping>
    <filter-name>decodeFilter</filter-name>
    <url-pattern>*.do</url-pattern>
</filter-mapping>

  3. filter中对url进行解密,若解密后的url不符合规范(不是以”encoded/“开头),则抛弃,否则对url请求进行forward转发。

    1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

    @Override
public void doFilter(ServletRequest request, ServletResponse response,
                     FilterChain chain) throws IOException, ServletException {
    try {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        String encodedUrl = httpRequest.getRequestURI();
        encodedUrl = encodedUrl.substring(1, (encodedUrl.length() - 3));

        String unencodedUrl = DesUtil.decrypt(encodedUrl);
        //如果解密后不是以encoded开头则说明不是合法请求,抛弃
        if(!unencodedUrl.startsWith("encoded"))
            return;

        unencodedUrl = unencodedUrl.replace("encoded/", "");
        unencodedUrl = httpRequest.getContextPath() + unencodedUrl;
        request.getRequestDispatcher("/" + unencodedUrl).forward(request, response);

    } catch (Exception e) {
        e.printStackTrace();
    }
}

  4. 经过测试,froward转发的url可以被其他filter正确拦截,于此同时地址栏显示的是加密后的url,设置如下:

 
1
2
3
4
5
6
7
8
9
10
11

 <filter>
    <filter-name>testFilter</filter-name>
    <filter-class>com.tangliu.test.encodeurl.TestFilter</filter-class>
    <async-supported>true</async-supported>
</filter>
<filter-mapping>
    <filter-name>testFilter</filter-name>
    <url-pattern>/test/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
    <dispatcher>FORWARD</dispatcher>
</filter-mapping>

其中`<dispatcher>`标签如果不设置,默认是REQUEST,表示拦截客户端请求,`FORWARD`表示拦截内部的forward请求。

  1. 同时最后收到请求的controller,能够正常接收request的参数:

    1
2
3
4
5
6
7
8
9

    @RequestMapping(value = "second", method = RequestMethod.POST)
@ResponseBody
public String service(HttpServletRequest request) {

    System.out.println(request.getParameter("j_username"));
    System.out.println(request.getParameter("j_password"));

    return "test";
}

使用ajax post提交

  1. <meta>中写入加密后的url地址:

    1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

    <meta name="formUrl" content="<%=DesUtil.encrypt("encoded/test/second.htm")%>.do">
<script src="//cdn.bootcss.com/jquery/1.11.3/jquery.min.js"></script>
<script>
    function ajaxTest(){

        var url = $("meta[name='formUrl']").attr("content");
        var data = {};
        data['j_username'] = 'tangliu';
        data['j_password'] = '123456';
        $.post(url, data, function(result){
            alert(result);
        });

    }
</script>

  2. <script>中写入加密后的url地址:

    1
2
3
4
5
6
7
8
9
10
11
12

    <script>
    function ajaxTest(){

        var url = "<%=DesUtil.encrypt("encoded/test/second.htm")%>.do";
        var data = {};
        data['j_username'] = 'tangliu';
        data['j_password'] = '123456';
        $.post(url, data, function(result){
            alert(result);
        });
    }
</script>

测试可行。

devotedwife
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
URL参数加密解密,URL参数加密解密
11-15
URL参数加密解密;使用简便;URL参数加密解密;使用简便;URL参数加密解密;使用简便;URL参数加密解密;使用简便;
url加密解密
weixin_33924770的博客
04-04 965
转载1:http://www.cnblogs.com/bingyu/articles/1545043.html 转载2:http://www.cnblogs.com/qiantuwuliang/archive/2009/07/19/1526687.html ----------------分割线------------------------------- .NET中加密解密有两种方式 ...
科普:什么是-动态加解密技术?
最新发布
m0_74448820的博客
06-18 650
动态加解密技术是一种高效、安全、易用的数据保护技术,通过实时、透明、自动的加解密操作,有效防止了数据泄露和非法访问。动态加解密技术是一种在数据使用过程中自动对数据进行加密解密操作的技术,无需用户的干预。对于合法用户来说,加密数据的访问和使用与未加密数据基本相同,无需进行额外的解密操作,因此易于使用和推广。当用户需要访问或使用加密文件时,系统会自动对文件进行解密处理,将密文数据还原为明文数据供用户使用。对于合法用户来说,加密数据的访问和使用与未加密数据基本相同,无需进行额外的解密操作。
url 加密解密
s3248149993的博客
08-24 1552
1
url加密解密
Kris1995的博客
11-09 1695
js对文字进行编码涉及3个函数:escape,encodeURI,encodeURIComponent, 相应3个解码函数:unescape,decodeURI,decodeURIComponent 1、传递参数时需要使用encodeURIComponent,这样组合的url才不会被#等特殊字符截断。 例如: 2、进行url跳转时可以整体使用encodeURI 例如:Location.href=encodeURI(“http://cang.baidu.com/do/s?word=百度&ct=21”)
URL加密解密方法
五彩世界的博客
05-01 4957
package day11.about_url_encoder; import java.io.UnsupportedEncodingException; import java.net.URLDecoder; import java.net.URLEncoder; public class URLEncoder_URLDecoder_Demo { public static void ma...
PHP url 加密解密函数代码
10-28
在PHP编程中,URL加密解密是常见的需求,特别是在数据传输、参数隐藏或保护敏感信息时。在提供的代码示例中,可以看到两种基于Base64的简单加密解密方法。Base64是一种将二进制数据转换为可打印ASCII字符的编码...
php实现URL加密解密的方法
10-21
主要介绍了php实现URL加密解密的方法,结合实例形式分析了php针对URL字符串进行加密解密操作的相关技巧,需要的朋友可以参考下
js url加密解密
08-14
js对文字进行编码及相应的解码函数 传递参数时 进行url跳转时
.net调用JScript脚本及JS url加密解密
10-27
.NET框架提供了一种方式来调用JavaScript代码,特别是在需要与Web相关的字符串操作,如URL加密解密时。本文将详细介绍如何使用.NET调用JScript脚本以及JS中用于URL处理的主要函数,包括加密解密的方法。 首先,...
js / url地址加密解密
qq_73700909的博客
11-18 1684
是一个 JavaScript 内置函数,它用于将字符串进行 URL 编码。这种编码方式可以将特殊字符(例如空格、标点符号等)转换为 URL 安全的格式,以便在 URL 中使用。encodeURIComponent() 函数可把字符串作为 URI 组件进行编码。该方法不会对 ASCII 字母和数字进行编码,也不会对这些 ASCII 标点符号进行编码: - _ .!~ * ' ( )。其他字符(比如 :;:@&=+$,# 这些用于分隔 URI 组件的标点符号),都是由一个或多个十六进制的转义序列替换的。
PHP对称加密URL 静态加密 动态加密
01-03
绝对原创自已设计并自己开发 需求及情况: 1、高并发 2、URL加密传输 3、数据库储存 4、本地储存 5、加密/解密任意字符 6、静态加密/动态加密 设计思路: 1、运行效率 (让马儿跑得比火箭快) 2、耗能低 (给马儿喝尿) 3、稳定 由于字数限制,请到博客看详细介绍 https://blog.csdn.net/recoyi/article/details/112133132
URL加密解密
lijun_xiao2009的专栏
06-27 1413
jsp中:     测试北京电大首页输入参数中包含中文用户名的问题        String uri = request.getRequestURI();    StringBuffer url = request.getRequestURL();    String queryStr = request.getQueryString();    String fullUr
URL解码
曦阳的博客
11-18 6115
URL解码 decodeURI() 函数可对 encodeURI() 函数编码过的 URI 进行解码。 url = decodeURI(url); url = decodeURIComponent(url); 摘要: 本文章就是介绍两个解码的函数,他们就是decodeURI()和decodeURIComponent()函数,这两个函数可以对特定函数生成的密码字符串进行解密操作,就可以生成为未解密的字符串,比较实用,下面来看看这两个函数的用法和实例,你就会用了: decodeURI()...
URLEncode进行url传递地址加密解密
。。。。
10-12 6036
【代码】URLEncode进行url传递地址加密解密
三种保证URL地址可信的加密方式
愿今日的一切困难在未来都不值一提
11-21 1803
近日接到一个需求,要求一台资源服务器不仅在可以暴露在公网环境下的同时,还要保证只接受并处理可信的http访问请求。   需求场景如图: 为了访问资源文件,用户需要首先访问某一台Frontend Server进行用户身份认证———所有的用户信息均由Frontend Server保存,Frontend Server认证通过后返回真实的重定向地址,用户再根据重定向地址访问Resource Se...
加密url
韩梦飞沙_韩亚飞
08-09 308
作者:韩亚飞_yue31313_韩梦飞沙   QQ:313134555
易语言文本url加解密源码
11-12
易语言文本url加解密源码是一个使用易语言编写的程序源代码,用于对文本进行加密解密操作,加密后的文本可以作为url的一部分传输或存储,解密时可以还原原始的文本内容。 以下是一个示例的易语言文本url加解密...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值