使用Filter技术防止用户非法访问页面

最新推荐文章于 2019-11-18 18:05:50 发布
最新推荐文章于 2019-11-18 18:05:50 发布
阅读量304 收藏
点赞数
分类专栏: JAVA 文章标签: Servlet JSP Web XML Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hank1026/article/details/83332398
版权 

一 Filter概述

Filter 技术是servlet 2.3 新增加的功能,它新增加的功能包括: 
1. 应用程序生命周期事件控制
2. 新的国际化
3. 澄清了类的装载规则;
4. 新的错误及安全属性;
5. 不赞成使用HttpUtils 类
6. 各种有用的方法
7. 阐明并扩展了几个servlet DTD
8. filter功能

其中最重要的就是filter功能。它使用户可以改变一个request和修改一个response, 
Filter 不是一个servlet,它不能产生一个response它能够在一个request到达servlet之前
预处理request,也可以在离开servlet时处理response。换种说法,filter其实是一个
“servlet chaining”(servlet 链)。

一个filter 包括: 
1. 在servlet被调用之前截获
2. 在servlet被调用之前检查servlet request
3. 根据需要修改request头和request数据
4. 根据需要修改response头和response数据
5. 在servlet被调用之后截获

二 Filter在检修ABC系统中的应用

检修ABC系统在初期搭建框架的时候决定使用Filter来处理用户非法访问URL以及Session过期等问题。
我们首先定义了一些可以通过URL直接访问的页面,如登陆页面,重登陆页面等。当用户没有登陆而
尝试访问受保护的URL时,Filter将拦截该请求,并把访问的URL重定向到登陆页面。

在web.xml中的配置如下:
  <filter>
    <filter-name>filterservlet</filter-name>
    <filter-class>com.comtop.app.common.FilterServlet</filter-class>
    <init-param>
  <param-name>freePages</param-name>
  <param-value> 

/Login.jsp;/LoginAction.do;/index.jsp;/ReLogin.jsp;/SSOLoginAction.do;
     </param-value>
    </init-param>
    <init-param>
      <param-name>toPage</param-name>
      <param-value>/ReLogin.jsp</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>filterservlet</filter-name>
    <url-pattern>*.do</url-pattern>
  </filter-mapping>

  <filter-mapping>
    <filter-name>filterservlet</filter-name>
    <url-pattern>*.jsp</url-pattern>
  </filter-mapping>

在<filter></filter>中定义一些基本信息,比如filter的名称,filter的类以及相关初始参数。这里我
们把能直接访问的页面定义为freePages,并定义了它的值。还定义了默认的重定向页面,Relogin.jsp。
接着定义了filter-mapping,让后缀名为.do或.jsp的URL都被Filter所保护。

FilterServlet具体代码(import部分省略):

public class FilterServlet extends HttpServlet implements Filter {
 private FilterConfig filterConfig;
 private String[] freePages;
 private String toPage = null;
 private static Logger logger;

 /**
  * 初始化filter(这里重写父类的方法)
  * @param filterConfig FilterConfig filter配置对象
  * @throws ServletException
  */
 public void init(FilterConfig filterConfig) throws ServletException {
  logger = Toolkit.getInstance().getLogger(this.getClass().getName());
  int i = 0;
  String pages = null;
  StringTokenizer strTokenizer = null;

  if(logger.isDebugEnabled()) {
   logger.debug("init validate session filter ");
  }

  this.filterConfig = filterConfig;
  //以下从配置文件获取配置信息

  this.toPage = filterConfig.getInitParameter("toPage");
  pages = filterConfig.getInitParameter("freePages");
  if(toPage == null || pages == null || toPage.trim().length() == 0 ||
   pages.trim().length() == 0) {
logger.error("web.xml中filterServlet没有配置初始化参数\"toPage\"或\"freePage\".");
   throw new ServletException("web.xml中filterServlet没有配置初始化参数
\"toPage\"或\"freePage\".");
  }
  if(logger.isDebugEnabled()) {
   logger.debug("toPage:" + toPage);
   logger.debug("freePages:" + pages);
  }

  strTokenizer = new StringTokenizer(pages, ";");
  this.freePages = new String[strTokenizer.countTokens()];
  while(strTokenizer.hasMoreTokens()) {
   freePages[i++] = strTokenizer.nextToken();
  }

  if(!isFreePage(toPage)) { 

logger.error("web.xml中filter初始化参数\"toPage\"的值必须是\"freePage\"中的某个页面.");
   throw new ServletException("web.xml中filter初始化参数\"toPage\"的值

必须是\"freePage\"中的某个页面.");
  }
 }

 /**
  * 判断一个请求URI是否是不过滤的页面
  * @param requestURI String 请求URI
  * @return boolean 返回true为不过滤页面
  */

 private boolean isFreePage(String requestURI) {
  boolean isFree = false;
  for(int i = 0; i < freePages.length; i++) {
   if(requestURI.endsWith(freePages[i])) {
    return true;
   }
  }
  return isFree;
 }

 /**
  * 判断请求是否为有效Session
  * @param request ServletRequest 请求对象
  * @return boolean 返回true为有效Session
  */
 private boolean isValidSession(ServletRequest request) {
  HttpServletRequest httpRequest = (HttpServletRequest)request;
  if(httpRequest.getSession().getAttribute(GlobalConstants.SECURITY_LOGIN_KEY) 

==
   GlobalConstants.SECURITY_IS_LOGIN) {
   return true;
  }
  if(logger.isDebugEnabled()) {
   logger.debug("Session无效,请求:" + httpRequest.getRequestURI());
  }
  return false;
 }

 /**
  * 过滤动作
  * @param request ServletRequest 请求对象
  * @param response ServletResponse 响应对象
  * @param filterChain FilterChain 过滤器链对象
  */
 public void doFilter(ServletRequest request, ServletResponse response, FilterChain 

filterChain) {
  String requestURI = null;
  ActionErrors errors = new ActionErrors();
  ActionError errorSession = null;
  HttpServletRequest httpRequest = (HttpServletRequest)request;
  HttpServletResponse httpResponse = (HttpServletResponse)response;
  requestURI = httpRequest.getRequestURI();

        if(logger.isDebugEnabled()) {
   logger.debug("Session filter RequestURI:" + requestURI);
  }
  if(!isFreePage(requestURI)) { //如果是保护页面

   if(!isValidSession(request)) { //如果Session无效

    String toPageURL = null;
    try {
     toPageURL = httpRequest.getContextPath() + toPage;
     httpResponse.encodeRedirectURL(toPageURL);
     httpResponse.sendRedirect(toPageURL); //转发响应

    } catch(IOException ex) {
     logger.error("Session filter过滤时发生IO异常", ex);
    }
   }
  }

  if(!httpResponse.isCommitted()) { //如果响应未提交,交给过滤器链

   try {
    filterChain.doFilter(request, response);
   } catch(ServletException sx) {
    filterConfig.getServletContext().log(sx.getMessage());
   } catch(IOException iox) {
    filterConfig.getServletContext().log(iox.getMessage());
   }
  }

 }
 //父类的方法

 public void destroy() {
 }

 public FilterConfig getFilterConfig() {
  return this.filterConfig;
 }

 public void setFilterConfig(FilterConfig filterConfig) {
  this.filterConfig = filterConfig;
 }

}


这里isFreePage方法判断用户访问的URL是否是受保护的,从配置文件中将freePages的值得到后,以分号
为隔离符将它们取出放到一个数组中,这个数组存放的每个String都是一个freePage。另外,isValidSession
方法判断在session中是否存在用户的登陆信息,如果用户未登陆,则返回false。每一个filter从doFilter()方法
中得到当前的request及response,在doFilter()方法中,以下代码完成核心判断:

  if(!isFreePage(requestURI)) { //如果是保护页面

   if(!isValidSession(request)) { //如果Session无效

    String toPageURL = null;
    try {
     toPageURL = httpRequest.getContextPath() + toPage;
     httpResponse.encodeRedirectURL(toPageURL);
     httpResponse.sendRedirect(toPageURL); //转发响应

    } catch(IOException ex) {
     logger.error("Session filter过滤时发生IO异常", ex);
    }
   }
  }

只有是通过isFreePage(requestURI)和isValidSession(request)两层验证的页面才能被访问到,基本实
现了防止用户非法访问页面的情况。在实际项目中还可以添加更多的验证方法。
hank1026
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用户登陆,Filter(过滤器)
08-11
使用Servlet 实现用户登陆 ,Filter(过滤器)
通过Session和过滤器防止恶意登录
weixin_45608102的博客
10-22 725
web.xml配置文件 告知Tomcat当浏览器访问任意一个网站时,通过Protect过滤器进行过滤。 <filter> <filter-name>Protect</filter-name> <filter-class>com.filter.Protect</filter-class> </filter> <filter-mapping> <filter
使用过滤器防止非法访问WEB网页
jingren1219的博客
01-22 3076
问题:一般情况下,我们需要先登录,然后进入到下一个页面,但如果有人知道文件名等方式,绕过登录,可直接去访问后续页面,针对这样的问题,可以使用过滤器Filter去操作,具体方案如下: 文章转载http://www.51testing.com/html/06/183306-124904.html 附Filter学习资料:http://www.cnblogs.com/xdp-gacl/p/3
利用Filter限制用户浏览权限
Ravi
09-10 138
在一个系统中通常有多个权限的用户。不同权限用户的可以浏览不同的页面使用Filter进行判断不仅省下了代码量,而且如果要更改的话只需要在Filter文件里动下就可以。 以下是Filter文件代码: package cn.itkui.filter;       import java.io.IOException;       import javax....
解决filter拦截网页格式问题
hui1322157301的博客
10-23 762
解决filter拦截网页格式问题 在写一些网页的时候,对其加入过滤器可能会拦截网页的css,js请求,因为在网页加载时,先将整个网页加载,然后加载网页中的js,css等文件,而在进行js,css文件加载时,就会被过滤器过滤掉 。 解决这个问题只需要在doFilter中写一个判断,将请求路径中含有.css,.js,.png,.jpg等放行即可。 public void doFilter(Servle...
防止非法攻击拦截器
11-08
web应用安全验证,防止非法攻击。防客户端攻击类型:内容欺骗,认证不充分,命令执SQL注入;跨站脚本攻击、链接注入。
防止非法访问
maqian627426的博客
11-21 2447
什么时候会用到防止非法访问呢? 正常的我们应该访问HTML文件,但有些人会直接访问PHP文件,如果直接访问PHP文件会出现错误,所以我们要防止直接访问PHP文件。 如何防止直接来访问呢? 我们需要先判断用户输入的是否为空数组 1.empty(检查一个变量是否为空) bool empty ( mixed $var ) 如果 var 是空或零的值,则 empty() 返回 FALSE ...
Java项目中如何访问WEB-INF下jsp页面
10-14
在Java Web开发中,将JSP页面放置在`WEB-INF`目录下是一种常见的做法,主要目的是为了增强应用程序...这样做有助于保护应用程序的内部结构,防止非法访问。在实际开发中,应根据项目需求和安全策略灵活选择合适的方法。
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
Struts2编写的通用(拦截器,过滤器)Filter
12-07
这个名为"Struts2编写的通用(拦截器,过滤器)Filter"的项目,主要目标是防止用户非法访问未授权的页面,确保只有登录用户才能访问特定的资源。 **拦截器(Interceptor)** 拦截器是Struts2框架的核心特性之一,它...
预防XSS攻击和SQL注入XssFilter
07-23
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin...
filter 过滤用户权限
02-16
通常,我们会设置登录检查机制,防止登录用户访问某些特定资源。Filter可以在此过程中发挥关键作用,通过检查请求中的用户信息来判断是否允许访问。如果用户未登录,Filter可以直接返回错误页面或者重定向到登录...
20160405servlet学习笔记session技术防止非法访问以及session生存时间
GZL的博客
04-05 977
1.session是存放在服务器运存中的,也就是说tomcat重启后session会丢失,可以通过配置tomcat中conf文件夹下的content.xml文件实现session的持久化. 2.session有效期可以在tomcat/conf/web.xml中配置全局的session有效期,当然也可以在webapp中的WEB-INF中的web.xml文件配置单独webapp的session有效期
java频繁请求拦截
qq_40838769的博客
11-18 1085
package com.example.filter; import com.example.utils.IPUtils; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import javax.servlet.h...
Filter——拦截请求保护页面安全
02-21 1563
一起来看看Filter是怎样为页面安全提供保护的?
通过过滤器Filter拦截非法访问web资源请求和设置编码
Qcmoke's Blog
06-18 3672
首先我们先了解过滤器Filter与Serlet的区别/* * 功能区别: * Serlet用于处理业务逻辑的 * Filter用于拦截、检查和处理请求和响应 * 代码区别: * Filter生命周期函数多出了doFilter() * Filter的init()和Serlet的init()执行的时间不一样,servlet在客户端第一次访问servlet时,此servlet调用init初始化,...
怎么防止网页的内容被别人采集,非法访问你的网站
chinmo的收藏
03-04 2150
 %****************************************           怎么防止网页的内容被别人采集,非法访问你的网站           ****************************************dim onlyURL,from    ***指定来源网址...onlyURL="http://127.0.0.1/"from=
原创二胡音色源文件,可以让热爱电子乐喜欢做MIDI音乐的朋友,做参考音源
最新发布
08-14
原创二胡音色源文件,可以让热爱电子乐喜欢做MIDI音乐的朋友,做参考音源。这里开源给大家,希望能帮助到您
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值