使用过滤器防止非法访问WEB网页

最新推荐文章于 2021-08-10 19:30:17 发布
最新推荐文章于 2021-08-10 19:30:17 发布
阅读量3k 收藏 3
点赞数 1
分类专栏: WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jingren1219/article/details/79131398
版权

问题:一般情况下,我们需要先登录,然后进入到下一个页面,但如果有人知道文件名等方式,绕过登录,可直接去访问后续页面,针对这样的问题,可以使用过滤器Filter去操作,具体方案如下:

文章转载http://www.51testing.com/html/06/183306-124904.html

附Filter学习资料:http://www.cnblogs.com/xdp-gacl/p/3948353.html

(本文档内容为个人笔记作用,如有侵权之处,联系本人,我会删除!)

我们首先定义了一些可以通过URL直接访问的页面,如登陆页面,重登陆页面等。当用户没有登陆而尝试访问受保护的URL时,Filter将拦截该请求,并把访问的URL重定向到登陆页面。

web.xml中的配置如下:

  <filter>
    <filter-name>filterservlet</filter-name>
    <filter-class>com.comtop.app.common.FilterServlet</filter-class>
    <init-param>
  <param-name>freePages</param-name>
  <param-value>

/Login.jsp;/LoginAction.do;/index.jsp;/ReLogin.jsp;/SSOLoginAction.do;
     </param-value>
    </init-param>
    <init-param>
      <param-name>toPage</param-name>
      <param-value>/ReLogin.jsp</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>filterservlet</filter-name>
    <url-pattern>*.do</url-pattern>
  </filter-mapping>

  <filter-mapping>
    <filter-name>filterservlet</filter-name>
    <url-pattern>*.jsp</url-pattern>
  </filter-mapping>

<filter></filter>中定义一些基本信息,比如filter的名称,filter的类以及相关初始参数。这里我们把能直接访问的页面定义为freePages,并定义了它的值。还定义了默认的重定向页面,Relogin.jsp

接着定义了filter-mapping,让后缀名为.do.jspURL都被Filter所保护。

 

FilterServlet具体代码(import部分省略):


publicclassFilterServletextendsHttpServletimplementsFilter{
 privateFilterConfig filterConfig;
 privateString[]freePages;
 privateStringtoPage=null;
 privatestaticLoggerlogger;

 /**
  * 初始化filter(这里重写父类的方法)
  * @param filterConfig FilterConfig filter配置对象
  * @throws ServletException
  */
 publicvoidinit(FilterConfigfilterConfig)throwsServletException{
  logger=Toolkit.getInstance().getLogger(this.getClass().getName());
  inti=0;
  Stringpages=null;
  StringTokenizerstrTokenizer=null;

  if(logger.isDebugEnabled()){
   logger.debug("initvalidate session filter ");
  }

  this.filterConfig=filterConfig;
  //以下从配置文件获取配置信息

  this.toPage=filterConfig.getInitParameter("toPage");
  pages=filterConfig.getInitParameter("freePages")
  if(toPage==null||pages==null||toPage.trim().length()==0||
   pages.trim().length()==0){
logger.error("web.xmlfilterServlet没有配置初始化参数\"toPage\"\"freePage\".");
   thrownewServletException("web.xmlfilterServlet没有配置初始化参数
\"toPage\"\"freePage\".");
  }
  if(logger.isDebugEnabled()){
   logger.debug("toPage"+toPage);
   logger.debug("freePages:"+pages);
  }

  strTokenizer=newStringTokenizer(pages,";");
  this.freePages=newString[strTokenizer.countTokens()];
  while(strTokenizer.hasMoreTokens()){
   freePages[i++]=strTokenizer.nextToken();
  }

  if(!isFreePage(toPage)){

logger.error("web.xmlfilter初始化参数\"toPage\"的值必须是\"freePage\"中的某个页面.");
   thrownewServletException("web.xmlfilter初始化参数\"toPage\"的值

必须是\"freePage\"中的某个页面.");
  }
 }

 /**
  * 判断一个请求URI是否是不过滤的页面
  * @param requestURI String 请求URI
  * @return boolean 返回true为不过滤页面
  */

 privatebooleanisFreePage(StringrequestURI){
  booleanisFree=false;
  for(inti=0;i<freePages.length;i++){
   if(requestURI.endsWith(freePages[i])){
    returntrue;
   }
  }
  returnisFree;
 }

 /**
  * 判断请求是否为有效Session
  * @param request ServletRequest 请求对象
  * @return boolean 返回true为有效Session
  */
 privatebooleanisValidSession(ServletRequestrequest){
  HttpServletRequest httpRequest=(HttpServletRequest)request;
  if(httpRequest.getSession().getAttribute(GlobalConstants.SECURITY_LOGIN_KEY)

==
   GlobalConstants.SECURITY_IS_LOGIN){
   returntrue;
  }
  if(logger.isDebugEnabled()){
   logger.debug("Session无效,请求:"+httpRequest.getRequestURI());
  }
  returnfalse;
 }

 /**
  * 过滤动作
  * @param request ServletRequest 请求对象
  * @param response ServletResponse 响应对象
  * @param filterChain FilterChain 过滤器链对象
  */
 publicvoiddoFilter(ServletRequestrequest,ServletResponseresponse,FilterChain

filterChain){
  StringrequestURI=null;
  ActionErrors errors=newActionErrors();
  ActionError errorSession=null;
  HttpServletRequest httpRequest=(HttpServletRequest)request;
  HttpServletResponse httpResponse=(HttpServletResponse)response;
  requestURI=httpRequest.getRequestURI();

        if(logger.isDebugEnabled()){
   logger.debug("Sessionfilter RequestURI:"+requestURI);
  }
  if(!isFreePage(requestURI)){//如果是保护页面

   if(!isValidSession(request)){//如果Session无效

    StringtoPageURL=null;
    try{
     toPageURL=httpRequest.getContextPath()+toPage;
     httpResponse.encodeRedirectURL(toPageURL);
     httpResponse.sendRedirect(toPageURL);//转发响应

    }catch(IOExceptionex){
     logger.error("Sessionfilter过滤时发生IO异常",ex);
    }
   }
  }

  if(!httpResponse.isCommitted()){//如果响应未提交,交给过滤器链

   try{
    filterChain.doFilter(request,response);
   }catch(ServletExceptionsx){
    filterConfig.getServletContext().log(sx.getMessage());
   }catch(IOExceptioniox){
    filterConfig.getServletContext().log(iox.getMessage());
   }
  }

 }
 //父类的方法

 publicvoiddestroy(){
 }
 
 publicFilterConfiggetFilterConfig(){
  returnthis.filterConfig;
 }

 publicvoidsetFilterConfig(FilterConfigfilterConfig){
  this.filterConfig=filterConfig;
 }

}


这里isFreePage方法判断用户访问的URL是否是受保护的,从配置文件中将freePages的值得到后,以分号为隔离符将它们取出放到一个数组中,这个数组存放的每个String都是一个freePage。另外,isValidSession方法判断在session中是否存在用户的登陆信息,如果用户未登陆,则返回false。每一个filterdoFilter()方法
中得到当前的requestresponse,在doFilter()方法中,以下代码完成核心判断:

  if(!isFreePage(requestURI)){//如果是保护页面

   if(!isValidSession(request)){//如果Session无效

    StringtoPageURL=null;
    try{
     toPageURL=httpRequest.getContextPath()+toPage;
     httpResponse.encodeRedirectURL(toPageURL);
     httpResponse.sendRedirect(toPageURL);//转发响应

    }catch(IOExceptionex){
     logger.error("Sessionfilter过滤时发生IO异常",ex);
    }
   }
  }

只有是通过isFreePage(requestURI)isValidSession(request)两层验证的页面才能被访问到,基本实现了防止用户非法访问页面的情况。


jingren1219
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Filter技术防止用户非法访问页面
Willpower's Java Zone
06-03 3107
主题:使用Filter技术防止用户非法访问页面作者:蔡毅时间:2005-6-3一 Filter概述Filter 技术是servlet 2.3 新增加的功能,它新增加的功能包括: 1. 应用程序生命周期事件控制2. 新的国际化3. 澄清了类的装载规则;4. 新的错误及安全属性;5. 不赞成使用HttpUtils 类6. 各种有用的方法7. 阐明并扩展了几个servlet DTD8. filter功能
springboot配置拦截站外非法请求 - 高效简便
华少哥的博客
04-28 1256
有时候我们在项目中出于安全考虑有些ajax的异步请求接口是不希望人为的去调用的,只允许项目自己在程序中访问。虽然说现在有很多的安全权限框架都能实现这些。但是有不排除一些开放式类型的网站其实的很多场景都可能并用不到这些权限框架。 所以…在框架大行其道的时代,我讲一种返璞归真的方式实现站外人为非法请求的拦截。 结果:就算打开F12拿到你的接口地址,去postman或者浏览器地址栏调用,请求一律会被拦截无法获取到接口的数据,只有程序自己内部的调用是OK的 话不多言,上代码!!! 编写拦截器 /** * 拦截
过滤器 拦截非法的url请求
weixin_33690367的博客
04-08 641
为什么80%的码农都做不了架构师?>>> ...
filter过滤器防止恶意注入
07-19
简单过滤器防止恶意攻击 java中的用法
HTTP过滤
03-04
HTTP过滤模块用于对超文本传送协议(HTTP)进行过滤,该模块可以根据网址、网页内容、外发内容、外发文件等设定过滤条件。过滤按从上到下的顺序过滤,网址过滤支持通配符。例如首条(网址“admin.*”、策略“通过”),第二条(网址“ad*”、策略“拦截”),表示以“admin.”开始的网址能通过,而其它以“ad”开始的网址都被拦截。
nginx过滤一段时间内的错误页面
Mankel
08-10 325
nginx默认日志文件:access.log(格式如下) 192.168.1.1 - - [09/Aug/2021:20:08:26 +0800] "GET /img/xx.jpg.jpg HTTP/1.1" 200 192.168.1.1 - - [09/Aug/2021:20:30:30 +0800] "GET /img/xx.jpg.jpg HTTP/1.1" 404 过滤当天晚上8点到9点日志 [root@Mankel ~] cat access.log |egrep "09/Aug/2021"
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
JSP使用Servlet过滤器进行身份验证的方法
01-20
【JSP使用Servlet过滤器进行身份验证...这是一种基础但实用的Web应用安全实践,对于防止非法访问和保护敏感数据具有重要意义。在实际项目中,通常会结合数据库验证、加密技术等更高级的安全措施,以增强系统的安全性。
JAVA Web过滤器
06-01
从Java Servlet 3.0版本开始,我们还可以使用注解的方式来配置过滤器,无需在web.xml中手动配置,使得代码更加简洁。 通过了解和熟练运用JAVA Web中的过滤器,开发者可以更高效地管理和控制Web应用的输入和输出,...
过滤器 乱码,非法字符,权限
10-18
在IT行业中,过滤器(Filter)是Java Web开发中的一个重要概念,主要应用于Servlet规范中,用于拦截请求和响应,执行一些预处理或后处理任务。...学习和掌握过滤器使用,对于任何Java Web开发者来说都是必要的技能。
Struts2编写的通用(拦截器,过滤器)Filter
12-07
这个名为"Struts2编写的通用(拦截器,过滤器)Filter"的项目,主要目标是防止用户非法访问未授权的页面,确保只有登录用户才能访问特定的资源。 **拦截器(Interceptor)** 拦截器是Struts2框架的核心特性之一,它...
过滤器 防止直接在浏览器输入url进入页面
weixin_34308389的博客
07-23 659
2019独角兽企业重金招聘Python工程师标准>>> ...
MVC的Filters(拦截过滤)的Error页面,支持Ajax报错
weixin_30949361的博客
06-25 166
报错拦截过滤到error页面 [AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, Inherited = true, AllowMultiple = true)] public class ExceptionAttribute : FilterAttribute, IException...
使用过滤器完成URL访问权限以及防止过滤掉CSS样式
清歌寒
05-26 1182
过滤器URL权限全局过滤器过滤掉CSS与JS文件 URL权限 通过相对地址url判断是否项目名 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // place your code here //类型转换 HttpServletRequest req = (HttpServletRequ
自定义了错误页面,但IIS却显示http服务器内部500错误的解决办法
weixin_30823001的博客
04-15 458
1. 激活异常过滤器 当自定义异常被捕获时,异常过滤器变为可用。为了能够获得自定义异常,打开Web.config文件,在System.Web.Section下方添加自定义错误信息。 <system.web> <customErrors mode="On"></customErrors> </system.web&g...
java中如何用过滤器来拦截用户不允许访问网页(通过地址栏来进行拦截)
萧十一郎博客
06-22 6305
过滤器用来拦截用户不允许访问网页(通过地址栏来进行拦截)例如:等用户在地址栏输入访问地址后跳转时进行拦截,只允许访问集合中存在的这些网页,在web.xml中先进行如下配置 FilterSerlvet com.zt.filter.FilterSerlvet code utf-8
网页非法访问的控制
weixin_43798202的博客
07-17 2678
概览:用两种不同的方式实现阻止非法访问网页:拦截器、过滤器使用和Spring-Security的使用。 拦截器和过滤器使用: 在项目中加入拦截器与过滤器 工作原理: 1>拦截器:拦截的是 action,说白了拦截的是访问路径,但是阻止的方式是拦截网址的映射,还是可以通过访问页面的直接网址的非法访问方式进入网页; 2>过滤器:可以几乎过滤掉所有的东西;无论是网址的映射还是直接...
JSP的URL过滤器
q626779313的专栏
05-25 707
Web开发一定都会涉及到过滤器,为了防止
spring boot 使用过滤器过滤非法字符
最新发布
05-25
是的,Spring Boot可以使用过滤器(Filter)来过滤非法字符。可以在过滤器中对请求进行预处理和后处理,比如字符编码转换、参数校验、安全控制等。以下是一个示例过滤器,它可以过滤掉请求中的非法字符: ```java @Component public class IllegalCharacterFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { // 初始化过滤器 } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) servletRequest; HttpServletResponse response = (HttpServletResponse) servletResponse; // 进行字符编码转换 request.setCharacterEncoding("UTF-8"); response.setCharacterEncoding("UTF-8"); // 获取请求参数 Map<String, String[]> parameterMap = request.getParameterMap(); for (Map.Entry<String, String[]> entry : parameterMap.entrySet()) { String name = entry.getKey(); String[] values = entry.getValue(); for (int i = 0; i < values.length; i++) { String value = values[i]; // 过滤非法字符 if (containsIllegalCharacter(value)) { response.sendError(HttpServletResponse.SC_BAD_REQUEST, "包含非法字符"); return; } } } // 执行下一个过滤器或目标资源 filterChain.doFilter(request, response); } @Override public void destroy() { // 销毁过滤器 } private boolean containsIllegalCharacter(String value) { // 判断是否包含非法字符,例如 <script>、alert() 等 return value.contains("<script>") || value.contains("alert("); } } ``` 在上述示例中,IllegalCharacterFilter 实现了 Filter 接口,并通过 @Component 注解将其注册为 Spring Bean。在 doFilter 方法中,通过 request.setCharacterEncoding 和 response.setCharacterEncoding 进行字符编码转换,然后获取请求参数并遍历每个参数值,判断是否包含非法字符。如果包含非法字符,则直接返回错误响应,否则执行下一个过滤器或目标资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值