本周密报卡遇到个问题,有人仅通过输入1位密报卡坐标和对应key,就可以解绑密报卡。
通过调查,我发现有用户通过ie查看源代码后,自己拼写链接地址,传递参数,将本来随机生成的3个坐标的值都设成了同一值,成功解绑。
考虑了一下,写了段程序,阻止用户通过URL方式访问处理程序(针对jsp和servlet)。
//forbid url attack start
//url's parameters
String strURL = request.getQueryString();
boolean flagURL = true;
//一般咱们的画面都是通过post方式提交的,因此request.getQueryString();的值应该为null, 用户拼链接是get方式提交,参数会被付在url中
if (strURL != null) flagURL = false;
//original jsp's url
strURL = request.getHeader("Referer");
if (strURL == null) {
flagURL = false;
} else {
String temp[] = strURL.split(".jsp");
strURL = temp[0];
String strAimURL = request.getRequestURL().toString();
temp = strAimURL.split(".jsp");
strAimURL = temp[0];
int index = strAimURL.lastIndexOf("/");
strAimURL = strAimURL.substring(0, index) + "/ClientRegister";
//判断两个源画面地址是否相同,我这个画面的原画面是ClientRegister.jsp,因此我判断访问我当前这个画面的原画面是否是ClientRegister.jsp
//之所以加上这个判断,是因为我担心有的捣乱者会在本地运行tomcat等服务器,写一个简单的jsp,通过post方式访问咱们的处理画面
if (strURL.equals(strAimURL) == false) flagURL = false;
}
if (flagURL == false) {
response.sendRedirect("ClientRegister.jsp?err=105");
return;
}
//forbid url attack end
通过调查,我发现有用户通过ie查看源代码后,自己拼写链接地址,传递参数,将本来随机生成的3个坐标的值都设成了同一值,成功解绑。
考虑了一下,写了段程序,阻止用户通过URL方式访问处理程序(针对jsp和servlet)。
//forbid url attack start
//url's parameters
String strURL = request.getQueryString();
boolean flagURL = true;
//一般咱们的画面都是通过post方式提交的,因此request.getQueryString();的值应该为null, 用户拼链接是get方式提交,参数会被付在url中
if (strURL != null) flagURL = false;
//original jsp's url
strURL = request.getHeader("Referer");
if (strURL == null) {
flagURL = false;
} else {
String temp[] = strURL.split(".jsp");
strURL = temp[0];
String strAimURL = request.getRequestURL().toString();
temp = strAimURL.split(".jsp");
strAimURL = temp[0];
int index = strAimURL.lastIndexOf("/");
strAimURL = strAimURL.substring(0, index) + "/ClientRegister";
//判断两个源画面地址是否相同,我这个画面的原画面是ClientRegister.jsp,因此我判断访问我当前这个画面的原画面是否是ClientRegister.jsp
//之所以加上这个判断,是因为我担心有的捣乱者会在本地运行tomcat等服务器,写一个简单的jsp,通过post方式访问咱们的处理画面
if (strURL.equals(strAimURL) == false) flagURL = false;
}
if (flagURL == false) {
response.sendRedirect("ClientRegister.jsp?err=105");
return;
}
//forbid url attack end