如何防止未登录用户通过文件地址绕过登录界面,直接访问其他页面

最新推荐文章于 2024-05-03 23:01:15 发布
最新推荐文章于 2024-05-03 23:01:15 发布
阅读量5k 收藏 6
点赞数 2
分类专栏: 用jsp javabean写的学生管理系
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21747999/article/details/79151710
版权
再编写项目过程中,假如输入其他文件地址,那么就可以绕过登录界面,直接访问其他页面。这是一个安全隐患。我使用了一个session来保存登录用户信息,假如没有用户信息,则返回登录界面
首先验证用户名,通过后利用 session.setAttribute("user", user);来保存已登录用户信息
再用下面来判断session里面是否为null
userTable user = (userTable)session.getAttribute("user");
if (user==null) {
、《/jsp:forward>
}
然后在其它页面用jsp:include设置jsp:includepage="islogin.jsp"就可以达到防止未登录用户登录

再这里我出了一个问题,我把我所有的页面都包含了上面那个限制,导致我不能正常登录。把登录验证的限制去掉后,可以正常登录
hhhhhhh_____
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue禁止输入地址直接访问页面_vue2简单鉴权用户登录,怎么拦截没权限看的页面(3)所有步骤...
weixin_39645306的博客
11-22 1839
(本文档有视频,图片看不清楚的可以用电脑看视频,代码地址在最下面)注意:之前需要写才能访问主页---(涉及hash和history二种模式)需要在router/index.js,改成history模式。这样直接就能访问场景三: 当用户已经登录,不去点击左侧列表的导航时,而是在地址栏输入没权限看的链接时,提示其无权限访问,比如admin1,authList是他可以访问地址,但是他并没/homepa...
通过链接跳过登录验证,游客模式访问页面
weixin_61686632的博客
06-27 6429
本文记载的是一个url传递数据给页面的问题想要通过url跳过登录可以在url里面带上一个userName和pwd来传递账号密码,再传递一个modle来传递用户角色;例:直接传递明文账号密码显然不行,我们采用token传递账号密码,将账号密码通过算法加密,设定一个分隔符。浏览器发送请求之前解密给后端;例:代码如下(示例): this.GetParam() 获取url参数值,通过数组形式存储,我们可以用urlcode[0,1,2,…]来调用......
登录界面静态页面
08-17
这是一个用户登录的静态页面,使用html5与css制作
讲讲Python爬虫绕过登录的小技巧_pycharm如何直接访问页面跳过登录(1)
最新发布
2401_84689860的博客
05-03 1734
这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。基本上主流的和经典的都有,这里我就不放图了,版权问题,个人看看是没有问题的。
讲讲Python爬虫绕过登录的小技巧_pycharm如何直接访问页面跳过登录
2401_84584583的博客
04-29 1023
我们要 selenium 启动浏览器时,需要下载后对应的驱动文件并放在 Python 安装的根目录下,比如我会用到谷歌 Chrome 浏览器和 Firefox 火狐浏览器。我们每次打开浏览器做相应操作时,对应的缓存和 cookie 会保存到浏览器默认的路径下,我们先查看个人资料路径,以 chrome 为例,我们在地址栏输入 chrome://version/图中的个人资料路径就是我们需要的,我们去掉后面的 \Default,然后在路径前加上「–user-data-dir=」就拼接出我们要的路径了。
讲讲Python爬虫绕过登录的小技巧_pycharm如何直接访问页面跳过登录(2)
2401_84138927的博客
05-02 855
这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。基本上主流的和经典的都有,这里我就不放图了,版权问题,个人看看是没有问题的。
html网页防止跳过登录页面,如何让某个域的网站嵌套另一个域的网页,并跳过登录步骤?...
weixin_34121505的博客
06-17 1468
有2个独立的网站,网站A,网站B。网站A想通过iframe嵌套网站B,网站B有登录机制,希望在网站A直接访问网站B,跳过登录步骤,请问网站B改怎么拓展才能支持?当前网站B的后台是用koa搭建的,在路由处通过判断ctx是否有session数据,如果没有则重定向,有则next();大致实现如此:app.use(async (ctx, next) => {/* 目前需求希望能支持被 xxx.com...
java防止session伪造攻击_利用session防止用户登录直接访问
weixin_30242741的博客
02-17 941
在编写项目的时候,突然想如果按常理出牌,不首先进入登录界面直接访问网页内容,可不可以呢?如此一来便尝试了一下,整的可以直接进入管理员页面,获取完全的管理权限。于是在网上查看了一下解决方案,学习了一下。那么如何识别用户是否合法呢?就需要每次点开新的页面之前检查一下,但是如果每点开一个页面就需要登陆一回免太不人性化了,这里就可以使用session来保存用户信息了。首先编写一个函数,因为可能有许多页...
flask框架中,对跳过登陆界面直接访问主页面的bug的处理
Maoziii的博客
06-28 254
使用flask框架开发系统,有输入地址跳过登陆界面直接访问主界面这个问题,可以通过下面的方法解决。在登陆界面对应的py文件中编写登陆相关的代码。
PHP绕过网站登录,绕过验证码,模拟登录 php
weixin_42598278的博客
03-10 1747
这几天一直在做识别验证码的API,已经做出来了,不过我突然有发现可以绕过验证码,先上代码header("Content-Type: text/html; charset=utf-8");function login_get($url, $cookie) {$curl = curl_init();//初始化curl模块curl_setopt($curl, CURLOPT_URL, $url);//登...
ASP技术常遇问题解答-如何防止经注册的用户绕过注册界面直接进入应用系统?.zip
03-23
4. **URL重写和隐藏敏感信息**:为了避免用户通过URL直接访问受保护页面,可以使用URL重写技术。同时,不要在URL中暴露敏感信息,如用户ID或令牌。 5. **角色和权限管理**:除了基本的身份验证外,还可以通过角色和...
bypass360_QQ_bypass360_qq登录_QQ界面_界面_
10-03
在设计登录界面时,需要考虑用户体验,确保输入字段清晰易见,操作流程简单直观,同时也要保证安全性,防止密码泄露和其他潜在的安全风险。 "QQ界面"和"界面"这两个标签则更加强调了设计和实现QQ风格的用户界面。这...
jsp实现登录验证的过滤器
10-17
- 安全性:通过过滤器可以防止授权的用户访问受保护的资源,提高应用的安全性。 - 统一处理:过滤器可以统一处理如登录验证、权限控制、数据校验等逻辑,避免在每个受保护的Servlet中重复这些代码。 - 易于扩展...
基于PHP的登录和注册的功能的实现
10-14
在每个需要验证身份的页面上检查session,以确保只有已登录用户才能访问。 总结来说,基于PHP的登录和注册系统涉及前端界面设计、用户输入验证、数据处理以及与数据库的交互。理解并实现这些步骤对于开发安全、功能...
绕过后台登录,输入地址直接访问资源
热门推荐
SupperDrummer的博客
07-31 1万+
后台管理页面里 如果我们想要访问某个页面一定要先登录, 有了权限之后才能访问里面的资源。 有时候需要补登录 直接访问这个页面  其实很简单 只要设置一下权限就好了  第一。在一个名为applicationContext-security-xml   (也可能是别的名字 但是后面应该是这个 secryity)里  加两句话 请看图 在本地的时候  l
学生管理系统创建数据库
CS了个DN
01-24 2516
usertable表 ,存储用户名和密码 字段:username,password 类型都是varchar studentinfo表,存储学生信息 字段: id ,自增,primary key name,varchar(20) sex,bit(1代表男,0代表女) birthday,date project,varchar(20) course,varchar(40) hobb,varchar(
点击退出按钮,只有框架中右部分退出,整个页面没有退出
CS了个DN
01-24 827
在写到退出按钮的时候,遇到一个问题,清除用户信息并返回到首页时,只有框架的右部分退回到首页,整个页面没有退回到首页。查看我的退出按钮target属性设置为main_right。把他改成_top,解决了问题。附上target属性值_blank在新窗口中打开被链接文档。_self默认。在相同的框架中打开被链接文档。_parent在父框架集中打开被链接文档。_top在整个窗口中打开被链接文档。fram...
在编写增删改查功能过程中发生的问题
CS了个DN
01-24 344
在实现具体的代码功能时候,经常发生页面会传递空对象或者空指针,这个时候,我就花点时间,用out.print把一些传递的参数一个个打印出来,看看哪里发生了这些异常。后来发现,原来是sql函数写错了。在向数据库取得或者赋值时,getint,getstring,没有和数据类型相对应后来页面发生了一个错误The value for the useBean class XXX attribute isinv...
dvwa文件上传漏洞中级
09-15
DVWA(Damn Vulnerable Web Application)是一个专门设计用于测试和学习Web应用安全的漏洞应用程序。 在DVWA中,文件上传漏洞是一种常见的安全漏洞,攻击者可以利用此漏洞上传恶意文件到服务器上,并可能导致远程代码执行、服务器被入侵等问题。 要利用DVWA中的文件上传漏洞,可以按照以下步骤进行: 1. 打开DVWA应用程序并登录:在浏览器中输入DVWA的URL,进入登录页面。默认情况下,用户名是"admin",密码是"password",点击登录按钮进入DVWA的主界面。 2. 寻找文件上传功能:在DVWA的主界面中,点击左侧导航栏中的"File Upload"链接,进入文件上传页面。 3. 选择要上传的恶意文件:在文件上传页面中,选择一个恶意文件,并点击"Choose File"按钮选择要上传的文件。 4. 上传恶意文件:点击"Upload"按钮进行文件上传。攻击者可以通过修改请求包的内容来绕过文件类型限制,绕过服务器端的验证机制。 5. 利用上传的恶意文件:一旦成功上传了恶意文件,攻击者可以通过访问文件的URL来执行恶意代码或者攻击服务器。具体利用方式取决于上传的文件类型和服务器端对该文件类型的处理方式。 需要注意的是,对于真实的环境中存在的文件上传漏洞,攻击者需要具备相关的知识和技能,并且遵循法律和伦理规范。在进行安全测试时,建议在合法授权的范围内进行,并且遵循相关的安全测试准则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值