【安全检测】Java后台项目的过滤器

最新推荐文章于 2024-07-09 21:42:50 发布
最新推荐文章于 2024-07-09 21:42:50 发布
阅读量334 收藏
点赞数
分类专栏: Java springcloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34169240/article/details/108407176
版权

【安全检测】Java后台项目的过滤器:用户是否登录、头攻击、会话重放等

 

package fhm;



import java.io.IOException;
import java.io.PrintWriter;
import java.util.Date;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.json.JSONException;
import org.json.JSONObject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;

 
//@Order(2)
@Component
@WebFilter(filterName = "myFilter", urlPatterns = {"/*"})
public class myFilter implements Filter {
 
	private static Logger log = LoggerFactory.getLogger(myFilter.class);
	@Autowired
	private TestWhiteListUtil whiteUtils;
	 
	@Autowired
    private RedisTemplate<String, Object> redisTemplate;
	private static final Integer EXPIRE_TIME = Integer.valueOf(30);
	
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
 
    @Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest httpRequest = (HttpServletRequest) request;
		HttpServletResponse httpResponse = (HttpServletResponse) response;
		httpResponse.setCharacterEncoding("UTF-8");
		httpResponse.setContentType("application/json; charset=utf-8");
		httpResponse.setHeader("Access-Control-Allow-Origin", "*");

		JSONObject jsonObject = new JSONObject();
		PrintWriter pw = null;
		String authorizeState = "error message..";

		// 1.头攻击检测:Host
		String host= httpRequest.getHeader("host");
		if (host!= null && !whiteUtils.isWhiteHost(host)) {
			httpResponse.setStatus(403);
			log.warn("头攻击 requestHost:" + host);
			authorizeState = "Head attack in progress...";
			try {
				jsonObject.put("resultHint", authorizeState);
				jsonObject.put("successful", false);
				jsonObject.put("resultValue", "");
				jsonObject.put("type", "error");
				pw = httpResponse.getWriter();
				pw.write(jsonObject.toString());

			} catch (IOException | JSONException e) {
				e.printStackTrace();
			} finally {
				pw.flush();
				pw.close();
			}
			return;
		}

		// 2.Origin跨域访问检测
		String Origin= httpRequest.getHeader("Origin");
		//...省略 

		// 3.对数据请求中的referer值进行验证,防止CSRF风险
		String Referer= httpRequest.getHeader("Referer");
		//...省略

		// 4.时间戳判断
		String url = httpRequest.getRequestURI().substring(httpRequest.getContextPath().length());
		if ((url.startsWith("/")) && (url.length() > 1)) {
			url = url.substring(1).split("/")[0];
		}
		String cl_token_id = httpRequest.getParameter("QW");
		//...省略
  

		// 5. 判断用户是否登录及失效
		String iscUserId = httpRequest.getParameter("userId");
		if ((iscUserId == null) || ("".equals(iscUserId) || ("undefined".equals(iscUserId)))) {
			System.out.println("没有登录,请联系管理员");
			httpResponse.setStatus(403);
			authorizeState = "userId is null";
			try {
				jsonObject.put("resultHint", authorizeState);
				jsonObject.put("successful", false);
				jsonObject.put("resultValue", "");
				jsonObject.put("type", "error");
				pw = httpResponse.getWriter();
				pw.write(jsonObject.toString());
			} catch (IOException | JSONException e) {
				e.printStackTrace();
			} finally {
				pw.flush();
				pw.close();
			}
			return;
		}
		
		Boolean hasKey = this.redisTemplate.hasKey(iscUserId);
		if (!hasKey.booleanValue()) {
			System.out.println("用户信息失效");
			httpResponse.setStatus(403);
			authorizeState = "userInfo is null";
			try {
				jsonObject.put("resultHint", authorizeState);
				jsonObject.put("successful", false);
				jsonObject.put("resultValue", "");
				jsonObject.put("type", "error");
				pw = httpResponse.getWriter();
				pw.write(jsonObject.toString());
			} catch (IOException | JSONException e) {
				e.printStackTrace();
			} finally {
				pw.flush();
				pw.close();
			}
			return;
		}
		this.redisTemplate.expire(iscUserId, EXPIRE_TIME.intValue(), TimeUnit.MINUTES); 

		chain.doFilter(httpRequest, httpResponse);
	}
 
    @Override
    public void destroy() {
 
    }
 
   
 
}

 

 

package fhm;

import java.util.List;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

/**
 * 服务器白名单列表
 */
@Component
public class TestWhiteListUtil {
	
	@Value("${Host.whiteList}")
    private String hostWhiteList;
	
	private static Logger log = LoggerFactory.getLogger(TestWhiteListUtil.class);

	/**
	 * 判断当前host是否在白名单内
	 * @param host 待查host
	 */
	public boolean isWhiteHost(String host) {
		String[] whiteList = hostWhiteList.split(",");
		if (whiteList == null || whiteList.length == 0) {
			return true;
		}
		for (Object str : whiteList) {
			if (str != null && str.equals(host)) {
				return true;
			}
		}
		return false;
	}
	
	/**
	 * Origin跨域访问
	 * @param Origin
	 * @return
	 */
	public boolean isWhiteOrigin(String Origin) {
		//...省略
		return false;
	}
	/**
	 * 对数据请求中的referer值进行验证,防止CSRF风险
	 * @param Referer
	 * @return
	 */
	public boolean isWhiteReferer(String Referer) {
		//...省略
		return false;
	}
	
	
}

 

Java架构师安全架构设计
赵广陆
10-11 279
目录 1 导学 2 安全概述和威胁分析 2.1 保障外部访问系统的通信协议和通道安全 2.2 保障服务器软硬件环境的安全 2.3 保障服务运行的网络环境的安全 2.4 保障应用本身的安全 2.5 应用数据的安全 2.6 抵御攻击 3 安全设计原则 3.1 多种防御机制综合运用 3.2 最小权限原则 3.3 安全始于设计 3.4 注定失效 3.5 适用性原则 3.6 遵循开放性设计的原则 4 外部安全架构体系 4.1 外部访问安全分析 4.1.1 HTTP和HTTPS 4.1.2 防火墙
java 过滤器实现
23号员工的博客
08-12 1401
1 编写一个类实现Filter public class filtertest implements Filter{ //服务器关闭时调用 @Override public void destroy() { // TODO Auto-generated method stub } @Override ...
java后台登陆的过滤
念过往,不忘伊人!
10-11 458
package com.admin.filter; import java.io.IOException; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import javax
http安全 Java_在java配置中添加http安全过滤器
weixin_42627459的博客
02-18 355
您是否对所有的Spring Security感兴趣,忽略URL,还是只希望该特定的过滤器忽略该请求?如果您希望所有Spring Security忽略该请求,可以使用以下方法:@Configuration@EnableWebSecurity@Import(MyAppConfig.class)public class MySecurityConfig extends WebSecurityConfig...
使用Java过滤器编写简单的登陆安全控制
Landscape_的博客
12-04 638
Filter简介Filter也称之为过滤器,它是Servlet技术中最实用的技术,Web开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件或静态 html 文件等进行拦截,从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。 它主要用于对用户请求进行预处理,也可以对HttpServletRe
JavaWeb 三大组件之 过滤器 Filter
爱笑的boy的博客
03-20 931
JavaWeb 三大组件之 过滤器 Filter 1.官方文档 链接:https://pan.baidu.com/s/1Hk8Aq8Nk9_P1ucmaP4g3qA 提取码:5kni 2.Filter 过滤器说明 1.为啥要过滤器-需求示意图 ●一图胜千言 2.过滤器介绍 1.Filter 过滤器它是 JavaWeb 的三大组件之一(Servlet 程序、Listener 监听器、Filter 过滤器) 2.Filter 过滤器JavaEE 的规范,是接口 3.Filter 过滤器它的作.
java敏感词过滤功能
04-20
项目的核心是通过Java编程实现敏感词的检测和替换,确保信息的安全和合规性。 `SensitiveWordFilter.java`:这个文件很可能是敏感词过滤的主要实现类,它可能包含了对敏感词库的读取、敏感词匹配算法以及过滤策略...
java web过滤器案列
07-02
Java Web过滤器Java Servlet技术的一部分,用于在请求被Servlet处理之前或之后对请求进行预处理和后处理。它们在Web应用程序中起着至关重要的作用,可以用来实现各种功能,如登录验证、字符编码转换、日志记录、...
郑州数字马力面试(后台java)经验
09-28
### 郑州数字马力面试经验(后台Java) #### 一、面试背景及流程 本次面试为郑州数字马力公司的后台Java开发岗位,共分为三轮面试:两轮技术面试和一轮HR面试。以下是对面试中涉及到的技术知识点进行的详细解析。 ...
Java 后端开发实践 - 项目模板(16 步)
weixin_70730532的博客
05-18 2261
在我的工作中,我从零开始搭建了不少软件项目,其中包含了基础代码框架和持续集成基础设施等,这些内容在敏捷开发中通常被称为“第0个迭代”要做的事情。但是,当项目运行了一段时间之后再来反观,我总会发现一些不足的地方,要么测试分类没有分好,要么基本的编码架子没有考虑周全。 另外,我在工作中也会接触到很多既有项目,公司内部和外部的都有,多数项目的编码实践我都是不满意的。比如,我曾经新加入一个项目的时候,前前后后请教了3位同事才把该项目在本地运行起来;又比如在另一项目中,我发现前端请求对应的Java类命名规范...
java中filter的用法(过滤器
09-14
java中filter的用法(过滤器),介绍各种过滤方法
java过滤器防sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
java中文过滤器以及安全过滤器
yjw3160的专栏
07-30 627
首先 建一个名为SetEncodingFilter的普通类,让其继承HttpServlet实现Filter类内容如下: /* ×中文过滤器 */public class SetEncodingFilter extends HttpServlet implements Filter { protected String encoding = null; protected boolean i
后台开发学习——Servlet过滤器
Remoa的休闲茶馆
09-29 955
后台开发学习——Servlet过滤器 1、过滤器(Filter) (1)Servlet过滤器本身不产生请求和响应对象,能够对Servlet容器的请求和响应对象进行检查和修改。 (2)在调用前检查request对象,修改request header和request内容;在调用后检查response对象,修改response header和response内容,提供过滤作用。 (3)Ser
后端过滤器的实现,
weixin_34206899的博客
12-09 360
javaEE过滤器的实现分为两步走 1.(1).在相应的类中也就是你的过滤器类中拱写相应的代码, 注意:,这个类要继承Filter这个接口, 主要的代码是在dofilter这个方法中实现的,,大致思路是这样的,从session中取出用户的登录对象 然后进行判断如果这个对象不为空,...
用Filter过滤器实现前后台的分离
weixin_45872600的博客
08-17 740
过滤器导包要import javax.servlet.Filter package Filter; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class ManagerFilter implements Filter { @Override public void doFilter(ServletRequest s.
Java过滤器—Filter用法简介
weixin_34223655的博客
05-13 1882
一.什么是Filter?Filter译为过滤器。由于Servlet规范是开放的,借助于公众与开源社区的力量,Servlet规范越来越科学,功能也越来越强大。2000年,Sun公司在Servlet2.3规范中添加了Filter功能,并在Servlet2.4中对Filter进行了细节上的补充。二.运行原理:当客户端向服务器端发送一个请求时,如果有对应的过滤器进行拦截...
后端登录校验——Filter过滤器和Interceptor拦截器
最新发布
m0_73991249的博客
07-09 1725
外部请求是一个乘客,买了一张高铁票要上高铁Filter就是高铁检票的N多个闸机,它就固定在那,你要进去大厅、进站台就得被它拦一次然后DispatcherServlet就是站台,你终于通过重重难关来到站台,等待高铁到来然后坐到座位Interceptor就是检票员,你终于准备要找到高铁座位,准备坐下,Interceptor检票员就动态随机的出现在你面前,要检查你的高铁票,发现你是逃票、站票就让你滚一边呆着,是坐票你就坐着。
业务层、过滤器
weixin_55288991的博客
09-08 150
1) DAO中的方法都是单精度方法(或者称为细粒度方法)。4.向系统消息表新增一条记录(某某某新用户注册了,需要根据通讯录信息向他的联系人推送信息) - DAO中的insert操作。二、过滤器Filter 即: 客户端发请求 -->过滤 -->服务器 -->过滤 -->客 户端。- 如果采取的是注解的方式进行配置,那么过滤器的拦截是按照全类名的先后顺序排序的(A B C)2) BO中的方法属于业务方法,实际的业务是比较复杂的,因此业务方法的粒度是比较粗的。
Java实战项目案例学习:Storm Trident论坛源码解析
- DiseaseFilter.java:可能是一个过滤器,用于过滤和处理特定的疾病数据。 - OutbreakTrendFactory.java:可能负责创建疾病爆发趋势对象的工厂类。 - DefaultCoordinator.java:可能负责在Storm拓扑中协调各个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值