【安全检测】Java后台项目的过滤器

最新推荐文章于 2023-05-30 18:35:30 发布
最新推荐文章于 2023-05-30 18:35:30 发布
阅读量307 收藏
点赞数
分类专栏: Java springcloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34169240/article/details/108407176
版权

【安全检测】Java后台项目的过滤器:用户是否登录、头攻击、会话重放等

 

package fhm;



import java.io.IOException;
import java.io.PrintWriter;
import java.util.Date;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.json.JSONException;
import org.json.JSONObject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;

 
//@Order(2)
@Component
@WebFilter(filterName = "myFilter", urlPatterns = {"/*"})
public class myFilter implements Filter {
 
	private static Logger log = LoggerFactory.getLogger(myFilter.class);
	@Autowired
	private TestWhiteListUtil whiteUtils;
	 
	@Autowired
    private RedisTemplate<String, Object> redisTemplate;
	private static final Integer EXPIRE_TIME = Integer.valueOf(30);
	
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
 
    @Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest httpRequest = (HttpServletRequest) request;
		HttpServletResponse httpResponse = (HttpServletResponse) response;
		httpResponse.setCharacterEncoding("UTF-8");
		httpResponse.setContentType("application/json; charset=utf-8");
		httpResponse.setHeader("Access-Control-Allow-Origin", "*");

		JSONObject jsonObject = new JSONObject();
		PrintWriter pw = null;
		String authorizeState = "error message..";

		// 1.头攻击检测:Host
		String host= httpRequest.getHeader("host");
		if (host!= null && !whiteUtils.isWhiteHost(host)) {
			httpResponse.setStatus(403);
			log.warn("头攻击 requestHost:" + host);
			authorizeState = "Head attack in progress...";
			try {
				jsonObject.put("resultHint", authorizeState);
				jsonObject.put("successful", false);
				jsonObject.put("resultValue", "");
				jsonObject.put("type", "error");
				pw = httpResponse.getWriter();
				pw.write(jsonObject.toString());

			} catch (IOException | JSONException e) {
				e.printStackTrace();
			} finally {
				pw.flush();
				pw.close();
			}
			return;
		}

		// 2.Origin跨域访问检测
		String Origin= httpRequest.getHeader("Origin");
		//...省略 

		// 3.对数据请求中的referer值进行验证,防止CSRF风险
		String Referer= httpRequest.getHeader("Referer");
		//...省略

		// 4.时间戳判断
		String url = httpRequest.getRequestURI().substring(httpRequest.getContextPath().length());
		if ((url.startsWith("/")) && (url.length() > 1)) {
			url = url.substring(1).split("/")[0];
		}
		String cl_token_id = httpRequest.getParameter("QW");
		//...省略
  

		// 5. 判断用户是否登录及失效
		String iscUserId = httpRequest.getParameter("userId");
		if ((iscUserId == null) || ("".equals(iscUserId) || ("undefined".equals(iscUserId)))) {
			System.out.println("没有登录,请联系管理员");
			httpResponse.setStatus(403);
			authorizeState = "userId is null";
			try {
				jsonObject.put("resultHint", authorizeState);
				jsonObject.put("successful", false);
				jsonObject.put("resultValue", "");
				jsonObject.put("type", "error");
				pw = httpResponse.getWriter();
				pw.write(jsonObject.toString());
			} catch (IOException | JSONException e) {
				e.printStackTrace();
			} finally {
				pw.flush();
				pw.close();
			}
			return;
		}
		
		Boolean hasKey = this.redisTemplate.hasKey(iscUserId);
		if (!hasKey.booleanValue()) {
			System.out.println("用户信息失效");
			httpResponse.setStatus(403);
			authorizeState = "userInfo is null";
			try {
				jsonObject.put("resultHint", authorizeState);
				jsonObject.put("successful", false);
				jsonObject.put("resultValue", "");
				jsonObject.put("type", "error");
				pw = httpResponse.getWriter();
				pw.write(jsonObject.toString());
			} catch (IOException | JSONException e) {
				e.printStackTrace();
			} finally {
				pw.flush();
				pw.close();
			}
			return;
		}
		this.redisTemplate.expire(iscUserId, EXPIRE_TIME.intValue(), TimeUnit.MINUTES); 

		chain.doFilter(httpRequest, httpResponse);
	}
 
    @Override
    public void destroy() {
 
    }
 
   
 
}

 

 

package fhm;

import java.util.List;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

/**
 * 服务器白名单列表
 */
@Component
public class TestWhiteListUtil {
	
	@Value("${Host.whiteList}")
    private String hostWhiteList;
	
	private static Logger log = LoggerFactory.getLogger(TestWhiteListUtil.class);

	/**
	 * 判断当前host是否在白名单内
	 * @param host 待查host
	 */
	public boolean isWhiteHost(String host) {
		String[] whiteList = hostWhiteList.split(",");
		if (whiteList == null || whiteList.length == 0) {
			return true;
		}
		for (Object str : whiteList) {
			if (str != null && str.equals(host)) {
				return true;
			}
		}
		return false;
	}
	
	/**
	 * Origin跨域访问
	 * @param Origin
	 * @return
	 */
	public boolean isWhiteOrigin(String Origin) {
		//...省略
		return false;
	}
	/**
	 * 对数据请求中的referer值进行验证,防止CSRF风险
	 * @param Referer
	 * @return
	 */
	public boolean isWhiteReferer(String Referer) {
		//...省略
		return false;
	}
	
	
}

 

付月半子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 过滤器实现
23号员工的博客
08-12 1345
1 编写一个类实现Filter public class filtertest implements Filter{ //服务器关闭时调用 @Override public void destroy() { // TODO Auto-generated method stub } @Override ...
使用Java过滤器编写简单的登陆安全控制
Landscape_的博客
12-04 610
Filter简介Filter也称之为过滤器,它是Servlet技术最实用的技术,Web开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件或静态 html 文件等进行拦截,从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。 它主要用于对用户请求进行预处理,也可以对HttpServletRe
java后台登陆的过滤
念过往,不忘伊人!
10-11 434
package com.admin.filter; import java.io.IOException; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import javax
http安全 Java_在java配置添加http安全过滤器
weixin_42627459的博客
02-18 310
您是否对所有的Spring Security感兴趣,忽略URL,还是只希望该特定的过滤器忽略该请求?如果您希望所有Spring Security忽略该请求,可以使用以下方法:@Configuration@EnableWebSecurity@Import(MyAppConfig.class)public class MySecurityConfig extends WebSecurityConfig...
JavaWeb 三大组件之 过滤器 Filter
爱笑的boy的博客
03-20 887
JavaWeb 三大组件之 过滤器 Filter 1.官方文档 链接:https://pan.baidu.com/s/1Hk8Aq8Nk9_P1ucmaP4g3qA 提取码:5kni 2.Filter 过滤器说明 1.为啥要过滤器-需求示意图 ●一图胜千言 2.过滤器介绍 1.Filter 过滤器它是 JavaWeb 的三大组件之一(Servlet 程序、Listener 监听器、Filter 过滤器) 2.Filter 过滤器JavaEE 的规范,是接口 3.Filter 过滤器它的作.
java敏感词过滤功能
04-20
项目的核心是通过Java编程实现敏感词的检测和替换,确保信息的安全和合规性。 `SensitiveWordFilter.java`:这个文件很可能是敏感词过滤的主要实现类,它可能包含了对敏感词库的读取、敏感词匹配算法以及过滤策略...
java web过滤器案列
07-02
Java Web过滤器Java Servlet技术的一部分,用于在请求被Servlet处理之前或之后对请求进行预处理和后处理。它们在Web应用程序起着至关重要的作用,可以用来实现各种功能,如登录验证、字符编码转换、日志记录、...
好用的过滤器,信不信由你
04-22
根据给定的信息,本文将详细解释两个主要的Java Web过滤器:`ForceNoCacheFilter` 和 `CheckLoginFilter` 的工作原理与应用方法。 ### 一、`ForceNoCacheFilter` 过滤器 #### 1. 功能概述 `ForceNoCacheFilter` 是...
java AXMLPrinter.zip
04-04
每个组件都有自己的标签和属性,如Intent过滤器,决定了它们如何响应用户的操作或系统事件。 3. **权限请求**:应用需要获取哪些系统权限,例如访问联系人、发送短信或读取设备存储等。 4. **依赖关系**:如果应用...
123.zip_Java_
08-10
我们需要创建一个自定义的BroadcastReceiver,并在其注册对相应Intent过滤器的监听。 2. **电话状态监听**:使用TelephonyManager类,它可以提供关于设备电话功能的信息,包括当前的电话状态(例如IDLE,OFFHOOK...
javafilter的用法(过滤器
09-14
javafilter的用法(过滤器),介绍各种过滤方法
java过滤器防sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
java过滤器以及安全过滤器
yjw3160的专栏
07-30 604
首先 建一个名为SetEncodingFilter的普通类,让其继承HttpServlet实现Filter类内容如下: /* ×过滤器 */public class SetEncodingFilter extends HttpServlet implements Filter { protected String encoding = null; protected boolean i
后台开发学习——Servlet过滤器
Remoa的休闲茶馆
09-29 865
后台开发学习——Servlet过滤器 1、过滤器(Filter) (1)Servlet过滤器本身不产生请求和响应对象,能够对Servlet容器的请求和响应对象进行检查和修改。 (2)在调用前检查request对象,修改request header和request内容;在调用后检查response对象,修改response header和response内容,提供过滤作用。 (3)Ser
后端过滤器的实现,
weixin_34206899的博客
12-09 341
javaEE过滤器的实现分为两步走 1.(1).在相应的类也就是你的过滤器拱写相应的代码, 注意:,这个类要继承Filter这个接口, 主要的代码是在dofilter这个方法实现的,,大致思路是这样的,从session取出用户的登录对象 然后进行判断如果这个对象不为空,...
用Filter过滤器实现前后台的分离
weixin_45872600的博客
08-17 662
过滤器导包要import javax.servlet.Filter package Filter; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class ManagerFilter implements Filter { @Override public void doFilter(ServletRequest s.
Java过滤器—Filter用法简介
weixin_34223655的博客
05-13 1857
一.什么是Filter?Filter译为过滤器。由于Servlet规范是开放的,借助于公众与开源社区的力量,Servlet规范越来越科学,功能也越来越强大。2000年,Sun公司在Servlet2.3规范添加了Filter功能,并在Servlet2.4对Filter进行了细节上的补充。二.运行原理:当客户端向服务器端发送一个请求时,如果有对应的过滤器进行拦截...
业务层、过滤器
weixin_55288991的博客
09-08 121
1) DAO的方法都是单精度方法(或者称为细粒度方法)。4.向系统消息表新增一条记录(某某某新用户注册了,需要根据通讯录信息向他的联系人推送信息) - DAO的insert操作。二、过滤器Filter 即: 客户端发请求 -->过滤 -->服务器 -->过滤 -->客 户端。- 如果采取的是注解的方式进行配置,那么过滤器的拦截是按照全类名的先后顺序排序的(A B C)2) BO的方法属于业务方法,实际的业务是比较复杂的,因此业务方法的粒度是比较粗的。
后端过滤器基础
最新发布
Dreamgeek的博客
05-30 662
随着前端单页应用的兴起,我们通常会在前端使用Vue等框架来进行开发,同时在后端也会使用过滤器(Filter)来处理用户请求。本文将会详细介绍后端过滤器和前端Vue过滤器的概念、使用方法和应用场景以及两者之间的异同。后端过滤器和前端 Vue 过滤器都是非常实用的工具,它们可以分别用于服务端和客户端的数据处理。在实际开发,我们可以根据具体需求,结合使用这两种过滤器,以便更好地增强系统的功能和用户体验。
JAVA Servlet过滤器详解与应用实践
"JAVA_Servlet过滤器Java Web开发的...Servlet过滤器Java Web开发的强大工具,通过它可以实现多种功能,提高应用程序的安全性和用户体验。理解并熟练运用过滤器,对于提升Web应用的健壮性和可维护性至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值