jfinal 检测到目标URL存在http host头攻击漏洞的解决方法

最新推荐文章于 2024-06-28 16:10:48 发布
最新推荐文章于 2024-06-28 16:10:48 发布
阅读量633 收藏 2
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41182238/article/details/105858515
版权

记录

编写handler 来对此漏洞进行修复

注:JFinal的 Handler是 AOP + 责任链 模式的一个变种,JFinal对action及interceptor处理自身也是一个Handler名叫ActionHandler,可见其功能之强大。平时开发的时候一般不需要使用,当Action与Interceptor还不够用的时候可以考虑Handler上场。另外Handler可以替代Filter,你无需在web.xml 中再声明Filter了。举几个应用的例子吧:1:网站改版,需要在新网站上兼容老网站上的url时能用到,只需要在Handler中将老网站url转换成新的就可以了。2:防恶意抓取可以使用Handler分析请求规律并封锁ip地址。3:如果你想自创一套路由规则可以用Handler。 如果你要做网站访问日志也可以使用Handler。Handler 可以接管所有请求,所以是无所不能的,你甚至可以基于 Handler 再扩展出一套自己的web 框架 😃
直接上代码(hanlder 内容):



package com.gdszgl.common.handler;

import com.jfinal.handler.Handler;
import com.jfinal.kit.HandlerKit;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**ren
 */
public class HttpHostHandler  extends Handler {


	public HttpHostHandler() {
		System.out.println("头部host过滤已启动--------------------------");
	}

	public void handle(String target, HttpServletRequest request, HttpServletResponse response, boolean[] isHandled) {
	    //检测到会话cookie中缺少HttpOnly属性的问题解决
		response.setHeader( "Set-Cookie", "name=value; HttpOnly");

		//点击劫持:X-Frame-Options 配置
		response.addHeader("x-frame-options","SAMEORIGIN");
		
		System.out.println("头部host 过滤开始--------------------------");
		String host=request.getHeader("host");
		if(host!=null&&checkHost(host)==true){
			System.out.println("头部host 过滤结束--------------------------");
			next.handle(target, request, response, isHandled);
		}else{
			HandlerKit.renderError404(request, response, isHandled);
			System.out.println("头部host 过滤结束--------------------------");
			return;
		}
	}

	private boolean checkHost(String host){
		if(host.contains("xx.xx.xx.xx")){//此处为自己网站的主机地址
			return true;
		}
		return true;
	}
}

MainConfig 启动类的内容。

 //处理头部host 的问题
    me.add(new HttpHostHandler());

博客参考
检测到目标URL存在http host头攻击漏洞(中风险) 文章

记录到这里,欧克!

@ren
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jfinal对xss漏洞的处理
huangbaokang的博客
12-11 768
在我们的jfinal配置类当中,配置自定义Handler public void configHandler(Handlers handler) { //handler.add(我们自定义handler的实例) handler.add(new XssHandler()); } 新建XssHandler类,继承com.jfinal.handler.Handler public class XssHandler extends Handler{ @Overr
java 中JFinal getModel方法和数据库使用出现问题解决办法
08-30
总的来说,解决JFinal中`getModel`方法和数据库使用的问题,关键在于理解Model对象的生命周期以及其在数据库操作中的角色。正确配置数据库连接,遵循命名规则,以及区分查询和数据操作的对象,可以避免很多常见的...
Jfinal CMS命令注入漏洞
MoLeft's Blog
12-21 1778
如果后台存在任何文件上传漏洞,则可以将此文件替换为包含payload的文件,以触发 fastjson 反序列化。来解析文件内容,这里的文件内容是可控的,只需将文件内容替换为payload即可。登录后台,找到模板管理,后台默认账号密码admin/admin123456。在 kali 上运行该工具,启动 rmi 和 ldap 服务。替换payload中的rmi或ldap地址,然后保存到。测试中使用的JDK版本:JDK8u101。jfinal_cms版本:5.0.1。类的构造方法中实例化。
JFinalcms 5.0.0代码审计(1)
最新发布
weixin_44513407的博客
06-28 658
JFinalcms代码审计
Jfinal cms前台评论XSS漏洞分析
weixin_30535043的博客
05-14 533
Jfinal cms采用Java语言开发,官方代码仓库为:https://gitee.com/jflyfox/jfinal_cms。 Jfinal cms前台评论处存在XSS漏洞,以v4.6版本为例,下面是简单的漏洞分析。 首先来看如何利用此漏洞。 第一步:填写payload 在新闻评论的地方填写如下payload:abcd<img src="/xswv.png" onerror="...
http host攻击漏洞校验,Java过滤器实现
weixin_43992507的博客
10-17 955
Java过滤器中 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req=(HttpServletRequest) request; // http host攻击漏洞校验 HttpServletResponse res = (HttpServ
jfinal获取url链接上面传来的string类型的值_短 URL 服务,怎么设计与实现?
weixin_39953102的博客
10-25 110
作者 | 呼延十来源 | http://t.cn/AilftMhR前言想必大家也经常收到垃圾短信吧...短信中的链接一般都是短链接,类似于下图这样:为什么这里面的url都是短的呢?有什么好处呢?怎么做到的呢?短url的好处有:短. 短信和许多平台(微博)有字数限制,太长的链接加进去都没有办法写正文了.好看. 比起一大堆不知所以的参数,短链接更加简洁友好.方便做一些统计.你点了链接会有人记录然后分析...
2.4.5 JFinal控制器详解_Http协议讲解.mp4
05-07
jfinal http协议
【绝对可行,解决404】jfinal项目打包成jar在控制台运行方法
04-17
对于基于JFinal的Web应用,这个过程可能会遇到一些挑战,因为JFinal是轻量级的Java Web框架,其部署方式与传统的Maven或Gradle项目有所不同。本文将详细介绍一个非Maven项目的JFinal应用如何打包成JAR,并在控制台上...
JFinal实现伪静态的方法
08-27
对于传递参数的问题,JFinal提供了一种方法来处理带有参数的伪静态URL。例如,如果要传递参数`culture=123`,可以将URL写为`casepage.html?culture=123`。在后台,可以通过标准的Servlet API或者JFinal提供的便利...
使用jfinal框架像裁剪上传
08-05
JFinal是一个基于Java的高性能MVC框架,它的设计目标是简化开发,提高开发效率。其核心特性包括零配置、模块化设计、插件化开发等,使得开发者可以快速构建Web应用。 要实现像上传,我们首先需要在前端创建一个...
jfinal获取url链接上面传来的string类型的值_SSRF漏洞攻击Redis-从零到获取Shell(脚本+视频)...
weixin_39951018的博客
10-22 1111
!!!文末有视频讲解!!!一、本节课程需要的主机Kali2.0Windows Server2003二、本节课需要的工具Redisncwiresharktcpdumppython2.7docker三、文章目录0x01 Redis基础0x02 Redis入侵,反弹shell0x03 Redis认证攻击0x04 写ssh-keygen公钥,使用私钥登陆0x05 写webshell0x01 Redis基础...
jfinal js 拦截_JFinal 访问指定url时,默认访问该url下的index.html
weixin_29801567的博客
02-17 318
背景:使用arcgis的jsapi进行gis的开发下载了arcgis的sdk(不能用 file://的方式直接访问 需要用http://的方式进行访问)所以我把 sdk解压到了我的项目 project/WebContent/sdk 下问题:因为sdk包含api和各种demo的示例。arcgis在html里面写连接的时候不会写明 http://xxx/sdk/index.html 只写 http:/...
jfinal路由简单解析
weixin_30430169的博客
08-13 120
jfinal中,通过JFinalFilter对所有的类进行过滤。 以下是路由的调用关系(我在调用关系旁边做了标记,会贴出具体的代码和解释): -1- Config: Routes -2- Interceptors Handlers -3- public void init(){ createJFinalConfig ...
不要再造轮子了:聊一聊 JavaScript 的 URL 对象是什么?
葡萄城技术团队博客
12-05 585
本文由葡萄城技术团队于CSDN翻译并首发 转载请注明出处:葡萄城官网,葡萄城为开发者提供专业的开发工具、解决方案和服务,赋能开发者。 如果我们自己编写从URL分析和提取元素的代码,那么有可能会比较痛苦和麻烦。程序员作为这个社会中最“懒”的群体之一,无休止的重复造轮子必然是令人难以容忍的,所以大多数浏览器的标准库中都已经内置了URL对象。 那么现在,有了它,我们就可以将URL字符串...
jfinal_sql注入问题解决
weixin_30566063的博客
03-01 865
sql注入(百度的): 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露...
jfinal框架中防跨站脚本XSS攻击
志全的博客
07-27 941
跨站脚本攻击(XSS) Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 问题解决: 对于Jfinal轻量级框架解决方式从框架根本从特殊字符转义入手。 1、处理器配置初始化 public void configHandler(Handlers me) { XssHandler xssHan...
JFinal2.2自动生成SQLServer2012其中的一些bug
weixin_34220623的博客
01-21 90
2019独角兽企业重金招聘Python工程师标准>>> ...
jfinal xss过滤以及url注入漏洞的问题
qq_41182238的博客
04-29 1269
这里参考jfinal社区的xss处理方式这里简单记录一下。 1.首先:创建XssHandler 代码如下: package com.gdszgl.common.handler; import com.jfinal.handler.Handler; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.Http...
JFinal入门到精通教程
"Jfinal教程,詹波,版本1.8,2014-05-23,JFinal开发文档,涵盖了从基础到高级的JFinal框架使用指南,包括快速上手、JFinalConfig配置、Controller操作、Interceptor拦截器、ActiveRecord模型操作、EhCache缓存和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值