[SpringSecurity5.6.2源码分析十]:HeaderWriterFilter

最新推荐文章于 2023-09-20 17:37:37 发布
最新推荐文章于 2023-09-20 17:37:37 发布
阅读量122 收藏
点赞数
文章标签: spring boot 开源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41662584/article/details/132918806
版权

前言

  • 为了安全考虑,添加启用浏览器保护的某些头是很有用的,比如X-Frame-Options, X-XSS-Protection和X-Content-Type-Options
  • 而HeaderWriterFilter就支持往响应头写入各种响应头

1、HeadersConfigurer

  • HeadersConfigurer是HeaderWriterFilter对应的配置类, 是在获取HttpSecurity的时候默认开启的,也可以通过HttpSecurity.headers()手动开启

1.1 主要方法

  • 这个配置类主要就是为了注册HeaderWriter。分为两种配置方式,一种是用户自定义,一种是官方提供的
    • HeaderWriter:负责写入响应头的类
  • 第一种:
public HeadersConfigurer<H> addHeaderWriter(HeaderWriter headerWriter) {
   Assert.notNull(headerWriter, "headerWriter cannot be null");
   this.headerWriters.add(headerWriter);
   return this;
}
  • 第二种:
/**
 * 下面全是头部写入器的配置类
 * 配置类是全部都new出来的,但是里面的头部写入器可能并没有开启
 */
private final ContentTypeOptionsConfig contentTypeOptions = new ContentTypeOptionsConfig();

private final XXssConfig xssProtection = new XXssConfig();

private final CacheControlConfig cacheControl = new CacheControlConfig();

private final HstsConfig hsts = new HstsConfig();

private final FrameOptionsConfig frameOptions = new FrameOptionsConfig();

private final HpkpConfig hpkp = new HpkpConfig();

private final ContentSecurityPolicyConfig contentSecurityPolicy = new ContentSecurityPolicyConfig();

private final ReferrerPolicyConfig referrerPolicy = new ReferrerPolicyConfig();

private final FeaturePolicyConfig featurePolicy = new FeaturePolicyConfig();

private final PermissionsPolicyConfig permissionsPolicy = new PermissionsPolicyConfig();

1.2 构建流程

  • HeadersConfigurer只重写了configure(…)方法:内部就是创建过滤器
@Override
public void configure(H http) {
   HeaderWriterFilter headersFilter = createHeaderWriterFilter();
   http.addFilter(headersFilter);
}
  • HeaderWriterFilter中的头部写入器 = 用户自定义 + 默认配置类中开启的

/**
 * 获得头部写入器
 */
private HeaderWriterFilter createHeaderWriterFilter() {
   //获得所有的头部写入器
   List<HeaderWriter> writers = getHeaderWriters();
   if (writers.isEmpty()) {
      throw new IllegalStateException(
            "Headers security is enabled, but no headers will be added. Either add headers or disable headers security");
   }
   HeaderWriterFilter headersFilter = new HeaderWriterFilter(writers);
   headersFilter = postProcess(headersFilter);
   return headersFilter;
}

/**
 * 获得所有的头部写入器
 */
private List<HeaderWriter> getHeaderWriters() {
   //添加默认头部写入器(也需要开启的)
   List<HeaderWriter> writers = new ArrayList<>();
   addIfNotNull(writers, this.contentTypeOptions.writer);
   addIfNotNull(writers, this.xssProtection.writer);
   addIfNotNull(writers, this.cacheControl.writer);
   addIfNotNull(writers, this.hsts.writer);
   addIfNotNull(writers, this.frameOptions.writer);
   addIfNotNull(writers, this.hpkp.writer);
   addIfNotNull(writers, this.contentSecurityPolicy.writer);
   addIfNotNull(writers, this.referrerPolicy.writer);
   addIfNotNull(writers, this.featurePolicy.writer);
   addIfNotNull(writers, this.permissionsPolicy.writer);

   //添加用户注册的头部写入器
   writers.addAll(this.headerWriters);
   return writers;
}

2、HeaderWriterFilter

2.1 doFilterInternal(…)

  • 我们直接看doFilterInternal(…)方法:可以看出过滤器支持在请求的前后写入响应头
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
      throws ServletException, IOException {
   //是否在请求的开始就写头
   if (this.shouldWriteHeadersEagerly) {
      doHeadersBefore(request, response, filterChain);
   }
   else {
      doHeadersAfter(request, response, filterChain);
   }
}
  • doHeadersBefore(…):此方法就是调用HeaderWriter写入响应头,然后执行后续的过滤器
private void doHeadersBefore(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
      throws IOException, ServletException {
   writeHeaders(request, response);
   filterChain.doFilter(request, response);
}
  • doHeadersAfter(…):此方法稍微复杂点,这里包装了request和response
private void doHeadersAfter(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
      throws IOException, ServletException {
   //将response包装为HeaderWriterResponse是为了在执行过程中就可以进行头部写入
   HeaderWriterResponse headerWriterResponse = new HeaderWriterResponse(request, response);
   HeaderWriterRequest headerWriterRequest = new HeaderWriterRequest(request, headerWriterResponse);
   try {
      filterChain.doFilter(headerWriterRequest, headerWriterResponse);
   }
   finally {
      headerWriterResponse.writeHeaders();
   }
}
  • 我们主要看下HeaderWriterResponse的源码,主要就是重写了onResponseCommitted()方法
class HeaderWriterResponse extends OnCommittedResponseWrapper {

   private final HttpServletRequest request;

   HeaderWriterResponse(HttpServletRequest request, HttpServletResponse response) {
      super(response);
      this.request = request;
   }

   /**
    * 此方法可以直接调用
    * 比如说Controller中执行response.(include,sendError, redirect, flushBuffer)的时候,此方法就会执行
    */
   @Override
   protected void onResponseCommitted() {
      writeHeaders();
      this.disableOnResponseCommitted();
   }

   protected void writeHeaders() {
      if (isDisableOnResponseCommitted()) {
         return;
      }
      HeaderWriterFilter.this.writeHeaders(this.request, getHttpResponse());
   }

   private HttpServletResponse getHttpResponse() {
      return (HttpServletResponse) getResponse();
   }

}

2.2 shouldWriteHeadersEagerly

  • 前面我们提到了HeaderWriter的执行顺序是通过shouldWriteHeadersEagerly这个标志位来决定,但是这个标志位不可以在HeadersConfigurer中直接配置
  • 但是我们前面提到了所有的过滤器都有一个基于ObjectPostProcessor的回调方法,这个回调方法在HeadersConfigurer的createHeaderWriterFilter()方法中被调用

image.png

  • 我们再看postProcess(…)方法的源码:
    • 分析可知道这是遍历所有的ObjectPostProcessor,然后看有哪些ObjectPostProcessor的泛型和传入的object一样,一样就执行回调方法
public Object postProcess(Object object) {
   for (ObjectPostProcessor opp : postProcessors) {
      Class<?> oppClass = opp.getClass();
      Class<?> oppType = GenericTypeResolver.resolveTypeArgument(oppClass,
            ObjectPostProcessor.class);
      if (oppType == null || oppType.isAssignableFrom(object.getClass())) {
         object = opp.postProcess(object);
      }
   }
   return object;
}
  • 所以说我们可以通过以下的代码配置shouldWriteHeadersEagerly的值
http.headers().addObjectPostProcessor(new ObjectPostProcessor<HeaderWriterFilter>() {
   @Override
   public <O extends HeaderWriterFilter> O postProcess(O object) {
      HeaderWriterFilter filter = object;
      filter.setShouldWriteHeadersEagerly(true);
      return object;
   }
});
qq_41662584
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Security码解析--HeaderWriterFilter
程序员劝退师的博客
11-19 1128
概述 Spring Securty 使用该Filter在一个请求的处理过程中为响应对象增加一些头部信息。头部信息由外部提供,比如用于增加一些浏览器保护的头部,比如X-Frame-Options, X-XSS-Protection和X-Content-Type-Options等。 具体的做法是在请求到达的时候将传入的响应对象包装成一个具有头部写入能力的HeaderWriterResponse对象,HeaderWriterResponse所具备的头部写入能力是这样的 : HeaderWriterRespons
[4] HeaderWriterFilter
热门推荐
既无风雨也无晴
03-10 2万+
HeaderWriterFilter 介绍 HeaderWriterFilter是在请求前后写入一些往前请求头或者响应头写入一些信息,本身并不复杂。通过shouldWriteHeadersEagerly进行控制进行,在过滤执行前写入还是在过滤执行完写入。shouldWriteHeadersEagerly默认为false,可以通过配置添加ObjectPostProcessor的方式进行设置为tru...
SpringSecurity常用过滤器介绍
波波烤鸭的博客
12-05 4650
  本文我们来介绍下SpringSecurity中常用的过滤器及其加载的过程。 一、常用的过滤器   常用的过滤器有15个,分别如下: 1.org.springframework.security.web.context.SecurityContextPersistenceFilter   首当其冲的一个过滤器,非常重要 主要是使用SecurityContextRepository在session...
Spring Security Config : HttpSecurity安全配置器 HeadersConfigurer
Details Inside Spring
06-09 5564
概述 介绍 作为一个配置HttpSecurity的SecurityConfigurer,HeadersConfigurer的配置任务如下 : 配置如下安全过滤器Filter HeaderWriterFilter HeadersConfigurer自己内置定义了一组特定头部的配置类并允许使用者配置,这些配置类每个其实对应一个相应的头部写入器HeaderWriter。除此之外,Headers...
8、spring security拦截器之HeaderWriterFilter
u012153127的博客
06-24 778
HeaderWriterFilter:在请求前后写入一些header信息 @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { //shouldWriteHeadersEagerly:为true,则在请
SpringSecurity的默认Filter详解
最新发布
户伟伟的博客
09-20 888
SpringSecurity默认的Filter详解
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
Concrete5 CMS网站码 v5.6.2
04-02
Concrete5中文简体语言包,解压后请放在languages文件夹下,支持5.6.1.2和5.6.2版本 把鼠标放在顶部的 Dashboard(控制台)上面,不要点进去,会显示一个窗口,下面有这三个选项: News – Learn about your site and...
实验 5.6.2:RIP 配置练习
06-04
RIP 配置练习实验报告 本实验报告旨在指导学习者完成 RIP 配置练习,涵盖子网划分、RIP 配置、静态路由配置等基本知识点。 一、实验要求 * 根据指定的要求对地址空间划分子网 * 为接口分配适当的地址并在地址表中...
qt-everywhere-(qqqq)opensource-src-5.6.2.zip
07-05
linux下qt5.6.2码编译。
FastReport 5.6.2
10-03
不多说了,最好的报表控件,支持64位系统,无需任何DLL,最重要的我解决了在win10上打印预览窗口按钮显示的问题(有一条竖线)。懂的人自己拿去吧。
Spring Security之HeaderWriterFilter(八)
欢谷悠扬
07-08 1150
1.作用 这个主要是个response写安全响应头信息的。 默认主要包含五个头信息 第一个:org.springframework.security.web.header.writers.XContentTypeOptionsHeaderWriter 头信息:X-Content-Type-Options=nosniff 作用: 这个是帮助script 和 styleSheet 元素拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。 第二个:org.spr
Spring Security之Config模块详解(TODO)
来啊 快活啊
06-15 2万+
发博词由于软件开发中,要解决的安全的问题非常多且零碎,导致了Spring Security在配置项也很多,对于接触不久的人来说,可能本身安全方面的东西平时“工作生活”中就接触比较少,导致在学习Spring Security的过程中,有种剪不断理还乱的感觉。下面我们就通过Spring Security的Config模块的架构,来理清这个关系。Spring Security ConfigurerSpri
SpringSecurity框架专题》-02常用过滤器
08-26 481
文章目录1.常见的过滤器1.1.SecurityContextPersistenceFilter1.2.WebAsyncManagerIntegrationFilter1.3.HeaderWriterFilter1.4.CsrfFilter1.5.LogoutFilter1.6.UsernamePasswordAuthenticationFilter1.6.DefaultLoginPageGeneratingFilter1.8.DefaultLogoutPageGeneratingFilter1.9.Bas
Spring Security Config : HttpSecurity安全配置器 CorsConfigurer
Details Inside Spring
06-08 2834
概述 介绍 作为一个配置HttpSecurity的SecurityConfigurer,CorsConfigurer的配置任务如下 : 配置如下安全过滤器Filter CorsFilter 如果CorsConfigurer上设置了属性configurationSource,则基于它创建一个CorsFilter并使用; 否则如果名称为corsFilter的bean存在,则使用该CorsFilt...
Spring Security Web 5.1.2 码解析 -- HeaderWriterFilter
Details Inside Spring
12-05 1869
概述 Spring Securty 使用该Filter在一个请求的处理过程中为响应对象增加一些头部信息。头部信息由外部提供,比如用于增加一些浏览器保护的头部,比如X-Frame-Options, X-XSS-Protection和X-Content-Type-Options等。 具体的做法是在请求到达的时候将传入的响应对象包装成一个具有头部写入能力的HeaderWriterResponse对象,H...
Spring Security默认过滤链认识
nero_claudius的博客
01-15 1242
前言 最近重新学习了一下Spring Security,对整个认证流程有了一个自己的认识。但今天写的是一个前置的知识点,Spring Security启动后默认加载的一些过滤器,接着让我们来看看究竟是哪些 1 启动后过滤链总览 [main] o.s.s.web.DefaultSecurityFilterChain : Creating filter chain: org.springfra...
利用 HTTP Security Headers 提升站点安全性
码代码的陈同学
11-05 8816
欢迎访问陈同学博客原文 产品不断迭代,安全却很少关注,这在小团队司空见惯吗? 前两天拿到一份站点的安全检测报告: 例举几点: 你是否将 Mysql、Redis、Mongo 等端口暴露在公网? 你是否采用 22、3306这种极易被扫描的默认端口? 你是否强制使用 HTTPS?是否将HTTP重定向到了HTTPS? 你是否设置了 HTTP Security Headers? … 还有检测不出来的...
Spring Security原理学习--核心过滤器Filter(二)
井底之蛙
10-14 7392
在上一篇博客Spring Security原理学习--简介与示例(一)中已经简单介绍了Spring Security相关的东西, 这篇博客我们介绍一下Spring Security相关的实现机制  。首先Spring Security的认证功能是依赖Filter实现的,当然在认证功能基础上还提供了一些安全的验证等都是依赖Filter来实现完成的,如下截图Spring Security提供了13个功...
ERROR: Could not find a version that satisfies the requirement psutils==5.6.2 (from versions: none)
08-02
引用[1]:ERROR: Could not find a version that satisfies the requirement torch==1.6.0 cu101 (from versions: none)。 引用[2]:出现了报错 ERROR: Could not find a version that satisfies the requirement torch==1.6.0 cu101 (from versions: none) ERROR: No matching distribution found for torch==1.6.0 cu101。 引用[3]:我在安装pymysql的时候报错 ERROR: Could not find a version that satisfies the requirement pymysql==1.0.2 (from versions: none) ERROR: No matching distribution found for pymysql==1.0.2 解决办法是用镜像,这里我使用豆瓣镜像解决其他镜像都可以 pip install 库包名 -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com。 问题:ERROR: Could not find a version that satisfies the requirement psutils==5.6.2 (from versions: none) 回答: 当出现"ERROR: Could not find a version that satisfies the requirement"的错误时,这意味着你所要安装的库包的指定版本在当前的镜像中没有找到。解决这个问题的方法是使用其他镜像进行安装。你可以尝试使用豆瓣镜像来解决这个问题,命令为:pip install 库包名 -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com。在这个命令中,将"库包名"替换为你要安装的库包的名称,这样就可以使用豆瓣镜像来安装库包了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值