1.IFRAME框架中加载的页面 禁止URL直接访问

最新推荐文章于 2023-05-11 15:24:36 发布
最新推荐文章于 2023-05-11 15:24:36 发布
阅读量6.6k 收藏 2
点赞数
分类专栏: java小结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snn1410/article/details/80963388
版权

1.在jsp页面 会使用许多的iframe,用户可以F12知道 菜单的url路径,然后可以直接URL访问,或者修改IFRAME中的src地址。

这个时候有两种方法禁止直接访问iframe的内容,首先是js加载时候禁止,

/*
    * 只允许,同一域名下IFRAME 凨来了
    */
        var url = '${pageContext.request.contextPath}/login';
    if (parent.window.location.host != window.location.host && top.window.location.href != window.location.href)
    {
    top.window.location.href = url;
    } else if (top == self) {
    top.window.location.href = url;

    },但是必须在页面加载前起作用,不然页面还是会一闪而过。

2.其次就在后台controller中 加入过滤。


package com.anyinfo.bjwq.interceptor;


import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;


import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;


import com.anyinfo.bjwq.model.Admin;


/**
 * 登录拦截器
 * @author kevin
 *
 */
public class LoginInterceptor extends HandlerInterceptorAdapter implements HandlerInterceptor{


public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {

HttpSession session = request.getSession();
Admin admin = (Admin) session.getAttribute("loginUser");
if(admin==null){
response.sendRedirect(request.getContextPath()+"/login");
return false;
}
String getRequestURI = request.getRequestURI(); 
String idnex=request.getContextPath()+"/index";
String referer=request.getHeader("Referer");
if(referer==null && !idnex.equals(getRequestURI)) {
response.sendRedirect(request.getContextPath()+"/index");
return false;
}
//AuthorityService authorityService = (AuthorityService) SpringContextUtils.getBean("authorityService");
//List<Authority> authorities = authorityService.getTotalAuthorityLists();
//走权限的判断,获取当前url的地址。并判断该url的地址是否在权限的集合体系之内,如果不在则抛出异常,跳转到异常的页面
//String url = request.getServletPath();
//System.out.println(url);

return super.preHandle(request, response, handler);
}


}


通过判断Referer是否为null,来判断是否是来之页面的菜单访问还是url直接访问。

然后在配置文件中加入mvc:interceptor

<!-- 登录拦截器 -->
<mvc:interceptor>
<mvc:mapping path="/**"/>
<mvc:exclude-mapping path="/login"/>
<mvc:exclude-mapping path="/login/drawCheckCode"/>
<mvc:exclude-mapping path="/resources/**"/>
<mvc:exclude-mapping path="/api/**"/>
<mvc:exclude-mapping path="/wechat/**"/>
<mvc:exclude-mapping path="/web/**"/>
<bean class="LoginInterceptor">
</bean>
</mvc:interceptor>

snn1410
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
YodPHP 1.4.1.zip
05-25
YodPHP是一个C语言编写的简单的php开发框架,同时也提供了php的源码。YodPHP同时支持单入口和多入口模式,应用灵活,形式自由。 YodPHP 1.4.1 更新日志:2015-12-01 update:文件通用选择,支持跨域,允许第三方调用;部分服务器获取当前url异常情况兼容处理;tar解压,文件名过长兼容处理(路径大于100字符处理);图片预览大图处理;生成多级缩略图;权限组开启了文件下载权限,对应开启外链功能;ace更新到1.29,支持emoji;emmt扩展加载机制优化;编辑器markdown多光标编辑,支持关联工具栏快捷功能;aero效果支持,登录界面优化;其他优化:文件名超出部分...表示;正在上传、远程下载关闭页面提醒。fix bug安全漏洞修复:文件越权读取漏洞紧急修复,iis6配置不当导致安全问题优化;插件自动更新数据同步问题优化;分享文件夹,编辑器打开页面,左侧文件夹展开目录异常问题;(没有上传权限==>不显示上传按钮);token错误:下载时、zip文件解压等; 压缩文件内图片预览不了问题;压缩文件内文本文件预览;zip提示错误问题优化;文件列表;内容含有乱码兼容处理(iconv报错优化);全文搜索,文截取导致json解析错误问题;对话框隐藏对应没有tab时的处理;打开方式界面css bug;登陆共享兼容data自定义目录;文件输出缓存etag优化;其他:分享页面双击重命名屏蔽;markdown工具栏状态自适应;用户分享列表文件大小,navbar菜单新窗口打开问题。移动端优化: 文件列表,展开操作时页面滚动问题;桌面宽度不足问题;移动端菜单展开后没有自动收缩;编辑器优化: 隐藏函数列表;功能菜单放置在右下角;电脑版切换放置在左侧弹出层;重命名文件只选文件名部分;加号菜单优化;iOS设备拍照上传自动重命名文件名;iOS对话框含有iframe时滚动条失效问题优化;桌面开始菜单优化。
浅谈iframe的优缺点及应用场景
lin_m的博客
05-20 2642
浅谈iframe的优缺点及应用场景 对iframe的优缺点及应用场景的一点小结 浅谈iframe的优缺点及应用场景 iframe 创建包含另外一个文档的内联框架(即行内框架),简而言之,iframe标签是框架的一种形式,一般用来包含别的页面。 一、使用iframe的优缺点 优点: 1.iframe能够把嵌入的网页原样展现出来; 2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷; 3.网页如果为了统一风格,头部和版本都是一样的
浏览器同源政策及其规避方法
09-07 1166
转自:http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html 浏览器安全的基石是”同源政策”(same-origin policy)。很多开发者都知道这一点,但了解得不全面。  本文详细介绍”同源政策”的各个方面,以及如何规避它。 一、概述 1.1 含义  1995年,同源政策由 Netscape 公司
iframe 的使用理解
i_Satan的博客
04-19 3751
frame 用于在页面内显示页面,使用 iframe 会创建包含另外一个文档的内联框架(即行内框架
必须搞懂的跨域解决方案
Always-Learning
08-13 579
跨域是什么? 关于跨域是什么,我们这里先不做介绍,我们先介绍下跨域的前置知识(同源策略)。同源策略是浏览器的重要安全策略。同源策略指的是浏览器只有在两个页面拥有相同源的时候,才允许第一个页面的脚本访问第二个页面的数据。这里的同源指的是协议、域名、端口号三者同源。 跨域请求有没有发送到服务器端? 跨域请求实际上已经发送到了服务器,并且客户端也接收到了返回的消息,然而浏览器在接收消息后发现这个信息违反了同源策略且没有被允许跨域,所以在解析该消息的时候会报错。 同源策略限制哪些,不限制哪些? 限制以下
解决iframe嵌套第三方网址不能访问
热门推荐
Davi的博客
05-11 2万+
X-Frame-Options 是一个 HTTP 响应头部,用于防止网站被嵌入到其他网站的 iframe 。该协议定义了一些选项,使网站可以控制在哪些网站可以嵌入自己的内容,从而防止网站被点击劫持攻击。如果网站设置了 X-Frame-Options 响应头部,浏览器会根据该选项来决定是否允许在 iframe 显示该网站的内容。并隐藏来自该网站的两个响应头:“Content-Security-Policy” 和 “X-Frame-Options”。2.SAMEORIGIN:只允许同源网站嵌入。
简单的利用UrlConnection,后台模拟http请求
qq_29663071的博客
07-29 343
这两天在整理看httpclient,然后想自己用UrlConnection后台模拟实现Http请求,于是一个简单的小例子就新鲜出炉了(支持代理哦): [java] view plain copy print? public class SimpleHttpTest {        public static String send(String urlStr, M
对未标记为可安全执行的脚本_前端需要知道的 HTTP 安全头配置
weixin_39566773的博客
10-27 346
作者:webbwang链接:https://github.com/lvwxx/blog/issues/17在本文,将介绍常用的安全头信息设置,并对每个响应头设置给出一个示例。Content-Security-Policy内容安全策略(CSP)常用来通过指定允许加载哪些资源来防止跨站点脚本攻击。在接下来所介绍的所有安全头信息,CSP 可能是创建和维护花费时间最多的而且也是最容易出问题的...
iframe框架url跳转
weixin_47085255的博客
03-23 187
top.window.location.href = ‘url’;
Iframe url跳转方法
明媚
07-02 9356
一、适用背景 页面A嵌入Iframe页面B Iframe页面B跳转到页面C 由于是在Iframe页面B跳转到页面C,所以页面C是以Iframe形式显示。 我想要页面C是以地址栏页面C的url的形式显示。 如图所示: 不做任何处理,直接页面B跳转到页面C是这样: 但是,我想实现这样的效果: 二、实现 iframe页面B跳转到页面C之前先获取父页面url,然后在父页面打开页面C。 即页面C是页面A跳转过去的,而不是在 iframe页面B跳转过去的。 parent.location.hre
live-reload:适用于Web开发人员的Web扩展。 监视页面上的源文件。 检测到更改时重新加载主机页面或更改的源文件
01-30
当您访问与您配置的主机URL匹配的页面时,它将开始监视指定的源文件(如果它们包含在主机页面)。 当检测到更改时,它将重新加载页面,或者有选择地仅内联重新加载源文件,而不重新加载宿主页面。 样式表和框架...
javascript 模拟点击广告
01-21
1.用隐藏iframe加载广告页面。 代码如下: <!一开始我们就使用一个看不到的框架ID名为:framelink–> <iframe id=”framelink” name=”framelink” frameBorder=”0″ scrolling=”no” width=”0″ height=...
gdpr-dsvgo-csp-boilerplate:基于CSP的cookie开关的实现,无需设置同意cookie,就可以禁止加载任何第三方资源
05-17
TLDR:实现了基于CSP的cookie开关,以禁止在未设置同意cookie的情况下加载任何第三方资源。 它适用于任何网站,任何框架,非常简单,但非常有效-无需后端实现 index.html(全部阻止) 它将阻止任何内容(任何与您...
PCFControls:可重用的PowerApps控制框架(PCF)控件
05-02
描述可重用的PowerApps组件框架(PCF)组件。组件日历/资源管理器在Model和Canvas应用程序提供日历和资源管理。 Canvas App开发人员有权访问输出数据,这将使他们能够针对日历上执行的操作自定义自己的数据。 画布...
date类型与string转换
snn1410的专栏
06-04 1万+
/**   * 将string转换为yyyyMMddHHmmss格式的Date型   * @param time   * @return java.util.Date   */  public static Date convertStringToDate(String time) {   SimpleDateFormat format = new SimpleDateFormat("
Decimal百分数如何保留两位小数
snn1410的专栏
06-19 1万+
double  i = 6.0/19.0*100;  System.out.println(i);    DecimalFormat formater = new DecimalFormat();  formater.setMaximumFractionDigits(2);  formater.setGroupingSize(0);  formater.setRoundingMode(
短路与*非短路与 _ 短路或&非短路或
snn1410的专栏
04-25 6304
1、验证“&”的作用: public class OperatorDemo{   public static void main(String[] args){         if(10!=10  &  10/0 == 0)   //非短路与--要把所有的条件进行判断      {           System.out.println("条件满足。。。");       } }
接口Comparable实现List排序
snn1410的专栏
06-27 5367
package com.haso.bscs.view; import java.io.Serializable; import java.util.List; /**  * 产品信息view 显示  *  * @author sun  *  */ public class ProductInfoView implements Serializable,Comparable {
使用了框架iframe页面如何跳出框架
最新发布
05-25
如果你想让页面跳出iframe框架,可以使用以下两种方式: 1. 使用JavaScript代码 可以使用以下JavaScript代码将当前页面跳出iframe框架: ```javascript if (top.location != location) { top.location.href = document.location.href; } ``` 这段代码首先检查当前页面是否在iframe,如果是,则将顶级页面URL设置为当前页面URL。这将导致浏览器加载一个新页面,该页面不再在iframe框架。 2. 在链接添加target="_top"属性 你也可以在需要跳转的链接添加target="_top"属性,这将指示浏览器在顶级窗口加载链接: ```html <a href="https://www.example.com" target="_top">跳出框架</a> ``` 这将导致浏览器加载一个新页面,该页面不再在iframe框架

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值