Servlet防止跨站引用

最新推荐文章于 2018-03-04 20:05:48 发布
最新推荐文章于 2018-03-04 20:05:48 发布
阅读量460 收藏
点赞数
分类专栏: JAVAEE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tanjie_123/article/details/52071943
版权
防止跨站引用
功能:本站点中的资源,比如图片资源,只允许在本站中的网站上使用,不允许直接下载该图片
Servlet名称:ImageServlet
特点:查看请求头中referer字段,如果该值不为空,则说明该图片是引用资源,则允许配访问

如何将图片(.jpg)发送给浏览器呢?
步骤:
1.创建一个图片文件file
2.使用图片文件构造一个FileInputStream输入流
3.使用FileInputStream输入流构造一个BufferedInputStream构造一个缓冲流bufferedInputStream
4.定义一个1k大小的字节数据,byte[] buffer = new byte[1024];
5.获取response对象中的输出流outPutStream对象
6.从bufferedInputStream中读取数据到buffer中,然后写到outPutStream对象中

7.关闭输入输出流


源代码:

package com.tanjie.download;

import java.io.BufferedInputStream;
import java.io.File;
import java.io.FileInputStream;
import java.io.IOException;
import java.io.OutputStream;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet(urlPatterns={"/getImage"})
public class ImageServlet extends HttpServlet {

	private static final long serialVersionUID = 1L;

	@Override
	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		String referer = request.getHeader("referer");
		if(referer != null){
			/*下载图片文件
			 * 1.从请求中获取imageId
			 * 2.获取图片存储路径imagePath
			 * 3.构造出file文件
			 * 4.构造FileInputStream、BufferedInputStream对象
			 * 5.写入到response的OutputStream对象中
			 * 6.关闭流
			 * */
			
			String imageId = request.getParameter("id");
			String imagePath = request.getServletContext().getRealPath("WEB-INF/image");
			File imageFile = new File(imagePath, imageId+".jpg");
			if(imageFile.exists()){
				response.setContentType("image/jpg");
				FileInputStream fileInputStream = null;
				BufferedInputStream bufferedInputStream = null;
				fileInputStream = new FileInputStream(imageFile);
				bufferedInputStream = new BufferedInputStream(fileInputStream);
				OutputStream outputStream = response.getOutputStream();
				byte[] buffer = new byte[1024];
				int i = bufferedInputStream.read(buffer);
				while(i != -1){
					outputStream.write(buffer, 0, i);
					i = bufferedInputStream.read(buffer);
				}
				if(fileInputStream != null)
					fileInputStream.close();
				if(bufferedInputStream != null)
					bufferedInputStream.close();
			}
		}
	}
	
}


<html>
<head>
    <title>Photo Gallery</title>
</head>
<body>
<img src="getImage?id=1"/>
<img src="getImage?id=2"/>
<img src="getImage?id=3"/>
<img src="getImage?id=4"/>
<img src="getImage?id=5"/>
<img src="getImage?id=6"/>
<img src="getImage?id=7"/>
<img src="getImage?id=8"/>
<img src="getImage?id=9"/>
<img src="getImage?id=10"/>
</body>
</html>


南山93
关注
专栏目录
解决html跨站问题
07-11 2030
 public class RequestUtils {  public static String escapeHtmlString(String input)  {   if (input == null || input.length() == 0)    return "";   char c;   StringBuffer sb = new StringBuffer(
Servlet学习
weixin_52972575的博客
01-16 719
一.Servlet的入门 1.前言 1.1什么是servletServlet = service applet 服务器端小程序 1.2那什么是服务器? 服务端对应客户端或浏览器,有C/S架构,B/S架构,服务器是一种特殊的电脑,准确一点,服务器其实就是电脑主机。平时什么时候用到服务器呢?比如用手机下载APP,下载的过程就是从某个服务器获取APP的程序文件和数据的过程,打开APP便出现了内容,这些内容就是存储在服务器上的,当你想百度网盘保存视频时,这里服务器就体现了接收和存储数据的功能,当你想要
用nginx做反向代理来访问防外链网站图片
weixin_33895695的博客
04-20 481
2019独角兽企业重金招聘Python工程师标准>>> ...
java项目防止跨站访问防止越过登录直接访问
无道的博客
04-07 5066
java项目防止跨站访问防止越过登录直接访问
Servlet实现文件下载详解与实例
热门推荐
oldbig_lin的博客
04-12 1万+
像图片或者HTML这类静态资源,只要在浏览器打开就可以下载  而 放在WEB-INF目录下,或是保存在数据库中的资源,Servlet/jsp容器不会将资源发送到浏览器中  或是有时候需要控制某些人看到这个资源,同时又要防止其他网站跨站引用。每当遇到这类情况,就需要通过编程来发送资源 一.文件下载概述 文件下载就是为了将文件发送到浏览器,一般不用JSP页面,因为发送的是二进制
java servlet bbs系统
12-18
- **安全性**:除了密码加密,还可以通过CSRF Token防止跨站请求伪造,XSS过滤防止跨站脚本攻击,使用HTTPS协议提升传输安全。 - **性能优化**:使用缓存技术(如Redis)存储热门帖子,减少数据库查询;分页处理...
servlet 个人项目
08-30
"无效脚本"可能是指防止恶意脚本注入的防护措施,如XSS(跨站脚本攻击)防护。在Servlet中,可以通过对用户输入进行验证和过滤,或者使用HTML编码来防止脚本执行。例如,可以使用`org.apache.commons.lang3....
基于jsp和servlet写的java学生信息管理系统.zip
最新发布
08-16
系统还需要考虑安全性问题,例如防止SQL注入攻击、XSS跨站脚本攻击等。开发者可能使用预编译的SQL语句或参数化查询来避免SQL注入,同时对用户输入进行过滤和转义,以减少XSS风险。 通过以上技术的综合运用,"基于...
spring中使用servlet拦截器实现防止sql注入
不断总结不断成长
01-16 2429
/**  * 描述:防止sql注入  * 作者: dlj  * 时间: 2018年1月16日 上午9:37:04  */ public class AntiSqlInjectionfilter implements Filter { private Logger logger = LoggerFactory.getLogger(AntiSqlInjectionfilter.class)
servlet编写Filter过滤器,防止未登录访问,不过滤登陆界面(使用IDEA编写)
A_Ba0的博客
09-22 4285
实现“防止未登录访问”的方法有很多,下面简单介绍一二。 第一种方法:可以在每个需要进行权限验证的界面包含一个验证文件,check.jsp。 check.jsp代码如下: page contentType="text/html;charset=UTF-8" language="java" %> html> head> title>权限验证界面title> head> body> c
如何防止跨站点脚本攻击
大明的博客
08-21 2157
转自:http://www.freebuf.com/articles/web/15188.html 1. 简介 跨站点脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞。如果你密切关注bug赏金计划,会发现报道最多的问题属于XSS。为了避免跨站脚本,浏
如何解决跨站点请求伪造
tooby的专栏
06-12 1073
  如何解决跨站点请求伪造 IBM appscan扫描漏洞--跨站点请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie  的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 c...
跨站攻击的解决方法
notOnlyRush的博客
11-10 452
转至元数据起始 方法一: 对输入参数进行校验, 方法二: 对输入参数输出在页面前就使用以下标签进行转义特殊字符: ATG 标签库: ? dsp:valueof param="boldCode" valueishtml="true"/> JSTL 标签库: ?
Tomcat 怎样防止跨站请求伪造(CSRF)
weixin_33720956的博客
10-09 1127
为什么80%的码农都做不了架构师?>>> ...
Servlet的简单初始化以及其被调用的过程
李二的博客
03-04 8459
一、说明    Servlet是一个运行在web服务器中的简易的Java程序,通过HTTP来接受和响应来自浏览器的请求。程序中要实现一个Servlet一般必须继承javax.servlet.GenericServlet或者继承了javax.servlet.http.HttpServlet的HTTP servlet。在其整个生命周期中大致会经历这么几个阶段。 初次被调用Servlet被web服务器...
tomcat 防xss 的一种实现
12-21 3985
我的解决方法, 通过Servlet 过滤器 过滤请求 关键在于是如何在Filter取到post里的内容通过继承javax.servlet.http.HttpServletRequestWrapper;类替换post里的非法字符1:FormDataXssRequest类import javax.servlet.http.HttpServletRequest; import javax.servlet.
深入理解Servlet过滤器配置与机制
- 安全控制:如登录检查,防止跨站请求伪造(CSRF)。 - 国际化和本地化:根据用户偏好设置语言环境。 - 日志和监控:记录请求信息,帮助调试和分析。 6. **异常处理** 在Servlet中,可以通过覆盖`doGet()`或`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值