静态文件非登录状态拦截跳转回登录页面

最新推荐文章于 2023-03-02 11:10:14 发布
最新推荐文章于 2023-03-02 11:10:14 发布
阅读量237 收藏
点赞数
分类专栏: 开发中碰到的问题 文章标签: java 安全漏洞 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010734213/article/details/119423009
版权
  • 问题:系统扫漏遇到js未授权访问漏洞
  • 解决:通过过滤器来处理相关文件。(shiro框架)

系统拿不到session情况下,自己设置了个cookie来做处理。
拿得到session的可直接用户登录信息处理会更方便。

  • .properties文件中配置。后期不需要时可直接通过配置处理
filter.logout.enable=true #是否开启
filter.cookie.name=is.login #cookie标志
  • *shiro.xml配置修改
<!--<entry key="logout" value-ref="logoutFilter" />-->
<entry key="logout" value-ref="systemLogoutFilter" />
  • SystemLogoutFilter继承LogoutFilter:退出重新设置cookie的值

import org.apache.shiro.web.filter.authc.LogoutFilter;
import org.springframework.stereotype.Service;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;

/**
 * @className: SystemLogoutFilter
 * @description:
 * @author: chenlf
 */
@Service
public class SystemLogoutFilter extends LogoutFilter {
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        //设置登录标志位false
        HttpServletResponse res = (HttpServletResponse)response;
        if (Global.TRUE.equals(Global.getConfig("filter.logout.enable"))) {
            res.addCookie(new Cookie(Global.getConfig("filter.cookie.name"), "false"));
        }
        return super.preHandle(request, response);
    }
}
  • 登录成功或失败设置cookie的值
//登陆成功设置登录状态为true
if (Global.TRUE.equals(Global.getConfig("filter.logout.enable"))) {
	CookieUtils.setCookie(response, Global.getConfig("filter.cookie.name"), Global.TRUE);
}

// 未设置登录状态为false
if (Global.TRUE.equals(Global.getConfig("filter.logout.enable"))) {
	CookieUtils.setCookie(response, Global.getConfig("filter.cookie.name"), Global.FALSE);
}
  • js过滤器对相关js进行判断处理
import javax.servlet.*;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

/**
 * @className: FrontJsFilter
 * @description:
 * @author: chenlf
 */
public class FrontJsFilter implements Filter {

    private static final String URL_END = ".js";

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest)request;
        HttpServletResponse res = (HttpServletResponse)response;
        String requestURL = req.getRequestURL().toString();
        if(Global.TRUE.equals(Global.getConfig("filter.logout.enable"))){
            if(requestURL != null && (requestURL.endsWith(URL_END))){
                Cookie[] cookies =((HttpServletRequest)request).getCookies();
                List<String> cookieNames = new ArrayList<>();
                for (Cookie cookie:cookies) {
                    cookieNames.add(cookie.getName());
                    //包含登录标志且标志位false
                    if (cookie.getName().equals(Global.getConfig("filter.cookie.name"))&& Global.FALSE.equals(cookie.getValue())){
                        res.sendRedirect(req.getContextPath() + Global.getConfig("adminPath") + "/login");
                        return ;
                    }
                }
                //不包含登录标志
                if (!cookieNames.contains(Global.getConfig("filter.cookie.name"))) {
                    res.sendRedirect(req.getContextPath() + "/login");
                    return ;
                }
            }
        }
        try {
            chain.doFilter(request, response);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    @Override
    public void destroy() {

    }
}

web.xml

<filter>
	<filter-name>frontJsFilter</filter-name>
	<filter-class>com.XXX.filter.FrontJsFilter</filter-class>
</filter>
<filter-mapping>
	<filter-name>frontJsFilter</filter-name>
	<url-pattern>/static/xx/*.js</url-pattern>
</filter-mapping>
Jayin_chan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vue实现未登录跳转登录
Mjxiaomihu的博客
08-16 9251
Vue实现未登录跳转登录
Spring Boot security 默认拦截静态资源 最新解决方法2023
Hongyuyang296的博客
02-23 1953
Spring Boot security 默认拦截静态资源 最新解决方法2023
SpringBoot拦截器实现登录拦截
m0_52012606的博客
03-23 4075
SpringBoot拦截器可以做什么? 可以对URL路径进行拦截,可以用于权限验证、解决乱码、操作日志记录、性能监控、异常处理等 实现代码 新建 interceptor包 添加拦截器代码 package com.qcby.interceptor; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.method.HandlerMethod; impor
SpringBoot实现静态资源映射,登录功能以及访问拦截验证——以黑马瑞吉外卖为例
m0_62946761的博客
03-02 5191
SpringBoot实现静态资源映射,登录功能以及访问拦截验证——以黑马瑞吉外卖为例
拦截静态资源.html(伪静态)
安逸llllll的博客
06-25 601
拦截静态资源.html(伪静态)
解决用户未登陆,输入IP地址仍能访问静态页面的问题
xuerwang的博客
12-24 728
解决办法就是,判断用户的登陆状态,如果没有登陆,将路由强制转换到登陆页,在router/index.js的登陆路由配置中写入 routes: [{ path: '/', name: 'LoginIn', component: resolve =&gt; require(['../pages/login/Login.vue'], resolve) }...
springboot 整合shiro无法访问静态资源的问题
热门推荐
u012954380的博客
07-11 1万+
最近在学springboot 整合shiro后发现无法访问静态资源,每次访问静态资源文件都被跳到登陆页面.根据自己的经验是shiro拦截了,需要放行一下,springboot不是用xml配置的,在shiroFilter中添加,(我的静态资源 css js image都是放到这个目录的)filterChainDefinitionMap.put("/static/**", "anon");但是发现并没...
vue中页面跳转拦截器的实现方法
08-29
主要给大家介绍了关于vue中页面跳转拦截器的实现方法,文中通过示例代码介绍的常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧。
登录判断器,在跳转之前先判断你的登录状态
11-12
为了提高用户体验,登录判断器通常有一些优化措施,例如,对于公共资源(如静态文件登录页面等)的请求,可以不进行登录检查。另外,也可以引入记住我(Remember Me)功能,允许用户在一段时间内无须重新登录。...
若依 修改默认跳转页面 demo
11-12
6. **自定义过滤器**:在Shiro配置中,可以创建自定义过滤器,通过拦截请求并重定向到特定页面来实现默认跳转的改变。 7. **测试与调试**:完成修改后,进行单元测试和集成测试以确保改动无误,并在不同场景下验证...
解决springMVC 跳转js css图片等静态资源无法加载的问题
10-19
当这些资源无法正常加载时,通常是因为Spring MVC的DispatcherServlet将所有请求都拦截了,导致静态资源请求没有正确地传递给默认的Servlet进行处理。本文将详细讲解如何解决Spring MVC中静态资源无法加载的问题。 ...
nuxt静态部署打包相对路径操作
01-22
以往在nuxt项目中,打包静态化部署的的文件如下: 路径为绝对路径,当项目的域名为二级域名的时候,就不能打包为这绝对路径了。 nuxt不同于vue项目,思索了许久,终于找到了配置的地方: nuxt项目中 nuxt.config.js...
如何跳转远程静态html页面,静态网页如何实现网页跳转 ? a链接页面跳转/ ip被限制访问网站...
weixin_28389377的博客
06-03 2232
什么是跳转页面是指跳转页面就是你进入一个页面却忽然转到了另外一个页面,这就是跳转页面跳转的方式有多种,每一种都有它存在的意义。跳转就是当我们点击按钮或者实现某个活动从一个页面到另一个页面,那么我就来介绍几种跳转的法式。页面跳转方式1——JS判断来路代码var s=document.referrerif(s.indexOf("google")>0 || s.indexOf("baidu")&g...
实现未登录跳转login页
jokren的博客
04-13 1997
问题:未登陆直接输入url:地址进入网站 vue项目实例: 一,设置router 1.首先配置路由 /src/router/index.js文件 import Vue from 'vue' import Router from 'vue-router' Vue.use(Router) export default new Router({ routes: [ { path: '/',/...
拦截器】配置登录拦截器,实现不登陆下也能静态资源访问
qq_42184586的博客
09-05 604
简单的配置spring拦截器,应用到登录静态资源访问受限的问题上
shiro登录认证后点击链接跳转需重新登录
失之东隅,收之桑榆
11-09 647
ssm整合shiro登录验证异常 问题:ssm整合shiro做安全认证,确认账号密码无误,在火狐与IE浏览器登录后可正常点击跳转页面,在谷歌浏览器登录后点击链接跳转需重新登录 原因:shiro后端字段的cookie名称为JSESSIONID,在某些情况下可能被容器修改,导致登录验证无效 解决方法:自定义SessionManager类继承DefaultWebSessionManager类,修改shiro自带的cookie名称,之后在shiro配置文件中将SessionManager类注入给shiro使用
如何本地创建svn库
无为萌新
09-19 1万+
在本地机器上搭建一个SVN仓库步骤 1、安装SVN服务端和客户端(不知道自己有没有安装两个,因为是很久前安装的,但客户端肯定是有装的) 2、创建svn库空文件夹D:\chen,并在chen文件夹中右键选中TortoiseSVN -&gt;create repository here 3、创建存放项目文件夹D:\project,并在project文件夹内右键选中SVN Checkout,并在URL ...
node.js项目,实现登录跳转public文件静态页面全流程代码,用户名密码在代码中定义,未登录拦截所有请求到登录页面
最新发布
04-01
以下是一个基本的示例,使用...现在,当用户访问`/protected`路由时,如果未登录,则被重定向到登录页面。如果成功登录,则重定向到`/index.html`。在`/index.html`中,用户可以访问静态文件夹中的任何文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值