CuteKe网站开发与安全2——记录URL与URL不符合

最新推荐文章于 2022-12-25 15:09:03 发布
最新推荐文章于 2022-12-25 15:09:03 发布
阅读量430 收藏
点赞数 2
分类专栏: java 个人网站 网站安全 网页开发 CuteKe网站开发与安全 文章标签: 个人网站 java 网站安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012397189/article/details/80228492
版权
java 同时被 3 个专栏收录
17 篇文章 12 订阅
订阅专栏
网页开发
9 篇文章 0 订阅
订阅专栏
个人网站
6 篇文章 0 订阅
订阅专栏

    我的CuteKe网站也上线一段时间了,之前也是做了访问日志,发现日志还是不利于观察,还是把它访问记录数据库化了。但是这几天却发现在记录URL的时候发现了一个问题。

1. 记录URL

    我们先来看看如何记录URL与IP地址:

1.1 访问记录Model

    因为我们要把访问记录数据化,所以我们要创建访问记录实体类:VistorLog,代码如下:

@Entity
public class VisitorLog {
    private static final long serialVersionUID = 1L;

    @Id // 主键
    @GeneratedValue(strategy = GenerationType.IDENTITY) // 自增长策略
    private Long id; // 用户的唯一标识


    @NotEmpty(message = "访问地址不能为空")
    @Column(nullable = false)
    private String url;

    @NotEmpty(message = "访问方法不能为空")
    @Column(nullable = false)
    private String httpMethod;
    
    @NotEmpty(message = "IP地址不能为空")
    @Column(nullable = false)
    private String ip;


    @NotEmpty(message = "IP地址映射的真实不能为空")
    @Column(nullable = false)
    private String trueAddress;

    @Column(nullable = false) // 映射为字段,值不能为空
    @org.hibernate.annotations.CreationTimestamp  // 由数据库自动创建时间
    private Timestamp visitTime;
    
    
    @NotEmpty(message = "后台访问方法不能为空")
    @Column(nullable = false)
    private String classMethod;

    @NotEmpty(message = "访问方法参数")
    @Column(nullable = false)
    private String getClassMethodArgs;

    protected  VisitorLog(){
        
    }

    public VisitorLog(String url, String httpMethod, String ip, String trueAddress,String classMethod, String getClassMethodArgs) {
        this.url = url;
        this.httpMethod = httpMethod;
        this.ip = ip;
        this.trueAddress= trueAddress;
        this.classMethod = classMethod;
        this.getClassMethodArgs = getClassMethodArgs;
    }

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public String getUrl() {
        return url;
    }

    public void setUrl(String url) {
        this.url = url;
    }

    public String getHttpMethod() {
        return httpMethod;
    }

    public void setHttpMethod(String httpMethod) {
        this.httpMethod = httpMethod;
    }

    public String getIp() {
        return ip;
    }

    public void setIp(String ip) {
        this.ip = ip;
    }

    public String getClassMethod() {
        return classMethod;
    }

    public void setClassMethod(String classMethod) {
        this.classMethod = classMethod;
    }

    public String getGetClassMethodArgs() {
        return getClassMethodArgs;
    }

    public void setGetClassMethodArgs(String getClassMethodArgs) {
        this.getClassMethodArgs = getClassMethodArgs;
    }
}

1.2 利用Spring AOP

    在gradle里添加spring-boot-starter-aop依赖以后,我们可以这样设计:

  1. 切入点:每个Controller的每个方法即各个请求方法
    @Pointcut("execution(public * com.cuteke.spring.boot.blog.controlller.*.*(..))")
    public void log() {
    };
  1. 通知:在这里我选择的是前置通知,你也可以选择其他通知
 @Before("log()")
    public void doBefore(JoinPoint joinPoint) {
    ....
    }
  1. 获取HttpServletRequest:我们通过Request上下文来获取HttpServertRequest
ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = attributes.getRequest();
  1. 获取各个属性:获取到HttpServertRequest就可以通过调用其方法就可以获取到VisitLog的各个属性了:
String url=new String(request.getRequestURL());
String method=request.getMethod();
String ip=IpUtil.getClinetIpByReq(request);
String class_method=joinPoint.getSignature().getDeclaringTypeName() + "." + joinPoint.getSignature().getName();
String args= Arrays.toString(joinPoint.getArgs());
logger.info("url={} method={} ip={} class_method={} args={}", url, method
                , ip, class_method
                , joinPoint.getArgs());
VisitorLog visitorLog=new VisitorLog(url,method,ip,IpUtil.getAddressByIP(ip),class_method,args);
vistorLogService.saveVistorLog(visitorLog);

IpUtil是处理ip的工具类,核心思想是通过getRemoteAddr()方法和过滤掉代理ip来实现的,我们会在其余章节里面提到,百度也能很简单的找到

2. URL不符合

    网站上线了几个星期,我在数据找到了很奇怪的记录,如下图1所示:

URL不符合

图1. 数据库中行URL不符合

    其中怪异的url我都用红线划出来了,而且发现了没,这些搞事的url都是国外的,国外还是喜欢搞事情呀!

2.1 是否使用代理?

    代理可以分为两种:

  1. 正向代理:客户端要配置代理服务器,由代理服务器代替访问你,所以说URL一般并不会改变
  2. 反向代理:客户端不知道代理的存在,访问URL的网址时,会经过反向代理服务器,由反向代理服务器转向对应的服务器上访问,一般用于
    负载均衡,URL一般也不会改变

    其实使用代理的情况下是可以出现我这种情况的,因为服务器的存在,修改URL或者其他操作是用户不知道的,我们知道URL是用来解析ip地址,像国外这种情况只要能确定我的服务器IP地址,不管URL是不是我的网站URL,都可以访问我的网站。

2.2 HOST实践

    前面讲到只要解析我的服务器IP地址不管URL是否正确都可以,我们就在本机实践一下,我们知道在C:\Windows\System32\drivers\etc有一个HOST文件,我们只要改变URL对应的IP即可完成解析。代码如下:

# localhost name resolution is handled within DNS itself.
127.0.0.1 localhost
#	::1             localhost
127.0.0.1 www.cuteke.cn

    在这里我把自己的网站域名解析成本机地址,在本机我也开启我的网站,不过里面内容不一样,在浏览器输入www.cuteke.cn,发现页面如下图所示:

host-1

图1. 本地访问CuteKe网站

    这页面是本机服务器展示展示的页面,因为本机的置顶文章和公网上置顶的文章不一样。同时我们看一下本地数据库的访问记录:

host-2

图2. 本地数据库访问记录

    最后两行我们可以发现URL并不是localhost而是www.cuteke.cn,也是验证了我们的思想。

修改HOSTS文件后如果访问的URL还是解析成原来的地址,那么记得清楚一下系统DNS和浏览器DNS缓存

修改HOSTS文件只是其中一种可能,还有一种极大的可能是Http Host头攻击,我们在下一章会讲述其原理和具体防御措施

参考资料

[1] Spring Boot进阶之Web进阶
[2] 正向代理与反向代理【总结】

CuteXiaoKe
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CuteKeBlog:个人网站CuteKe的原始码,持续更新,访问地址http
03-22
可爱的博客
网站URL追踪代码
WXiangQian
11-08 3070
文章已迁移:https://juejin.im/post/5d0c7fad518825317213bb38 比如:https://www.baidu.com/ 如在后面追加?123 跳转以后在点击别的链接还会追加?123 <script> setUrlSource(); function setUrlSource() { var url = location.href;...
CuteHttpFileServer(文件共享服务器软件)
邪人君子的博客
01-03 2万+
CuteHttpFileServer是一个免费的、HTTP协议的文件共享服务器,使用浏览器可以快速访问,可直接双击运行 (默认的共享目录是 chfs 所在的路径),或在控制台/命令行中运行。你可通过命令行参数进行相关配置,也可使用chfs --help来查看帮助。 Cute Http File Server (缩写为 chfs),是一个免费小巧的「绿色单文件」 HTTP 文件共享服务器工具,它可以...
产生不规范URL的原因有哪些?
蝙蝠侠IT
04-07 3031
在做网站建设的过程中,会产生很多不规范URL,这些不规范URL,会产生多个不同的URL指向同一个页面的现象,但搜索引擎却会将它们认为是不同的页面,这样页面权重就会分散,从而影响网站排名。 一、产生不规范URL的原因有哪些? 1、是否包含WWW 网站URL可以包含WWW,也可以不包含WWW,但是这两种形式都可以打开网站。 2、是否包含默认页面文件名 当用户访问默认页面文件的时候,在URL中是可以省略的,这样也会产生包含和不包含默认页面文件名的两种情况。 3、末尾是否包含斜杠 当UR.
如何获取URL链接是http还是https
vividly的学习小站
06-23 2万+
如题: 一般在后端有三种方式获取。 1,JAVA截取链接地址。 String URL = request.getRequestURL().toString(); if(!URL.startsWith("https:")) { System.out.println("HTTPS"); } 2,JAVA获取协议 if("http".equals(reque
CuteKe网站开发安全1——CuteKe网站架构与更新记录
CuteKe的专栏
05-07 584
&amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;nbsp;我的CuteKe网站已经上线一段时间了,访问也慢慢上去了,我也决定开新坑啦,这个系列我会把在开发这个网站的所有遇到的问题和困难记录下,每一章的标题和内容围绕两个主题来,自己本身也在读信息安全的研究生,所以开发安全都会兼顾,希望能帮助大家能安全开发网站。 再次强调
CuteKe网站开发安全3——HOST头攻击与防御
CuteKe的专栏
06-03 2283
  承接上文,记录url不一致极大可能就是Host头攻击,所以本章内容围绕Host头攻击展开,讲述Host头攻击的原理、实践、和防御,让大家能对Host头攻击有足够的认识。 1. Host头原理 1.1 HTTP头——Host   众所周知HTTP报文由报文首部、空行(CR+LF)和报文主体组成,在报文首部中有一个字段,在具体是请求报文的首部字段:Host。   首部字段Host...
CuteKe网站开发安全4——CDN优化与Spring Security
CuteKe的专栏
06-03 568
&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;之前CuteKe网站刚刚上线的时候访问我的网站需要10秒左右,当然这是让人受不了的,所以我先改变了每个页面不必要的资源文件(header和footer的Fragment中不必要的文件不需要),发现节约了5秒左右,但是还是不行,还可以进行优化,我们可以进行CDN优化,本章我们会介绍CDN的概念与Spring Security里面是怎么支持缓存的。 ...
CuteKe网站开发安全5——真实IP地址与一次惨痛的经历
CuteKe的专栏
06-03 861
&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;本章讲述如何用java来获取真实IP地址及相关安全,然后讲述MongoDB配置不当引起的安全问题。 1. 获取真实IP地址 1.1 何时获取IP地址 &amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;我的做法是和获取url的时候一样,在每个Controller执行之前来获取请求的IP地址,同样的,我们也会获取每个请求对
为何选择iText?java PDF开源库选择与iText发展历史
热门推荐
CuteKe的专栏
05-04 3万+
&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;转眼间,我写iText7系列已经有一年多了,还记得最开始的时候是因为兴趣才翻译iText,不过随着慢慢翻译文章才发现iText的强大之处,最近也是调研了整个java PDF开源库的生态圈,我给大家详细讲一下java PDF开源库的选择还有我选择iText的理由。 1. 源起PDF 1.1 PDF定义 &amp;nbsp;&amp;nbsp;&amp;nbsp;
itext7学习笔记杂谈系列2——在itext7中添加中文(其他字体)和字体相关事
CuteKe的专栏
11-07 3万+
在本章,我们会讨论如何在itext7中显示中文,或者其他CJK(Chinese/Japan/Koera)等非ASCII码字符遇到的问题,解读font-asian.jar这个包的作用. 字体编码 如果我们想真正了解字体如何在计算机存储的话,字体文件是些啥的话,还有编码问题,可以参考中文编码 TTF字库之间的关系 顺带一提,查看本机的默认代码页(也就是ANSI),在cmd输入
log4j2设置日志文件输出到web目录下,亲测可用
CuteKe的专栏
06-02 1万+
请确认log4j-api:2.x,log4j-core:2.x,log4j-web:2.x都有并输出到web目录下 一、不同Servlet版本      1)在web.xm中查看自己的Servlet版本:(通过web-app version元素来看)       web.xml v2.3:      web.xml v2.4: <web-appid="W
itext7学习笔记杂谈系列3——在绝对位置添加文本
CuteKe的专栏
01-02 1万+
之前也是有人问过我如何使用itext7在pdf的绝对位置中插入文本呢?这几天我也是查阅了相关资料,把相关应用场景和解决方法给大家说一说。应用场景其实在pdf中的绝对位置中插入文本的应用场景还是很多的,最典型的应用场景如下: 合同模板采用PDF 合同里面大部分文字已经写好,少部分内容由用户填写,例如姓名,身份证号等 要填入的内容的绝对位置已经确定,这时候我们网页端或者其他终端接收用户填入的
Spring boot Mybatis-Plus数据库单测实战(三种方式)
CuteKe的专栏
10-26 9934
  单元测试长久以来是热门话题,本文不会讨论需不需要写单测,可以看看参考资料1,我个人认为写好单测应该是每个优秀开发者必备的技能,关于写单测的好处在这里我就不展开讨论了,快速进入本文着重讨论的话题,如何写好数据库单测。   为什么要写数据库单测? 相信大家是不是有这样类似的经历,在写完复杂的sql语句后,自信满满的提测,发现很大一部分Bug都是因为sql语句出现问题了,要么少写逗号,要么漏了字段,悔不当初哇,为啥写完不多测测呢!   没关系!这就教你如何写数据库单测,让你轻松告别数据库相关bug。 1. 数
itext7学习笔记杂谈系列1——添加新的页面和新的AcroForm
CuteKe的专栏
09-21 9790
这个系列主要记录一些itext7里面出现的一些问题,以及网友问的一些问题,主要是自己的真知灼见,如果有错误希望大家能指出,感谢大家一如既往的支持。Doucment与PdfDocument之前在itext7学习笔记——第3章提到过:Document是PdfDocument的高级别表示,在官方api文档中,描述了以下主要区别(我整理的): - PdfDocument:直接跟pdf文档有关系,有
单元测试mockito参数匹配使用场景和注意项
CuteKe的专栏
08-07 6097
  最近一直刚开始接触单元测试,也用了mockito框架,刚开始使用的话会遇到一些疑问,也会存在一些误区,所以在此记录一下使用mockito之参数匹配的问题。 1.测试类场景   首先,我们来看一下我们要测试的类,主要分为Person人员信息类,它的里面有age属性;还有一个Salary工资类,里面有Pseron属性,getSalary是根据人员的getData的返回值进行盘代孕来返回工资的数值有...
iText如何提取PDF中的数据——1. 总览
最新发布
CuteKe的专栏
12-25 3511
iText官方给出了相关的整体解决思路,在这我给大家翻译并总结一下。在这里主要是抛砖引玉,后续会结合具体例子来解决我们实际过程中的出现的问题。
Mybatis分页查询及日期比较
CuteKe的专栏
09-29 2878
1. 背景   在我们进行Mybatis的开发的时候,会遇到数据量大和日期的问题,本文关注以下问题: 怎么进行数据库分页查询,避免结果过于庞大,运行速度慢 怎么进行日期比较,从不同精度比较两个日期的大小 2. 样例数据库设计   假设存在这样一张user用户表,他的定义(MySql)如下: id name birthday bigint(20) varchar(64) date...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CuteXiaoKe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值