过滤器防止地址栏注入登录

最新推荐文章于 2023-01-31 00:38:01 发布
最新推荐文章于 2023-01-31 00:38:01 发布
阅读量1.1k 收藏
点赞数
分类专栏: Spring 文章标签: filter spring 继承 jsp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013263600/article/details/75103599
版权

继承的是OncePerRequestFilter,在spring中默认继承的也是OncePerRequestFilter,他能够确保在一次请求只通过一次filter,而不需要重复执行

package org.ems.filter;

import java.io.IOException;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.filter.OncePerRequestFilter;

public class LoginFilter extends OncePerRequestFilter {

 @Override
 protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
   throws ServletException, IOException {

  //添加不过滤的URI
//  String[] notFilter = new String[]{"login.action","login2.jsp",".css",".js",".png",".json",".html",".jpg"};
//  String[] notFilter = new String[]{"login.action","employee/login2.jsp",".css",".js",".png",".jpg",".html",".ico"};
  String notFilter1 = "login.jsp";
  String notFilter2 = "login.action";
  
  //获得URI
  String url = request.getRequestURI();
  System.out.println(url);
  
  Boolean doFilter = true;
//  for(int i=0;i<notFilter.length;i++){
//   if(url.contains(notFilter[i])){
//    doFilter=false;
//   }
//  }
  if(url.contains(notFilter1)||url.contains(notFilter2)){
   doFilter = false;
  }
  
  if(doFilter){
   Object obj = request.getSession().getAttribute("employee");
   if(obj==null){
    response.sendRedirect(request.getContextPath()+"/employee/login.jsp");
    return;
   }else{
    chain.doFilter(request, response);
   }
  }else{
   chain.doFilter(request, response);
  }
  
 }

}

<filter>
  <filter-name>loginFilter</filter-name>
  <filter-class>org.ems.filter.LoginFilter</filter-class>
 </filter>
 <filter-mapping>
  <filter-name>loginFilter</filter-name>
  <url-pattern>/*</url-pattern>
 </filter-mapping>

鑫猴子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
开发技术 Web开发,防止url注入
11-09
这段程序是针对各业务系统通过URL进行越权注入进行控制的脚本
地址栏注入笔记
weixin_34384915的博客
11-28 188
2019独角兽企业重金招聘Python工程师标准>>> ...
如何绕过防止注入的链接
CTO成长之路——Rosanu
04-18 1454
突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“'”号和 “=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好……  经过我的收集,大部分的防注入程序都过滤了以下关键字:  and | select | update | chr |
MVC如何不改变地址栏的情况下,动态的访问其他网站
weixin_34194551的博客
09-08 234
有三种方法,js、iframe、C#,只讲一下如何用C#实现 按 Ctrl+C 复制代码 public ActionResult Index(string loginToken) { WebClient MyWebClient = new WebClient(); MyWebClient.Creden...
SQL注入基础教程
wmr123456001的博客
01-31 674
关于SQL注入的基础教程
filtrex:一个用于执行和验证来自客户端的复杂过滤器的库(例如,智能过滤器
02-04
"filter"和"parsing-filters"标签暗示了filtrex处理过滤器解析的能力。库提供了解析用户输入的过滤字符串并将其转化为可执行操作的机制。这包括了对无效输入的检查和处理,以防止潜在的安全问题,如SQL注入。 "ecto...
ewebeditor在线编辑器3.8-4.0-4.4版本
10-25
- 需要配置编辑器的初始化参数,如宽度、高度、工具栏布局等,以适应网站设计。 - 服务器端处理编辑器提交的内容,如过滤XSS攻击,保存HTML数据到数据库。 4. **使用注意事项** - 安全性:EWebEditor提交的内容...
基于php响应式家用电器厨卫电器网站.zip
最新发布
04-22
同时,确保所有用户提交的数据都经过验证和过滤,防止SQL注入和XSS攻击。 总结来说,这个"基于PHP响应式家用电器厨卫电器网站"项目涵盖了PHP后端开发、响应式前端设计、数据库管理和安全实践等多个重要知识点。通过...
HackBar-master适用于谷歌浏览器和火狐浏览器免费版
08-11
- 对于网站管理员来说,了解如何防止HackBar这类工具被用于恶意攻击是非常重要的,应加强网站的安全防护,例如使用参数化查询、输入验证和过滤等方法。 4. **开发与自定义** - HackBar-master的源代码提供了一个...
php在线ubb编辑器
07-17
- 集成这些编辑器时,需要考虑其配置选项,如语言设置、工具栏按钮定制、样式表自定义等,以满足网站设计需求。 4. 安全性考量: - PHP解析UBB代码时,需要防止XSS(跨站脚本攻击)和SQL注入等安全问题。确保对...
sql注入 小白入门学习笔记(四)
mastergu2的博客
06-11 302
对于这种post请求,我们不方便直接在浏览器地址栏进行注入,当然也可以利用hackbar等插件,但是最好还是使用burp suite抓包到转发器进行注入 如图所示,我们要进行注入的话还是首先要测试诸如点,就在passwd的值后面加’或者\之类的,和之前的注入操作基本相似。 然后这里有一个万能密码就,虽然你密码输的不一定对,但是我 or 1=1 就一定对了 如图 就可以看到这边结果已经是登录成功了 ...
注入
weixin_30446613的博客
10-21 152
$fiter = array( "'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUN...
php防止url注入漏洞,php安全模式及alluow_url_open注入漏洞
weixin_42188512的博客
03-19 828
php safe_mode 是否开启?safe_mode 设置成 on 会影响哪些函数的使用?fopen() 检查被操作的目录是否与正在执行的脚本有相同的 UID(所有者)。mkdir() 检查被操作的目录是否与正在执行的脚本有相同的 UID(所有者)。rmdir() 检查被操作的目录是否与正在执行的脚本有相同的 UID(所有者)。rename() 检查被操作的文件或目录是否与正在执行的脚本有...
常用注入 Script 方法
王乐平 技术博客
01-31 2263
js 代码注入
链接注入(便于跨站请求伪造)
日拱一卒无有尽,功不唐捐终入海
11-25 1万+
安全风险: 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件 可能原因 未对用户输入正确执行危险字符清理 技术描述 “链接注入”是修
防止用户从地址栏直接访问后台接口
热门推荐
段宜恩的博客
03-13 1万+
我们可以通过判断拦截器、过滤器http请求头里的referer来实现,但是存在一定的问题 在拦截器的perHandle方法中判断httpServletRequest.getHeader("referer")是否为空,若为空则拦截来防止用户通过地址栏直接访问后台接口。 HTTP Referrer是header的一部分,当浏览器向web服务器发出请求的时候,一般会带上Referer,告
java过滤器防止sql注入
06-02
为了防止 SQL 注入攻击,可以通过在 Java Web 应用中使用过滤器(Filter)来拦截和处理用户输入的请求。以下是一些常见的方法: 1. 对用户输入的数据进行过滤和验证,比如限制输入长度、检查数据类型等。 2. 使用预...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值