过滤器 拦截非法的url请求

最新推荐文章于 2023-01-08 21:11:56 发布
最新推荐文章于 2023-01-08 21:11:56 发布
阅读量656 收藏
点赞数
文章标签: java
原文链接:https://my.oschina.net/905430/blog/655256
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

package com.hrt.frame.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;

import com.hrt.frame.entity.model.UserModel;

/**
* 权限检查过滤器
*
* @author  lichao
* @date  2014-4-1
* @version  1.0
*/
@SuppressWarnings("serial")
public class UrlFilter extends HttpServlet implements Filter {

private Log log = LogFactory.getLog(UrlFilter.class);

private final String LOGIN_PATH = "/HrtApp/";//登陆页
private final String LOGIN_REDIRECT = "user_login.action";//登陆跳转
private final String LOGIN_RAND = "rand.action";//验证码

public void doFilter(ServletRequest request, ServletResponse response,
FilterChain filterChain) throws IOException, ServletException {
HttpServletResponse hresponse = (HttpServletResponse) response;
HttpServletRequest hrequest = (HttpServletRequest) request;
HttpSession session = hrequest.getSession(true);
Object user = session.getAttribute("user");//
String url = hrequest.getRequestURI();
if (user == null) {
// 判断获取的路径不为空且不是访问登录页面或执行登录操作时跳转
if (url != null && !url.equals("") && (!url.endsWith(LOGIN_PATH))&& (!url.endsWith(LOGIN_REDIRECT))&& (!url.endsWith(LOGIN_RAND))) {
log.info("非法路径请求url-----》"+url);
hresponse.sendRedirect("/HrtApp");
return;
}
}
// 已通过验证,用户访问继续
filterChain.doFilter(request, response);
return;
}

public void init(FilterConfig arg0) throws ServletException {
// TODO Auto-generated method stub

}

}





web。xml添加配置内容
<!-- urlFilter -->
<filter>
<filter-name>urlFilter</filter-name>
<filter-class>com.hrt.frame.filter.UrlFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>urlFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>urlFilter</filter-name>
<url-pattern>*.action</url-pattern>
</filter-mapping>

转载于:https://my.oschina.net/905430/blog/655256

weixin_33690367
关注
Filter过滤器拦截恶意登录的使用(适合萌新理解)
m0_73502703的博客
05-22 260
过滤器拦截恶意访问,如果只拦截jsp页面,那恶意访问Servlet是不会被拦截的,这就是一个bug。所以得拦截所有,如果是登陆页面,注册页面,错误页面,就放行。那么问题又来了,登陆的时候会跳转到LoginServlet,也会被拦截下来,所以是LoginServlet也得放行。
过滤器中过滤非法url时发生的转向及过滤问题
battier1314的专栏
05-21 1170
各位前辈:由于小弟想用model2实现一个过滤器,具体的业务是:将用户输入的url跟已经保存在xml文件中的合法url进行匹配,处理结果是:如果匹配成功,则跳转至用户指定的页面;如果没有匹配成功,则跳转到指定的错误页面,提示用户url输入有误,现在那程序说话:1、这是过滤器的实现: import java.io.File;import java.io.IOException;impor
BeetleX网关非法Url请求拦截插件
dotNET跨平台
01-13 375
一旦网站部署到互联网上,就会受到一些非法请求,而这些请求Url都是一些特定的路径或带上一些无关请求的字符用于探测一些服务存在的问题;还有这些请求会落到日志中,导致日志臃肿和转发到后台...
使用过滤器防止非法访问WEB网页
jingren1219的博客
01-22 3094
问题:一般情况下,我们需要先登录,然后进入到下一个页面,但如果有人知道文件名等方式,绕过登录,可直接去访问后续页面,针对这样的问题,可以使用过滤器Filter去操作,具体方案如下: 文章转载http://www.51testing.com/html/06/183306-124904.html 附Filter学习资料:http://www.cnblogs.com/xdp-gacl/p/3
浅谈恶意请求造成缓存穿透和布隆过滤器
最新发布
浪子城
01-08 267
Bloom Filter(布隆过滤器)是一种空间效率很高的随机数据结构,它利用位数组很简洁地表示一个集合,并能判断一个元素是否属于这个集合。Bloom Filter的这种高效是有一定代价的:在判断一个元素是否属于某个集合时,有可能会把不属于这个集合的元素误认为属于这个集合(false positive)。因此,Bloom Filter不适合那些“零错误”的应用场合。而在能容忍低错误率的应用场合下,Bloom Filter通过极少的错误换取了存储空间的极大节省。优点:空间效率和查询时间都远远超过一般的算法。
使用Servlet过滤器拦截非法请求
URL模式决定了哪些请求会被过滤器拦截。 3. 实现doFilter()方法: `doFilter()`方法是过滤器的核心,它接收三个参数:`ServletRequest`、`ServletResponse`和`FilterChain`。在这个方法里,你可以对请求和响应进行...
java 请求参数过滤拦截
03-10
这里的“java请求参数过滤拦截”主要是指在接口接收到用户输入的数据时,通过过滤器(Filter)对参数进行检查,防止恶意攻击者利用特殊字符执行SQL注入、跨站脚本攻击(XSS)等危害。下面我们将详细探讨这一主题。 ...
浅析JAVA过滤器、监听器、拦截器的区别
01-20
所谓过滤器顾名思义是用来过滤的,在java web中,你传入的request,response提前过滤掉一些信息,或者提前设置一些参数,然后再传入servlet或者struts的action进行业务逻辑,比如过滤掉非法url(不是login.do的地址...
通过过滤器Filter拦截非法访问web资源请求和设置编码
Qcmoke's Blog
06-18 3687
首先我们先了解过滤器Filter与Serlet的区别/* * 功能区别: * Serlet用于处理业务逻辑的 * Filter用于拦截、检查和处理请求和响应 * 代码区别: * Filter生命周期函数多出了doFilter() * Filter的init()和Serlet的init()执行的时间不一样,servlet在客户端第一次访问servlet时,此servlet调用init初始化,...
解决springmvc项目中使用过滤器来解决请求方式为post时出现乱码的问题
08-24
"解决springmvc项目中使用过滤器来解决请求方式为post时出现乱码的问题" Spring MVC 项目中,使用过滤器来解决请求方式为 POST 时出现乱码的问题是非常重要的。本文将详细介绍如何使用过滤器来解决这个问题,并给...
过滤器实现URL拦截,跳转URL
ceshiyuan001的博客
05-05 5436
过滤器实现URL拦截,跳转URL 一,背景 业务存在pc和pad两个客户端,pc已经上线。并且pc和pad大部分的接口都可以复用,为了避免重复的代码写2份(即相同的controller),所以目标是pc和pad共用controller,至于pad新的接口,则pad专属。 二,实现 为了实现pc和pad接口公用,pad会在url上传入特定的前缀,比如/pad。 使用过滤器,在DispatcherServlet#doDispatch方法执行前,将url进行替换。 AbstractHandlerMethodMap
http请求拦截
xiaohuihui_z的博客
03-27 601
import axios from ‘axios’ import store from ‘@/vuex’ import {generateUUID} from ‘@/utils/uuIdUtils’ import {Encrypt,Decrypt} from ‘@/utils/cryptoUtils’ import { Message } from ‘element-ui’ export defa...
springboot配置拦截站外非法请求 - 高效简便
华少哥的博客
04-28 1338
有时候我们在项目中出于安全考虑有些ajax的异步请求接口是不希望人为的去调用的,只允许项目自己在程序中访问。虽然说现在有很多的安全权限框架都能实现这些。但是有不排除一些开放式类型的网站其实的很多场景都可能并用不到这些权限框架。 所以…在框架大行其道的时代,我讲一种返璞归真的方式实现站外人为非法请求拦截。 结果:就算打开F12拿到你的接口地址,去postman或者浏览器地址栏调用,请求一律会被拦截无法获取到接口的数据,只有程序自己内部的调用是OK的 话不多言,上代码!!! 编写拦截器 /** * 拦截
过滤掉URL传递变量中的可能存在的安全隐患
jxyuhua的地盘
08-30 1075
foreach ($_GET as $secvalue) {    if ((eregi("]*script*/"?[^>]*>", $secvalue)) ||    (eregi("]*object*/"?[^>]*>", $secvalue)) ||    (eregi("]*iframe*/"?[^>]*>", $secvalue)) ||    (eregi("]*a
【微信公众号】redirect_url错误
咔咔博客
06-21 5675
author:咔咔 wechat:fangkangfk 公众号:PHP初学者必看 这是请求地址 https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx986dedf35fce6e3d&redirect_uri=http://pj5sdj.natappfree.cc/blog&response_type=...
如何防止非法请求
weixin_30443747的博客
12-17 1598
方案一:每个请求都带上一个由服务器生成的随机参数。然后在服务器端和对该参数,如果和下发的随机数不同,则可以认为有人在伪造请求。因为攻击者无法知道他本次攻击的http请求需要带什么样的随机数才是有效的。 方案二:跨域伪造之所以能成功,主要决定因素是攻击者的页面和稍候被打开的目标页面共享session信息。受害者登录后,攻击者的页面通过ajax向被攻击网站的关键业务发起的请求便自动带上了合法的ses...
springboot 对于不存在的URI,发生页面404 进行异常处理
新一的技术笔记
10-08 2639
目录 前言: 1. springboot做了默认的URI找不到的处理 2. 可以在yml配置文件中加入下面内容 3. 统一异常捕获 前言: 因为纯后端项目,需求中有需要对URI没有的情况,进行错误码返回。 所以加上了这个页面404的异常捕获~ 不得不说,springboot 是真的方便 至于全局异常处理,之前有写过: https://blog.csdn.net/pmdrea...
SpringCloud gateway 统一请求拦截
ye15950551288的博客
04-26 5972
在SpringCloud微服务框架下,可以通过网关gateway来进行统一的接口请求拦截,这里我主要用来做接口数据的加解密传输,这里使用了RSA非对称加密算法。(后面会附上完整代码) 首先先定义一个FilterConfig,实现GlobalFilter和Ordered两个接口 主要是实现filter拦截方法 rsaFilter函数的实现: 整个拦截过程做了两件事:1、解密get请求参数,也就是url中的参数,2、解密body体中的请求参数,也就是post请求参数,这里前后端约定好了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值