java防盗链_Java防盗链在报表中的应用实例

最新推荐文章于 2024-05-07 10:38:47 发布
最新推荐文章于 2024-05-07 10:38:47 发布
阅读量184 收藏
点赞数
文章标签: java防盗链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35315019/article/details/114403168
版权

今天我们来聊聊Java防盗链,多说无用,直接上应用案例。

这里所用的工具是报表软件FineReport,搭配有决策系统(一个web前端展示系统,主要用于权限控制),可以采用java防盗链的方式来实现页面权限。

浏览器中直接输入报表URL的时候,它的头文件是空的,因此,可以在访问的时候做两个判断:头文件是否为空以及以什么页面进行跳转,如果不符合跳到错误页面即可。

什么是Referer?

这里的 Referer 指的是HTTP头部的一个字段,也称为HTTP来源地址(HTTP Referer),用来表示从哪儿链接到目前的网页,采用的格式是URL。换句话说,借着 HTTP Referer 头部网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。

c10886c077c35ad7c97239199fe7ecbd.png

什么是空Referer,什么时候会出现空Referer?

首先,我们对空Referer的定义为,Referer 头部的内容为空,或者,一个HTTP请求中根本不包含Referer头部。

那么什么时候HTTP请求会不包含Referer字段呢?根据Referer的定义,它的作用是指示一个请求是从哪里链接过来,那么当一个请求并不是由链接触发产生的,那么自然也就不需要指定这个请求的链接来源。

比如,直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含Referer字段的,因为这是一个“凭空产生”的HTTP请求,并不是从一个地方链接过去的。

e40fd36fa8f0a8d923c186c6da16c8c6.png

在防盗链设置中,允许空Referer和不允许空Referer有什么区别?

在防盗链中,如果允许包含空的Referer,那么通过浏览器地址栏直接访问该资源URL是可以访问到的;

但如果不允许包含空的Referer,那么通过浏览器直接访问也是被禁止的。

操作步骤

1、添加class文件

编写一个类文件,用来判断头文件是否为空,代码如下:package com.fr.test;

import java.io.IOException;

import java.io.PrintWriter;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

public class Dodo implements Filter {

public void destroy() {

// TODO Auto-generated method stub

}

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest req = (HttpServletRequest) request;

HttpServletResponse resp = (HttpServletResponse) response;

String referer = req.getHeader("referer");

//下面的IP地址是正常页面请求

if(null != referer && (referer.trim().startsWith("http://localhost:8033")||referer.trim().startsWith("http://www.finereporthelp.com/test/hello.html"))){

System.out.println("正常页面请求"+referer);

chain.doFilter(req, resp);

//下面的就是出现不是正常页面请求的时候跳转

}else{

System.out.println("盗链"+referer);

req.getRequestDispatcher("/LdapLogin.jsp").forward(req, resp);

}

}

public void init(FilterConfig arg0) throws ServletException {

// TODO Auto-generated method stub

}

}

5b29103132488f76df959a62685c900b.png

将Dodo.java编译成class文件,并放在%TOMCAT_HOME%\WebReport\WEB-INF\classes\com\fr\test目录下。

529d59c05cc9ffb109897bd778fac50c.png

2、修改web.xml文件

打开%TOMCAT_HOME%\webapps\WebReport\WEB-INF下的web.xml文件,配置一个过滤filter,在出现ReportServer的时候执行过滤,代码如下:

89aef79d966a1b1453347b7d20c8fb99.png

AuthFilter

com.fr.test.Dodo

AuthFilter

/ReportServer

两步就可以搞定,如果属于盗链,则跳转至上述的LdapLogin错误页面,这里没有LdapLoign页面,所以直接跳转404。如果还想实现数据权限,则可以通过单点登录或者session注入的方式。

效果测试

准备两个html文件

假设hello.html是正确的网址

测试

防盗链测试

假设steal.html是盗链的网址

测试,错误的链接地址

防盗链测试

情况一

通过hello.html跳转,跳转链接正确,即referer不为空且正确

d2e5b3649deef6ab015d70aacbc4e51a.png

df1306fba0bf5f4c2b3943a8c6b6b5a8.png

情况二

通过steal.html跳转,跳转链接错误,即referer不为空且错误

04abadbb0a122de28e29ef3132a07f7e.png

a542405f54de71b21cab035253d2907f.png

情况三

直接访问URL地址,即referer为空

c54cf9ebcd220a0d300c9a03956fbd4b.png

媒小匣
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java防盗链_javaWeb防止恶意登陆或防盗链的使用
weixin_32108979的博客
02-20 682
使用场景:明明引用了一个正确的图片地址,但显示出来的却是一个红叉或写有“此图片仅限于***网站用户交流沟通使用”之类的“假图片”。用嗅探软件找到了多媒体资源的真实地址用下载软件仍然不能下载。下载一些资源时总是出错,如果确认地址没错的话,大多数情况都是遇上防盗链系统了。常见的防盗链系统,一般使用在图片、音视频、软件等相关的资源上。实现原理:把当前请求的主机与服务器的主机进行比对,如果不一样则就是恶意...
java 盗链_javaWeb防止恶意登陆或防盗链的使用
weixin_33892912的博客
02-15 395
使用场景:明明引用了一个正确的图片地址,但显示出来的却是一个红叉或写有“此图片仅限于***网站用户交流沟通使用”之类的“假图片”。用嗅探软件找到了多媒体资源的真实地址用下载软件仍然不能下载。下载一些资源时总是出错,如果确认地址没错的话,大多数情况都是遇上防盗链系统了。常见的防盗链系统,一般使用在图片、音视频、软件等相关的资源上。实现原理:把当前请求的主机与服务器的主机进行比对,如果不一样则就是恶意...
Java实现图片防盗链功能
youyangrensheng的博客
05-07 225
出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。漏报:攻击者可能找到绕过 referer 检查的方法(例如使用 data URI 或 base64 编码的图片)。反向代理:攻击者可以在url路径,添加域名白名单作为反向代理路径,绕开代码的contains方法检查。出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。以上防盗链拦截器基本实现可以对付一般情况下的图片盗链,但并不能保证绝对安全。4.注册拦截器​​​​​​​。
Java防盗链报表应用实例
小小博客爱分享
06-14 105
今天我们来聊聊Java防盗链,多说无用,直接上应用案例。 这里所用的工具是报表软件FineReport,搭配有决策系统(一个web前端展示系统,主要用于权限控制),可以采用java防盗链的方式来实现页面权限。 浏览器直接输入报表URL的时候,它的头文件是空的,因此,可以在访问的时候做两个判断:头文件是否为空以及以什么页面进行跳转,如果不符合跳到错误页面即可。 什么是Referer? 这...
防盗系统Java_java防盗链报表应用实例(推荐)
weixin_36208314的博客
02-28 70
今天我们来聊聊Java防盗链,多说无用,直接上应用案例。这里所用的工具是报表软件FineReport,搭配有决策系统(一个web前端展示系统,主要用于权限控制),可以采用java防盗链的方式来实现页面权限。浏览器直接输入报表URL的时候,它的头文件是空的,因此,可以在访问的时候做两个判断:头文件是否为空以及以什么页面进行跳转,如果不符合跳到错误页面即可。什么是Referer?这里的 Refere...
JAVA防盗链报表应用实例
_UUID的专栏
12-05 207
今天我们来聊聊Java防盗链,多说无用,直接上应用案例。 这里所用的工具是报表软件FineReport,搭配有决策系统(一个web前端展示系统,主要用于权限控制),可以采用java防盗链的方式来实现页面权限。 浏览器直接输入报表URL的时候,它的头文件是空的,因此,可以在访问的时候做两个判断:头文件是否为空以及以什么页面进行跳转,如果不符合跳到错误页面即可。 什么是Refere
Java_开发面试_补充
阿派_月亮铺子
09-06 671
Java_开发面试_补充
iHRM 人力资源管理系统_第8章POI报表高级应用
10-05 714
iHRM 人力资源管理系统_POI报表高级应用 八、POI报表高级应用 1、模板打印 、概述 、模板打印操作步骤 、代码实现 2、自定义工具类 、自定义注解 、使用工具类完成导入导出操作 3、百万数据报表概述 、概述 、JDK性能监控工具介绍 (1)、 Jvisualvm概述 (2)、Jvisualvm的位置 (3)、Jvisualvm的使用 、解决方案分析 4、百万数据报表导出 、需求分析 、解决方案 (1)、思路分析 (2)、原理分析 、
javaWeb防止恶意登陆或防盗链的使用
wscrf的博客
03-28 944
使用场景:明明引用了一个正确的图片地址,但显示出来的却是一个红叉或写有“此图片仅限于***网站用户交流沟通使用”之类的“假图片”。用嗅探软件找到了多媒体资源的真实地址用下载软件仍然不能下载。下载一些资源时总是出错,如果确认地址没错的话,大多数情况都是遇上防盗链系统了。常见的防盗链系统,一般使用在图片、音视频、软件等相关的资源上。实现原理:把当前请求的主机与服务器的主机进行比对,如果不一样则就是恶意...
Java_SSM入门-Java从0到1学习指南(2)
个人博客dicemy.com
04-01 306
BeanFactory是IoC容器的顶层接口,初始化BeanFactory对象时,加载的bean延迟加载ApplicationContext接口是Spring容器的核心接口,初始化是bean立即加载ApplicationContext接口提供基础的bean操作相关方法,通过其他接口拓展其功能ApplicationContext接口常用初始化类使用@Component定义bean核心配置文件通过组件扫描加载beanSpring提供@Component注解的三个衍生注解。
java防盗链报表应用实例(推荐)
09-01
Java实现防盗链,通常需要自定义过滤器(Filter)。以下是一个简单的示例: ```java package com.fr.test; import java.io.IOException; import java.io.PrintWriter; import javax.servlet.Filter; import ...
java 防盗链详解及解决办法
08-29
防盗链的概念是指在自己的服务器上,通过技术手段将其他网站的内容(比如一些音乐、图片、软件的下载地址)放置在自己的网站,通过这种方法盗取其他网站的空间和流量。防盗链是一种不道德的行为,会对原网站造成很...
Java爬虫小例子,爬取小网站,突破防盗链下载图片
02-02
在IT行业Java爬虫是一种常见的技术,用于自动抓取网页信息,包括文本、图片等。这个"Java爬虫小例子"项目展示了如何利用Java来爬取小型网站,特别是那些有防盗链保护的图片资源。防盗链是网站为了防止其他网站...
Apache利用mod_rewrite实现防盗链
09-16
自从上次在博客推荐《you are my everything》以后,服务器的流量突然多了起来,有几次甚至导致了VPS的当机。后来经过分析:盗链这个MP3的网页包括诸如QQ空间、校内网空间、更有甚者还放到了Taobao小店、个人博客...
基于贝叶斯网络BO-Transformer-BiLSTM实现负荷数据回归预测附matlab代码.rar
07-27
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
易语言 - 易语言我的世界3D源码
最新发布
07-27
易语言我的世界3D源码
avif-0.5.0-cp37-cp37m-manylinux2010_i686.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程如有使用问题,请及时与我沟通交流,帮你解决!
java防盗链代码示例
07-15
以下是一个示例代码,演示如何在 Java 实现防盗链: ```java import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值