java过滤器ip白名单_通过过滤器UnknownRefererSecurityFilter实现开放接口白名单授权访问,防止内容被盗爬...

最新推荐文章于 2024-04-27 09:42:10 发布
最新推荐文章于 2024-04-27 09:42:10 发布
阅读量491 收藏
点赞数
文章标签: java过滤器ip白名单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36155846/article/details/114900549
版权

一、前言

最近发现网站内容存在直接通过开放接口被抓取的的安全隐患,于是写了个安全过滤器UnknownRefererSecurityFilter实现允许白名单访问域接入到本站直接获取内容,之前也写过防止相关页面盗链的文章可以参考,该功能现在上线,测试效果如下图所示

ff6fff683f0e53f011ebd2c0f98d584d.png

二、代码示例

1. UnknownRefererSecurityFilter类内容如下所示package com.xwood.search.security;@b@@b@import java.io.IOException;@b@import java.io.PrintWriter;@b@import javax.servlet.Filter;@b@import javax.servlet.FilterChain;@b@import javax.servlet.FilterConfig;@b@import javax.servlet.ServletException;@b@import javax.servlet.ServletRequest;@b@import javax.servlet.ServletResponse;@b@import javax.servlet.http.HttpServletRequest;@b@import javax.servlet.http.HttpServletResponse;@b@@b@public class UnknownRefererSecurityFilter implements Filter {@b@    @b@    /**白名单配置单*/@b@    private static final String[] whiteLists={"xwood.net","139.196.30.182"}; @b@@b@    @Override@b@    public void init(FilterConfig filterConfig) throws ServletException {@b@        // TODO Auto-generated method stub @b@    }@b@    @b@    private boolean filterHeaderByWhileLists(HttpServletRequest hreq,String s_index){@b@        if(hreq.getHeader("Referer").indexOf(s_index)!=-1)@b@            return true;@b@        return false;@b@    }@b@    @b@    /**@b@     * 过滤白名单@b@     * @param hreq@b@     * @return@b@     */@b@    private boolean filterHeaderRefer(HttpServletRequest hreq){@b@        if(null==hreq.getHeader("Referer")){@b@            return false;@b@        }@b@        for(String s:whiteLists){@b@            if(filterHeaderByWhileLists(hreq,s))@b@                return true;@b@        }@b@        return false;@b@    }@b@@b@    @SuppressWarnings("unused")@b@    @Override@b@    public void doFilter(ServletRequest request, ServletResponse response,@b@            FilterChain chain) throws IOException, ServletException {@b@        // TODO Auto-generated method stub@b@        HttpServletRequest hreq = (HttpServletRequest) request;@b@        HttpServletResponse hres = (HttpServletResponse) response;@b@        boolean isAllowed=filterHeaderRefer(hreq); //防止非白名单通过搜索抓取本站内容@b@        if (isAllowed) {@b@            chain.doFilter(request, response);@b@        } else { @b@            PrintWriter out = hres.getWriter();@b@            out.println("Illegal access!!!");    @b@        }@b@    }@b@@b@    @Override@b@    public void destroy() {@b@    }@b@@b@}

2. 配置过滤器@b@        unknownRefererSecurityFilter@b@        com.xwood.search.security.UnknownRefererSecurityFilter@b@    @b@    @b@        unknownRefererSecurityFilter@b@        /*@b@    

Dr.Stein
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
QQLogin.rar_QQ 登陆_QQ自动_QQ自动登陆器_qq 自动登陆_qqLongin.rar
09-21
这个"QQLogin.rar"压缩包文件可能包含了实现这一功能的相关代码、文档或资源。从标题和描述来看,核心知识点主要涉及到QQ的登陆过程以及密码加密算法的实现。 1. **QQ登陆流程**: QQ登陆通常涉及到以下几个步骤:...
Java 设置免登录请求接口被拦截问题
朝花夕拾的博客
09-09 612
1、在设置免登录时,前端将请求的路由添加到白名单后,请求接口还是被拦截到了,将请求接口也设置后还是会被拦截跳转到登录页面。通过JAVA 注解 @Anonymous 进行设置匿名访问就可以了。
如何防止接口被重复调用,防止接口被第三方调用
阿发狗伪原创
10-29 1057
(2)用户登陆后生成临时token,存到服务器,并返回客户端,客户端下次请求时把此token传到服务器,验证token是否有效,有效就登陆成功,并生成新的token返回给客户端,让客户端在下一次请求的时候再传回进行判断,如此重复。(3)两层token:一般第一次用账号密码登录服务器会返回两个token,时效长短不一样,短的时效过了之后,发送时效长的token重新获取一个短时效,如果都过期,那么就需要重新登录了。1. 加密,时间戳,每个包要有包序号,每次同向加1,收到重复序号认为是攻击,可以抵御重放攻击。
Spring Security介绍(三)过滤器(2)自定义
最新发布
w_t_y_y的博客
04-27 716
Component@Slf4j@Overridelog.info("进入UrlFilter");@Component@Slf4j@Overridelog.info("进入UrlFilter-one");修改自定义的UrlFilter,修改为继承OncePerRequestFilter@Component@Slf4j@Overridelog.info("进入UrlFilter");
使用Java拦截器实现请求和响应的拦截
qq_61984546的博客
10-14 1685
Java中,拦截器通常用于对请求和响应进行预处理或后处理,以便在实际处理业务逻辑之前或之后执行特定的操作。
过滤器白名单+接口token验证
qq_14815383的博客
03-04 1657
1、过滤器实现 package com.zrar.arask.cs.filter; import com.zrar.arask.cs.util.JWTUtil; import com.zrar.easyweb.core.util.StringUtil; import com.zrar.easyweb.jose.jwt.SignedJWT; import com.zrar.easyweb.util.GsonUtil; import com.zrar.easyweb.web.core.bean.JsonRes
接口如何防止被刷,教你有效的8种方法
m0_66326520的博客
02-23 1907
现在越来越多的应用程序和服务都提供了API接口,使得开发人员可以方便地与这些应用程序和服务进行交互。但是,由于API接口是公开的,因此很容易被黑客利用,对系统造成损害。为了确保API接口的安全性,我们需要采取一些措施,例如使用签名机制和限流机制来增强接口的安全性。在本文中,我们将介绍如何使用PHP实现这些措施,并防止API接口被恶意刷。
WEB漏洞扫描器-AWVS 2020年4月最新版acunetix_14.7.220401065
04-18
多达70 %的网站有漏洞,可能导致公司机密数据被盗,如 信用卡信息和客户名单。 黑客正在每天24小时,每周七天的专注攻击Web的应用程序--购物车,表格,登入网页,动态页面等。世界上任何不安全的Web应用层都为他们...
基于Java的源码-API访问授权开放标准 OAuth.zip
07-15
总之,OAuth为API访问提供了安全的授权方式,Java开发者可以通过这个压缩包中的源码学习并实践OAuth的实现,提升自己的技能。在实际开发中,理解并正确使用OAuth能够为用户提供安全的数据访问体验,同时保护他们的...
RFID.rar_RFID 防盗_RFID,防盗器_rfid_汽车防盗_防盗器
09-21
2. 实时监控:RFID系统可以实时追踪车辆的位置,通过安装在车辆上的RFID标签与遍布城市各个角落的读写器网络配合,当车辆进入或离开特定区域时,系统会自动记录并通知车主或监控中心,防止车辆被盗。 3. 被动防盗:...
two_card.rar_双向 汽车_摩托车_摩托车防盗_汽车防盗器_防盗器
09-14
标题中的"two_card.rar_双向 汽车_摩托车_摩托车防盗_汽车防盗器_防盗器"揭示了这个压缩包内容的核心,它涉及到一个双向防盗系统,既适用于汽车也适用于摩托车。这种系统通常包含了硬件和软件两部分,用于增强车辆的...
Java拦截所有接口请求并过滤请求头内容
RHHcainiao的博客
11-09 662
拦击器拦截接口请求获取请求头数据
java 接口 白名单,SpringBoot HTTP接口跨域调用及白名单实现
weixin_39737233的博客
03-19 1547
背景系统之前为一个单页应用提供过Rest接口,部署时这个单页应用与系统不在同一域内,出现跨域无法访问的问题。Spring 从 4.2 版本开始提供了@CrossOrigin注解,让这个问题的解决变得非常简单。实现一首先看下@CrossOrigin的源码(删掉了开头的部分注释):package org.springframework.web.bind.annotation;import java.l...
java 拦截url请求_关于Java实现拦截HTTP请求的几种方式?
weixin_31312621的博客
02-15 3137
弑天下在Java的服务端开发当中,拦截器是很常见的业务场景,这里对Java开发当中几种常见的拦截器的实现方式进行记录和分析。案例说明基于Spring Boot环境。一:实现javax.servlet.Filter接口(使用过滤器方式拦截请求)import org.springframework.stereotype.Component;import javax.servlet.*;import j...
获取请求端的ip地址
aidixi8066的博客
09-05 377
获取请求端的ip地址: public static String getIp(HttpServletRequest request) { String ip = request.getHeader("X-Forwarded-For"); String unKnownIp = "unKnown"; if (StringUtils.isNotEmpty(i...
java服务器访问白名单
化名三爷
07-18 4673
请移步我的这篇博客: https://blog.csdn.net/zlxls/article/details/107432468 该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善
通过Security设置白名单
weixin_51722520的博客
10-11 2238
请问请问
Java快速实现权限认证Security和Shiro
大个头铲屎官的博客
08-30 894
Java快速实现权限认证Security和Shiro。
java 接口 白名单_策略:服务器上的白名单安全机制
weixin_33600376的博客
02-24 1139
图片都存在一起,最大的好处就是可以做CDN加速.特别是某些高清图.同理,视频,音频文件也是这样的.然而今天却并不是要从这个角度去讨论这个话题.今天的话题,从一个不太可爱的地方谈起:静态潜伏的恶意代码.在一个看似正常的动态链接库里面,潜伏着一段恶意代码.当知晓这个秘密的神秘来客用一个同样是看似无害的程序加载了这个库之后,只要调用一个不为人知的API,剩下的事情,也就只能由这个神秘人头顶的神明来决定了...
com . google . android . gms . policy _ sidecar _ aps
07-14
### 回答1: com.google.android.gms.policy_sidecar_aps是一个Android应用程序的包名。在Google Play服务框架中,com.google.android.gms是Google提供的一组开发者工具和服务的集合,用于支持Android应用程序的开发和运行。policy_sidecar_aps是这个集合中的一个具体组件或模块。 这个com.google.android.gms.policy_sidecar_aps模块很有可能是关于策略和辅助功能的应用程序。在Android系统中,策略通常指的是应用程序的安全策略和权限管理,这个模块可能提供相关的功能和API供开发者使用。而辅助功能通常指的是一些帮助用户操作和访问性的功能,比如屏幕阅读器、语音识别等,这个模块可能也与相关的辅助功能有关。 具体来说,com.google.android.gms.policy_sidecar_aps可能提供一些能够帮助开发者管理和设置应用程序权限的功能,或者提供一些能够帮助开发者实现辅助功能的API和工具。这样的模块可以使开发者更方便地开发和优化他们的应用程序,同时提高用户体验和安全性。它可能还包含一些关于设备策略和合规性的相关功能,以便开发者和企业可以更好地管理和保护他们的设备和数据。 总之,com.google.android.gms.policy_sidecar_aps是一个可能涉及到安全策略、权限管理和辅助功能的组件或模块,为Android开发者提供相关的功能和API。 ### 回答2: com.google.android.gms.policy_sidecar_aps是Google Play服务中的一个模块,用于在安卓设备上管理并执行特定的策略。该模块主要用于辅助应用程序,协助实施策略和规则,以确保设备的安全性和合规性。 该模块的具体功能包括但不限于以下几个方面: 1.设备策略管理:通过com.google.android.gms.policy_sidecar_aps模块,用户可以定义和管理与设备安全相关的策略,如密码要求、数据加密、应用程序安装和使用权限等。这样可以保护设备上的数据,并防止用户滥用权限。 2.远程命令执行:该模块可以接收并执行远程命令,包括锁定设备、擦除设备数据等操作。这样,即使设备丢失或被盗,用户可以通过远程执行命令来保护个人数据的安全。 3.安全审计和报告:com.google.android.gms.policy_sidecar_aps模块可以收集设备上的日志和审计数据,并生成报告,帮助用户了解设备的使用情况和潜在安全问题。这样可以帮助用户及时发现和解决安全风险。 总之,com.google.android.gms.policy_sidecar_aps模块是Google Play服务中的一部分,用于在安卓设备上管理和实施安全策略。通过该模块,用户可以保护设备和个人数据的安全,确保设备符合规定的安全要求,提升设备的安全性和合规性。 ### 回答3: com.google.android.gms.policy_sidecar_aps是一个作为Google Play服务的一部分的Android软件包。它的主要目的是为Android设备提供与政策和权限相关的功能。具体来说,policy_sidecar_aps主要用于处理和管理设备策略、许可和权限,以确保设备和应用程序的安全性和合规性。 在Android设备上,许多应用程序需要与设备的政策和权限进行交互。通过policy_sidecar_aps,应用程序可以访问和处理诸如设备锁定策略、屏幕超时策略、数据限制策略等设备相关的属性和策略。此外,它还提供了一种机制,用于应用程序与用户许可和权限进行交互,例如请求对敏感数据进行访问的权限。 policy_sidecar_aps还可以确保应用程序和设备的合规性。它可以检查设备以确保其遵守特定的政策和标准,例如GDPR(通用数据保护法规)或HIPAA(美国健康保险可移植性和责任法案)。如果设备不符合要求,它可以采取相应的措施,例如限制应用程序的访问权限或提醒用户采取必要的措施。 总之,com.google.android.gms.policy_sidecar_aps是一个在Android设备上处理和管理政策、许可和权限的关键组件。它确保设备和应用程序的安全性和合规性,以及提供用户与设备政策和权限进行交互的机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值