java 暴露 url 安全_[Java教程]URL安全问题(过滤器)

最新推荐文章于 2023-01-11 17:40:05 发布
最新推荐文章于 2023-01-11 17:40:05 发布
阅读量529 收藏 1
点赞数
文章标签: java 暴露 url 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42507297/article/details/114730329
版权

[Java教程]URL安全问题(过滤器)

0 2014-04-08 16:00:14

在做一个java web 应用的时候,经常要涉及到三个URL的安全问题:

1、没有登录,直接输入对应的URL就可以进入页面;

2、权限问题,普通用户也可以进入管理员的页面,没有权限限制。

3、seesion失效时,刷新会错误。

4、防止用户从其他网站url直接连接进入我网站的某个资源,或者某些页面要求必须从某个页面传递进来,直接输入url进入可能会缺少数据而报错等。此时,可以查看请求的上个页面url来判断,语句如下:httpRequest.getHeader("referer") 该语句可以获得上个页面的url。

解决方法就是配置附过滤器对请求进行过滤:

相应的解决方法为:

1、第一点和第三点、第四点的解决方法:

配置用户登录过滤器,即检查session中有没有用户存在,若存在,则进入,没有存在,则跳转。实现如下:

bc91bb04e6e9c61e24c974e4440db8f2.gif

bc91bb04e6e9c61e24c974e4440db8f2.gif1 /* 2 * To change this license header, choose License Headers in Project Properties. 3 * To change this template file, choose Tools | Templates 4 * and open the template in the editor. 5 */ 6 package com.manager.web.filter; 7 8 import java.io.IOException; 9 import java.io.PrintStream;10 import java.io.PrintWriter;11 import java.io.StringWriter;12 import javax.servlet.Filter;13 import javax.servlet.FilterChain;14 import javax.servlet.FilterConfig;15 import javax.servlet.ServletException;16 import javax.servlet.ServletRequest;17 import javax.servlet.ServletResponse;18 import javax.servlet.annotation.WebFilter;19 import javax.servlet.http.HttpServletRequest;20 import javax.servlet.http.HttpServletResponse;21 import javax.servlet.http.HttpSession;22 23 /**24 *25 * @author wang26 */27 @WebFilter(filterName = "loginFilter", urlPatterns = {"*.do"})28 public class LoginFilter implements Filter {29 30 private final static String[] exit_url = {"/login/index.do", "/login/logOff.do"}; // 不用做权限判断的URL 31 32 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {33 // 1、转化成http的请求和响应34 HttpServletRequest httpRequest = (HttpServletRequest) request;35 HttpServletResponse httpResponse = (HttpServletResponse) response;36 String url = httpRequest.getRequestURI();37 System.out.println(url + ":do login Filer!");38 39 // 2、取得session40 HttpSession session = httpRequest.getSession();41 42 // 3、先过滤掉一些不用登录也可以访问的页面43 boolean isExit = false;44 for (String u : exit_url) {45 if (url.indexOf(u) >= 0) {46 // System.out.println(url + "---" + url.indexOf(u));47 isExit = true;48 break;49 }50 }51 52 // 4、/login/verify.do这个请求比较特殊,为了安全,应该屏蔽没有登录的用户请求进入,53 // 但是由于发出该请求时用户肯定是空的,没法使用下面的方法屏蔽,需要使用另外一种方法54 // 即判断发出该请求的上个请求uri是来自与登录页面的uri,就允许请求,否则拒绝,转到index。55 // 下面判断url是对verify的请求,且上个页面不是/login/index.do,便转发到登录页面56 if (url.contains("/login/verify.do")) {57 //上个页面来自登录页面58 if (httpRequest.getHeader("referer") != null && httpRequest.getHeader("referer").contains("/login/index.do")) {59 isExit = true;60 } else {//不是来自登录页面,拒绝这个请求61 httpResponse.sendRedirect("/managerSystem/login/index.do");62 return;63 }64 }65 66 // 4、判断session中有没有user这个属性,如果有这表明已经登录;若无,则表明还没登录,应该重定向到登录页面67 if (!isExit && session.getAttribute("user") == null) {68 // System.out.println(url + "Yes!");69 httpResponse.sendRedirect("/managerSystem/login/index.do");70 return;//必须加,不然会继续往后执行71 }72 73 chain.doFilter(request, response);74 }75 76 public void destroy() {77 }78 79 /**80 * Init method for this filter81 */82 public void init(FilterConfig filterConfig) {83 }84 85 }

View Code

2、第二点的解决方法:

配置权限管理过滤器

bc91bb04e6e9c61e24c974e4440db8f2.gif

bc91bb04e6e9c61e24c974e4440db8f2.gif1 /* 2 * To change this license header, choose License Headers in Project Properties. 3 * To change this template file, choose Tools | Templates 4 * and open the template in the editor. 5 */ 6 package com.manager.web.filter; 7 8 import com.manager.web.entity.User; 9 import java.io.IOException;10 import java.io.PrintStream;11 import java.io.PrintWriter;12 import java.io.StringWriter;13 import javax.servlet.Filter;14 import javax.servlet.FilterChain;15 import javax.servlet.FilterConfig;16 import javax.servlet.ServletException;17 import javax.servlet.ServletRequest;18 import javax.servlet.ServletResponse;19 import javax.servlet.annotation.WebFilter;20 import javax.servlet.http.HttpServletRequest;21 import javax.servlet.http.HttpServletResponse;22 import javax.servlet.http.HttpSession;23 24 /**25 *26 * @author wang27 */28 @WebFilter(filterName = "permitFilter", urlPatterns = {"*.do"})29 public class PermitFilter implements Filter {30 // 不用做权限判断的URL 31 private final static String[] user_canot_access_url = 32 {"login/adminHomePage.do", "signature/adminUserSignature.do","user/adminUserManager.do"}; 33 34 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {35 // 1、转化成http的请求和响应36 HttpServletRequest httpRequest = (HttpServletRequest) request;37 HttpServletResponse httpResponse = (HttpServletResponse) response;38 String uri = httpRequest.getRequestURI();39 System.out.println(uri + ":do permit Filer!");40 41 // 2、取得session中的user,判断他的用户类型(user或者admin),限制user对管理员页面的访问42 HttpSession session = httpRequest.getSession();43 User user = (User) session.getAttribute("user");44 45 // 3、//判断用户登录且用户类型是user46 if (user != null && user.getUser_type().equals("user")) {47 for(String u:user_canot_access_url){48 if(uri.endsWith(u)){49 httpResponse.sendRedirect("/managerSystem/login/index.do");50 return;51 }52 } 53 }54 55 chain.doFilter(request, response);56 }57 58 public void destroy() {59 }60 61 /**62 * Init method for this filter63 */64 public void init(FilterConfig filterConfig) {65 }66 67 }

View Code

本文网址:http://www.shaoqun.com/a/87974.html

*特别声明:以上内容来自于网络收集,著作权属原作者所有,如有侵权,请联系我们:admin@shaoqun.com。

URL

0

山城绝唱
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java中文乱码之解决URL中文乱码问题的方法
09-02
主要为大家分享了介绍了java中文乱码之解决URL中文乱码问题的方法,感兴趣的小伙伴们可以参考一下
Java截取url参数的方法
09-01
本文给大家带来了java截取url参数,url值得方法,代码简单易懂,非常不错,具有参考借鉴价值,感兴趣的朋友一起学习吧
Java服务启用不安全的http方法解决方式
说不如做
08-20 1625
说明 如果启用了不必要的HTTP方法可能会带来安全问题,如果启用了不必要的HTTP方法可能会带来安全问题。 解决方式是可以禁用掉不必要的方法。 解决 进入tomcat下修改conf目录的web.xml信息。 打开web.xml vim web.xml 添加如下配置信息: <security-constraint> <web-resource-collection> <web-resource-name>fortune</web-reso
Java 过滤器解决URLSQL注入漏洞、跨站漏洞、框架注入漏洞、链接注入漏洞
SuperstarSteven的博客
08-16 5957
一、 漏洞描述 1. 检测到目标URL存在SQL注入漏洞 很多WEB应用中都存在SQL注入漏洞。SQL注入是一种攻击者利用代码缺陷进行攻击的方式,可在任何能够影响数据库查询的应用程序参数中利用。例如url本身的参数、post数据或cookie值。 2.检测到目标URL存在跨站漏洞 跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息或在终端用户系统上执行恶意代码
Java开发常见漏洞及解决方案
ZHANGLIZENG的博客
01-11 5100
Java开发常见漏洞及解决方案
urlrewrite-------解决大型WEB系统URL暴露安全问题
bohaiwaiwai的博客
01-07 329
未经过改写的WEB系统的URL可以泄漏工程文件的目录,为了保证WEB系统的安全,免遭黑客的攻击,我们通常要对URL进行重写,目的就是使访问者看不到真实的路径,从而可以减少黑客攻击的可能性,下面给出一个简单的登陆例子,将http://localhost:8080/urlrewrite/login.do改写为http://localhost:8080/urlrewrite/mylogin/ 1...
a标签跳转为什么带上了当前的url路径
范天缘的博客
02-19 1838
原因:如果不带http,浏览器会认你那个是路径而不是连接,所以需要加上 错误 跳转测试 <a href='www.baidu.com'>跳转测试</a> 正确 跳转测试 <a href='http://www.baidu.com'>跳转测试</a>
URL.rar_java url_java 下载_url
09-22
输入URL,可以把URL所指的主页下载到指定的文件夹
url.zip_Java URL实现文件下载
09-14
使用统一资源定位符类URL实现文件下载,同时ImageIO也可以实现
ssl.tar.gz_URL HTTPS_https_https java_https ssl_java https
09-14
using https url connection.
【后端-接口设计】java应用接口授权鉴权与URL防篡改详细设计
Ric的博客
10-13 2965
1. 颁发授权码 系统内部维护一系列授权码,授权码绑定接口白名单,第三方系统调用时需要`header`携带拥有权限的授权码才能访问指定某些接口。 2. 使用`MD5`签名防止`URL`被篡改 第三方客户端发起请求时对`URL`进行`MD5`加密,把签名放到请求头。系统做拦截,再次对`URL`进行MD5加密,做签名对比,签名一致即可放行。
Java中常见的URL问题及解决方案
p15097962069的博客
08-28 317
Java中常见的URL问题及解决方案
java安全增加url_规范化String以在Java中创建安全URL
weixin_39654352的博客
02-27 176
我正在用Java编写一个库,它以这种方式从文件名列表中创建URL:final String domain = "http://www.example.com/";String filenames[] = {"Normal text","Ich weiß nicht", "L'ho inserito tra i princìpi"};System.out.println(domain+normali...
java http url xss,网站漏洞Web页面16个常见安全问题
weixin_35457966的博客
03-13 224
网站漏洞是我们经常会遇到也会经常面对的一个词语,也是最令站长们和网站运维人员最头痛的一个词语。今天小编就给大家总结一下中常见的安全漏洞,不会的运维小白们,赶紧看过来了。1、什么是SQL注入?SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力...
java https安全传输
mmdev
09-14 141
HttpsURLConnection 扩展 HttpURLConnection,支持各种特定于 https 功能。此类使用 HostnameVerifier 和 SSLSocketFactory。为这两个类都定义了默认实现。但是,可以根据每个类(静态的)或每个实例来替换该实现。所有新 HttpsURLConnection 实例在创建时将被分配“默认的”静态值,通过在连接前调用每个实例适当的 set...
java url注入链接_java请求URL带参之防XSS攻击
weixin_29213655的博客
02-16 569
packagecom.isoftstone.ifa.web.base.filter;importjava.util.regex.Pattern;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletRequestWrapper;importorg.apache.commons.lang.Str...
Java安全——URLDNS利用链
qq_51663706的博客
09-06 1112
URLDNS利用链
对短链接服务暴露URL进行网络侦察
weixin_43977912的博客
01-26 503
Urlhunter Urlhunter是一款网络侦察和信息收集工具,该工具基于Go语言开发。在该工具的帮助下,广大研究人员可以轻松搜索通过短链接服务暴露URL以及相关资源,比如说bit.ly和goo.gl等等。 工具安装 源码安装 广大研究人员可以点击【这里】访问该项目的预构建源码并运行。比如说: tar xzvf urlhunter_0.1.0_Linux_amd64.tar.gz ./urlhunter --help Go安装 首先,我们需要在自己的计算机设备上安装并配置好Go环境。 接下来,运行下列
Springboot的Javaweb基础知识
ZJH
03-17 1289
Http协议的内容 基于TCP协议,面向连接,安全 一次请求一次响应 每次请求都是独立的,多次请求不共享数据,但节约信道资源 Java中利用会话(cookie,session)来解决多次请求数据共享问题 请求数据格式 打开F12访问百度,点击网络可查看 Get没有请求体 请求数据有三部分:请求行,请求头,请求体 响应数据格式 常见响应状态码 状态码 英文描述 解释 200 OK 客户端请求成功,即处理成功,这是我们最想看到的状态码 302 Found 指示所请求的资源已移动到
java url headers_Java 携带header 请求Url并带Json参数
最新发布
06-12
import java.net.URL; public class HttpUrlConnectionExample { public static void main(String[] args) { try { URL url = new URL("http://example.com/api/endpoint"); HttpURLConnection connection = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值