注解方式filter过滤器进行header 简单安全验证以及放过静态资源

最新推荐文章于 2025-03-22 14:14:57 发布
最新推荐文章于 2025-03-22 14:14:57 发布
阅读量1.8k 收藏 5
点赞数 1
文章标签: filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42714698/article/details/91835672
版权

起因:项目前台代码和后台代码未分离,临时设置一个简单的安全验证,需要对静态资源进行过滤。


import java.io.IOException;
import java.util.HashSet;
import java.util.Set;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.stereotype.Component;

import com.alibaba.druid.util.StringUtils;

@WebFilter(filterName = "loginFilter", value = "/*")
@Component
public class LoginFilter implements Filter {
    private static final String NAME = "x'x'x";  //header名称
    private static final String ERROR = "x'x'x x'x'x";  //错误返回
    private static final String VALUE = "x'x'x"; //header值

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
        throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String uri = request.getRequestURI();//取到你访问的资源
        String loginToken = request.getHeader(NAME); //获取到对应名称header 的值
        if (uri.equals("/")) {  //静态资源默认访问路径在/下,所以放过
            filterChain.doFilter(servletRequest, servletResponse);
        }
        if (isStaticResource(uri)) {  //判断是否是静态资源
            filterChain.doFilter(servletRequest, servletResponse);
        }
        if (StringUtils.isEmpty(loginToken)) {  //验证token有没有
            response.sendError(404, ERROR);
            return;
        }
        if (!VALUE.equals(loginToken)) { //验证token是否正确
            response.sendError(404, ERROR);
            return;
        }
        filterChain.doFilter(servletRequest, servletResponse);  //放过
    }

    @Override
    public void destroy() {

    }

    private Set<String> staticResourceTypes = new HashSet<String>();

    {
        staticResourceTypes.add(".html");
        staticResourceTypes.add(".css");
        staticResourceTypes.add(".js");
        staticResourceTypes.add(".png");
        staticResourceTypes.add(".jpg");
        staticResourceTypes.add(".otf");
        staticResourceTypes.add(".eot");
        staticResourceTypes.add(".svg");
        staticResourceTypes.add(".ttf");
        staticResourceTypes.add(".woff");
        staticResourceTypes.add(".gif");
        staticResourceTypes.add(".ico");
        staticResourceTypes.add(".txt");
        staticResourceTypes.add(".gzip");
        staticResourceTypes.add(".xz");
        staticResourceTypes.add(".tar.gz");
        staticResourceTypes.add(".tar.bz2");
        staticResourceTypes.add(".jar");
        staticResourceTypes.add(".war");
        staticResourceTypes.add(".7z");
        staticResourceTypes.add(".tgz");
        staticResourceTypes.add(".gz");
        staticResourceTypes.add(".map");

    }

    public final boolean isStaticResource(String url) {

        boolean result = false;
        if (org.apache.commons.lang3.StringUtils.isBlank(url)) {
            return result;
        }
        int start = url.lastIndexOf(".");
        if (start < 0) {
            return result;
        }
        String prex = url.substring(start, url.length());
        return staticResourceTypes.contains(prex);
    }
}
SpringBoot高级开发——一篇文章让你读懂 注解@WebFilter和@WebListener 开发中常用的过滤器、监听器和拦截器
JAVA求生之路——博主406766467
01-17 1067
过滤器、监听器、拦截器简介 监听器:listener是servlet规范中定义的一种特殊类。用于监听servletContext、HttpSession和servletRequest等域对象的创建和销毁事件。监听域对象的属性发生修改的事件。用于在事件发生前、发生后做一些必要的处理。 其主要可用于以下方面:1、统计在线人数和在线用户2、系统启动时加载初始化信息3、统计网站访问量4、记录用户访问路径。 过滤器Filter是Servlet技术中最实用的技术,Web开发人员通过Filter技术,对web服
SpringBoot:过滤器:使用新版Servlet注解开发自定义Filter-用户未登陆json错误码提示实战(2)
q736317048的博客
11-29 554
使用Servlet3.0的注解进行配置步骤 这是现在Springboot使用过滤器最多的方式 场景:权限控制、用户登录状态控制,也可以交给拦截器处理等 Step1:启动类里面增加 @ServletComponentScan,进行扫描 Step2:新建一个Filter类,implements Filter,并实现对应的接口 Step3:@WebFilter 标记一个类为filter,被spring进行扫描 Step4:urlPatterns:拦截规则,支持正则 Step5:控制chain.doFilter
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,文章会分享出整个Filter文件包,包含四个java文件: 5.1,public class CrosXssFilter implements Filter 5.2,public class CrosXssFilterConfig implements WebMvcConfigurer 5.3,public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter 5.4,public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper 6,服务器白名单校验的java文件: 6.1,public class ServerWhiteListUtil 7,如果不要需要使用服务器白名单功能,那么,注释CrosXssFilter.java 文件的36-39行文件代码即可 原文链接:https://blog.csdn.net/zlxls/article/details/107432468
关于解决Java Web的Filter过滤器过滤掉css、js、jpg、png等静态资源请求
super_this_part的博客
03-16 8237
Web.xml文件配置将过滤全部请求修改为指定请求: &lt;filter&gt; &lt;filter-name&gt;ProjectFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.itcast.xml.filter.ProjectFilter&lt;/filter-class&gt; &lt;init-param&gt; ...
@WebFilter 注解
最新发布
2301_80208990的博客
03-22 492
是 Java Servlet 3.0 之后引入的注解(Annotation),用于定义。过滤器可以在请求到达 Servlet 之前或返回客户端之前进行处理,如。,拦截特定 URL 或 Servlet 请求。指定拦截特定的 Servlet,而不是路径。指定多个过滤器的执行顺序。6. 进阶:登录拦截器示例。指定要拦截的请求路径。指定要拦截的请求路径。(默认):普通请求。,否则会中断请求链。
springboot中使用注解获取前台header信息
热门推荐
星月昭铭的博客
11-30 1万+
今天在写vue时,需要实现一个功能,就是前台通过header(请求头)将token发送到服务端,后台使用的是springboot,第一下想到是springboot注解,但是百度了挺久发现很多人都是使用的原生servlet对象来获取头信息,其实springboot(mvc)中有一个获取请求头信息的注解@RequestHeader() public String addAddress(@Request...
boot spring 加入head_spring boot-使用Filter实现Header认证
weixin_35826166的博客
01-26 1003
前言假设客户端在http请求中,已经加入了Header的认证信息,例如:HttpPostpost=newHttpPost("http://localhost:8990/sendMail");StringEntityentity=newStringEntity(json,"utf-8");entity.setContentType("application/json");post....
通过过滤器Filter实现平台级校验
一行Java的博客
09-20 705
文章目录涉及的场景测试示例 涉及的场景 session校验 比如,部分系统必须保证系统登录之后才能正常使用,登录之后会将登录信息保存在session中,因此可以在Filter实现session数据的校验 请求拦截 如果平台涉及到黑白名单相关的机制,可以使用Filter实现拦截相关请求,并响应异常。 平台级的数据检验 当平台的所有接口都需要按一定的协议进行加密或者验签,可以通过Filter获取到请...
servlet实现文件上传下载以及Filter过滤器使用
java编程学习_java基础教程_booyzhang的博客
05-29 903
servlet实现上传下载 文件上传: 主流程类: package com.booy; import javax.servlet.ServletException; import javax.servlet.annotation.MultipartConfig; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletReq
Web之过滤器Filter
qq_45337431的博客
09-07 567
过滤器的使用,比如自动登录,脏话过滤,图片缓存,防盗链、文件压缩以及编码问题
过滤器怎么对css、js等静态文件放行 过滤器怎么对css、js等静态文件放行 过滤器怎么同时对css、js等静态文件以及servlet放行
07-14
要同时对CSS、JS等静态文件以及Servlet进行放行,可以在过滤器中进行判断和处理。下面是一个示例: ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet....
filter过滤器_过滤器Filter案例
weixin_39627751的博客
11-20 202
过滤器是服务器安全的重要手段之一是保护服务器资源被无权限访问的主要手段。在doFilter中使用 * //设置请求编码格式 request.setCharacterEncoding("utf-8"); //设置响应编码格式 response.setContentType("text/html;charset=utf-8"); Filter案例之session管理 ...
spring mvc 中 使用filter 对http请求中的参数做一些简单的校验工作
T2080305的博客
06-02 5074
1. 在在说本篇文章正文之前,先简单了解一下spring mvc 中整个请求的响应流程Spring MVC整个框架是围绕DispatcherServlet这个核心来展开的,他负责截获http请求并将请求分发给响应的处理器处理,最终返回请求响应,下面用一个简单的图来描述一下整个请求的过程。在Http请求中,包含请求行,请求头,空行和请求体,所以我们可以在请求还没有到达最终的处理器之前对请求参数进行一...
javax.servlet.Filter
有一种坚持就作不放弃
06-12 382
     过滤器(Filter)位于客户端和web应用程序之间,用于检查和修改两者之间流过的请求和响应。 在请求到达Servlet/JSP之前,过滤器截获请求。 在响应送给客户端之前,过滤器截获响应。 多个过滤器形成一个过滤器链,过滤器链中不同过滤器的先后顺序由部署文件web.xml中过滤器映射&lt;filter-mapping&gt;的顺序决定。 最先截获客户端请求的过滤器将最后截获Servl...
ExtJS4.0 分享GridHeaderFilters插件
lanjiasheng的专栏
01-13 262
公司有需求 ,因为初学extjs ,  所以去ExtJS的官方论坛翻了翻  找到一个指定列查询的很方便的插件   贴下原文的地址: http://www.sencha.com/forum/showthread.php?150918-Grid-Header-Filters&amp;p=660276#post660276   效果图:             附件里面有小示...
filter 如何排除一个文件和一个文件夹不被过滤?
虚怀若谷
03-10 2288
可以在过滤器的doFilter()方法中添加以下代码以实现排除过滤个别页面和文件夹的功能。 String   request_uri   =   request.getRequestURI(); String   ctx_path   =   request.getContextPath(); //这里假设是排除登陆页面login.jsp   。排除文件夹是一样的,例如排除admi
Filter过滤器,不过滤特定资源
xinglinglove的博客
08-17 3306
Filter过滤器,不过滤特定资源 不多说废话: 一 web.xml        WXBackStageFilter     com.ccic.wechat.filter.WXBackStageFilter           logonString       /index.jsp;login.do               includeString    
Nutz-过滤器
B_G_boy的博客
12-02 560
什么是过滤器? 一个 HTTP 请求,过滤器是第一组被执行的对象。同适配器不同的是,一个请求中,可以执行多个过滤器。 如何使用过滤器? 通过 @Filters 注解注解 '@Filters' 的值是一个 '@By' 注解的数组,它可以声明在这三个地方 入口函数 子模块 主模块 其中入口函数的 @Filters 优先级更高,其次是子模块,最后是主模块。 就是说,你在入口模块...
Spring Boot Filter(xss)不过滤指定资源,绕过不需要过滤的资源
weixin_42218890的博客
12-14 838
Spring Boot Filter(xss)不过滤指定资源
过滤器怎么对html中使用到的css以及js等静态文件放行
07-14
如果你想要在HTML中使用的CSS和JS等静态文件能够被正常加载,可以通过配置服务器的过滤器(Filter)来实现。以下是一个示例: 1. 创建一个实现了 `javax.servlet.Filter` 接口的过滤器类,例如命名为 `StaticResourceFilter`。 ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class StaticResourceFilter implements Filter { @Override public void init(FilterConfig filterConfig) { // 初始化方法,可留空 } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; String requestURI = httpRequest.getRequestURI(); // 如果是以指定的文件扩展名结尾,则设置允许访问静态资源的响应头 if (requestURI.endsWith(".css") || requestURI.endsWith(".js")) { HttpServletResponse httpResponse = (HttpServletResponse) response; httpResponse.setHeader("Access-Control-Allow-Origin", "*"); } chain.doFilter(request, response); } @Override public void destroy() { // 销毁方法,可留空 } } ``` 2. 在应用的 `web.xml`(或者使用注解方式)中配置该过滤器。 ```xml <filter> <filter-name>StaticResourceFilter</filter-name> <filter-class>com.example.StaticResourceFilter</filter-class> </filter> <filter-mapping> <filter-name>StaticResourceFilter</filter-name> <url-pattern>*.css</url-pattern> </filter-mapping> <filter-mapping> <filter-name>StaticResourceFilter</filter-name> <url-pattern>*.js</url-pattern> </filter-mapping> ``` 上述配置中,我们通过 `<url-pattern>` 指定了要拦截的URL模式,这里使用通配符 `*.css` 和 `*.js` 分别匹配CSS和JS文件。在过滤器的 `doFilter` 方法中,我们判断请求的URI是否以指定的文件扩展名结尾,如果是,则设置允许访问静态资源的响应头 `Access-Control-Allow-Origin: *`。这样配置后,当HTML页面中引用到的CSS和JS文件被加载时,浏览器可以正常访问这些静态资源。 请注意,这只是一种简单方式来放行HTML中使用到的静态文件。具体的配置和实现方式可能因服务器和开发环境而异,请根据你的实际情况进行适当调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值