SpringBoot Referer防盗链

最新推荐文章于 2022-08-19 17:53:57 发布
最新推荐文章于 2022-08-19 17:53:57 发布
阅读量970 收藏 6
点赞数
文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44988811/article/details/122881804
版权

问题

测试修改了Referer信息后,再次发送请求,仍可返回结果。

解决

1、在application.yml配置文件中添加需要过滤的白名单。

referer:
  refererDomain:
    - localhost
    - 127.0.0.1
    - 192.168.XX.XX

2、新增配置模板

import lombok.Data;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.List;

@Component
@Data
@ConfigurationProperties(prefix = "referer")
public class RefererProperties {
    // 白名单域名
    List<String> refererDomain = new ArrayList<>();
}

3、定义referer拦截器

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.net.MalformedURLException;

public class RefererInterceptor extends HandlerInterceptorAdapter {
    @Autowired
    private RefererProperties properties;
    
    @Override
    public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) {
        String referer = req.getHeader("referer");
        String host = req.getServerName("x-forwarded-for");
        // 验证POST和GET请求
        if ("POST".equals(req.getMethod()) || "GET".equals(req.getMethod())) {
            if (referer == null) {
                // 状态置为404
                resp.setStatus(HttpServletResponse.SC_NOT_FOUND);
                return false;
            }
            java.net.URL url = null;
            try {
                url = new java.net.URL(referer);
            } catch (MalformedURLException e) {
                // URL解析异常,也置为404
                resp.setStatus(HttpServletResponse.SC_NOT_FOUND);
                return false;
            }
            // 首先判断请求域名和referer域名是否相同
            if (!host.equals(url.getHost())) {
                // 如果不等,判断是否在白名单中
                if (properties.getRefererDomain() != null) {
                    for (String s : properties.getRefererDomain()) {
                        if (s.equals(url.getHost())) {
                            return true;
                        }
                    }
                }
                resp.setStatus(HttpServletResponse.SC_NOT_FOUND);
                return false;
            }
        }
        return true;
    }
}

4、注册拦截器使其生效

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
 
@Configuration
public class WebConfig implements WebMvcConfigurer {
 
   @Bean
   public RefererInterceptor refererInterceptor() {
        return new RefererInterceptor();
    }
 
    /**
     * 注册拦截器
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //referer拦截
        registry.addInterceptor(refererInterceptor()).addPathPatterns("/**");
    }
}

测试

如果请求时修改了referer,并且不存在在白名单中,请求被拒。
在这里插入图片描述

賀嘉瑞
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot集成FastDFS+Nginx整合基于Token的防盗链的方法
08-26
主要介绍了SpringBoot集成FastDFS+Nginx整合基于Token的防盗链的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot实现文件防盗链设计
最新发布
shigen的博客
05-12 977
`shigen`,一位专注于Java、Python、Vue和Shell的博主,分享成长和技术。近期将探讨SpringBoot实现图片防盗链,通过限制`Referer`防止资源被盗用。基础版通过`WebMvcConfigurer`配置静态资源,升级版添加拦截器检查`Referer`,确保请求来源合法性。详细代码实现和案例可在文中链接找到。一起学习,每天进步!
防盗链之基于springboot过滤器实现
Lengff
11-11 1559
文章目录防盗链之基于springboot过滤器实现什么是盗链防盗链的原理防盗链实现实现代码总结 防盗链之基于springboot过滤器实现 什么是盗链 内容不在自己的服务器上,通过技术手段将其他网站的内容(图片,音乐,软件等) 放置在自己的网站中,通过这种方式盗取其他网站的空间和流量,减轻自己服务器的负担。 举个例子我们服务器上有一个播放视频的地址,其他的网站用户就可以将我们的视频地址引用到他们的网站上,他们服务器实际没有任何开销,却能以此吸引用户! 防盗链的原理 根本原理是基于HTTP协议中的Refer
防盗链springboot代理模式(图片文件转发)
weixin_33958585的博客
01-01 589
在搭建自己的博客网站的时候,很有可能要引入一些外部图片,毕竟多数人最开始不是在自己的平台上写博客。 因某种需要,搬运自己以前写的博客到自己的网站时,在图片这一步可能会出现问题,无法显示。其中往往就是防盗链在起作用了 防盗链 定义 百度百科给的解释是 此内容不在自己服务器上,而通过技术手段,绕过别人放广告有利益的最终页,直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传...
Java springboot过滤器实现防盗链
Jimmy12581的博客
11-02 901
实现原理:HTTP协议响应头中包含的Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。所以我们可以通过得到响应头中包含的referer来判断其请求来自哪里,如果不是本系统页面的请求则可能是盗链(referer包含的是请求发过来的源页面,而对于浏览器地址栏直接发送的请求referer为空)。 代码实现: 1.添加一个类,继承Filter package com.app.test.common.security.http; import com.app...
部分网站允许空白referer的防盗链图片的js破解代码
10-28
主要是有些网站的图片调用是防盗链的但一般只是判断referer是不是自己网站,如果referer为空也会显示图片,所以有了下面的代码。
python3 图片referer防盗链的实现方法
12-23
本篇文章主要破解referer防盗链技术 referer防盗链技术: referer防盗链技术是服务器通过检查客户端提起的请求包内的referer字段来阻止图片下载的,如果referer字段错误,服务器会跳到另一个地址,这将导致错误的...
JavaWeb开发】Referer防盗链的详解
01-20
1. 什么是Referer? Referer 是 HTTP 请求(requset) header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里就有包含 Referer 。 比如我在www.csdn.net里点击一篇博客,那么点击这...
Referer原理与图片防盗链实现方法详解
10-16
主要介绍了Referer原理与图片防盗链实现方法,结合实例形式详细分析了Referer头信息原理与图片防盗链判定、实现方法,并附带一个Http请求封装类,需要的朋友可以参考下
SpringBoot安全验证之Referer拦截器
热门推荐
跟派大星学编程
04-11 1万+
自定义Referer拦截器 public class RefererInterceptor extends HandlerInterceptorAdapter { // URL匹配器 private AntPathMatcher matcher = new AntPathMatcher(); @Autowired private RefererProperties ...
防盗链完美解决方案
12-12
防盗链完美解决方案 防盗链完美解决方案,提供给你一些安全的方法。
springboot拦截器实现拦截器 权限校验,登录demo
11-14
不知道为啥不能设置0。这个是demo,有时间博主吧git整理下 链接发出来
springboot实现拦截器之验证登录示例
08-31
本篇文章主要介绍了springboot实现拦截器之验证登录示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
阿里云对象存储之文件上传
weixin_53998054的博客
08-19 1425
文件上传
SpringBoot--实现拦截器
ONROAD0612的博客
05-09 620
一、拦截器和过滤器的区别 (1)拦截器是基于Java的反射机制的,而过滤器是基于函数回调。 (2)拦截器不依赖于servlet容器,而过滤器依赖于servlet容器。 (3)拦截器只能对action请求起作用,而过滤器则可以对几乎所有的请求起作用。 (4)拦截器可以访问action上下文、值栈里的对象,而过滤器不能。 (5)在action的生命周期中,拦截器可以多次被调用,而过滤器只能在
拦截器后台安全验证
weixin_33985507的博客
06-19 130
package com.huiminSys.web;import java.util.Date;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpSession;import org.apache.struts2.ServletActionContext;import com.huiminSys.d...
Spring Boot整合FastDFS,开启token防盗链
Knight of Zero
05-14 2541
FastDFS部署参考这里 FastDFS_Client使用 添加依赖 FastDFS_Client:项目地址 Simplemagic:项目地址 pom.xml中添加: <dependency> <groupId>com.github.tobato</groupId> <artifactId>fastdfs-client</artifactId> <ver
javaweb防盗链实现
10-23
JavaWeb中,防盗链是指通过一些技术手段,防止其他网站直接链接到本站的资源,从而保护本站的资源不被盗用。常见的防盗链技术包括:HTTP Referer检查、加密URL、动态生成图片等。其中,HTTP Referer检查是最常用的一种方法。具体实现方法可以通过在web.xml中配置Filter或者在JSP页面中嵌入Java代码实现。在JSP页面中嵌入Java代码实现防盗链的方法可以使用<exec:ref/>代替嵌套在JSP文件中的Java代码,从而简化页面布局,使繁琐的Java代码从JSP页面中消失。同时,也可以通过创建RefTag类并继承SimpleTagSupport类,覆盖父类的doTag()方法来实现防盗链。在doTag()方法中,需要获取request对象和response对象,然后通过request.getHeader("Referer")方法获取请求头中Referer字段中的内容,判断是否是合法的请求,如果不合法则重定向到合法主页并返回,不显示余下的内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值