本篇博文主要包含:
- http长连接与短连接
- 跨域实战解决方案(重点)
-使用后台response添加header
-使用JSONP
-后台Http请求转发
-使用接口网关
-使用SpringCloud的zull网关。
-spring注解@CrossOrigin - 表单重复提交解决方案(防止Http重复提交)(重点)
-使用后端提交解决 - 使用Fileter防止XSS(js脚本注入)攻击及案例(重点)
- Web安全方面的几种攻击方式
一、http长连接与短连接
在HTTP/1.0中,默认使用的是短连接。也就是说,浏览器和服务器每进行一次HTTP操作,就建立一次连接,但任务结束就中断连接。如果客户端浏览器访问的某个HTML或其他类型的 Web页中包含有其他的Web资源,如JavaScript文件、图像文件、CSS文件等;当浏览器每遇到这样一个Web资源,就会建立一个HTTP会话。
但从 HTTP/1.1起,默认使用长连接,用以保持连接特性。使用长连接的HTTP协议,会在响应头有加入这行代码:Connection:keep-alive
在使用长连接的情况下,当一个网页打开完成后,客户端和服务器之间用于传输HTTP数据的 TCP连接不会关闭,如果客户端再次访问这个服务器上的网页,会继续使用这一条已经建立的连接。Keep-Alive不会永久保持连接,它有一个保持时间,可以在不同的服务器软件(如Apache)中设定这个时间。实现长连接要客户端和服务端都支持长连接。
HTTP协议的长连接和短连接,实质上是TCP协议的长连接和短连接。
1、 长连接短连接操作过程
- 短连接的操作步骤是:
建立连接——数据传输——关闭连接…建立连接——数据传输——关闭连接 - 长连接的操作步骤是:
建立连接——数据传输…(保持连接)…数据传输——关闭连接
2、长连接是什么时候关闭
a. 响应头Keep-Alive: timeout。这个值能够让一些浏览器主动关闭连接,这样服务器就不必要去关闭连接了。
b. tcp自动探测一次,发现对方关闭,则断开连接。
c. tomcat服务器配置长连接超时配置时间
3、长连接与短连接应用场景
长连接:网站默认长链接、rpc远程调用、dubbo、netty、心跳检查、移动APP消息推送等。
短连接:调用接口不是特别频繁的。
二、跨域实战解决方案
跨域原因产生:在当前域名请求网站中,默认不允许通过ajax请求发送其他域名。
1、解决方案
1.1 使用后台response添加header
构建一个拦截器,对需要跨域访问的request头部重写:
public class CORSFilter implements Filter{
@Override
public void init(FilterConfig var1) throws ServletException {}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
//允许所有的域名
response.setHeader("Access-Control-Allow-Origin", "*");
//response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, " +
"If-Modified-Sinc