java架构学习——17. 表单重复提交&防止模拟请求&跨域解决方案&XSS攻击

本篇博文主要包含：

• http长连接与短连接
• 跨域实战解决方案（重点）
  -使用后台response添加header
  -使用JSONP
  -后台Http请求转发
  -使用接口网关
  -使用SpringCloud的zull网关。
  -spring注解@CrossOrigin
• 表单重复提交解决方案(防止Http重复提交）（重点）
  -使用后端提交解决
• 使用Fileter防止XSS（js脚本注入）攻击及案例（重点）
• Web安全方面的几种攻击方式

一、http长连接与短连接
在HTTP/1.0中，默认使用的是短连接。也就是说，浏览器和服务器每进行一次HTTP操作，就建立一次连接，但任务结束就中断连接。如果客户端浏览器访问的某个HTML或其他类型的 Web页中包含有其他的Web资源，如JavaScript文件、图像文件、CSS文件等；当浏览器每遇到这样一个Web资源，就会建立一个HTTP会话。
但从 HTTP/1.1起，默认使用长连接，用以保持连接特性。使用长连接的HTTP协议，会在响应头有加入这行代码：Connection:keep-alive
在使用长连接的情况下，当一个网页打开完成后，客户端和服务器之间用于传输HTTP数据的 TCP连接不会关闭，如果客户端再次访问这个服务器上的网页，会继续使用这一条已经建立的连接。Keep-Alive不会永久保持连接，它有一个保持时间，可以在不同的服务器软件（如Apache）中设定这个时间。实现长连接要客户端和服务端都支持长连接。
HTTP协议的长连接和短连接，实质上是TCP协议的长连接和短连接。

1、 长连接短连接操作过程

• 短连接的操作步骤是：
  建立连接——数据传输——关闭连接…建立连接——数据传输——关闭连接
• 长连接的操作步骤是：
  建立连接——数据传输…（保持连接）…数据传输——关闭连接

2、长连接是什么时候关闭
a. 响应头Keep-Alive: timeout。这个值能够让一些浏览器主动关闭连接，这样服务器就不必要去关闭连接了。
b. tcp自动探测一次，发现对方关闭，则断开连接。
c. tomcat服务器配置长连接超时配置时间

3、长连接与短连接应用场景
长连接：网站默认长链接、rpc远程调用、dubbo、netty、心跳检查、移动APP消息推送等。
短连接：调用接口不是特别频繁的。

二、跨域实战解决方案
跨域原因产生：在当前域名请求网站中，默认不允许通过ajax请求发送其他域名。

1、解决方案
1.1 使用后台response添加header
构建一个拦截器，对需要跨域访问的request头部重写:

public class CORSFilter implements Filter{

    @Override
    public void init(FilterConfig var1) throws ServletException {}

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        //允许所有的域名
        response.setHeader("Access-Control-Allow-Origin", "*");
        //response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, " +
                "If-Modified-Sinc