在springboot项目中如何设计UrlFilter过滤器

最新推荐文章于 2024-04-10 18:07:29 发布
最新推荐文章于 2024-04-10 18:07:29 发布
阅读量2.4k 收藏 3
点赞数
分类专栏: springboot java 文章标签: springboot UrlFilter 非法字符和url 过滤器 工具类
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzwsq/article/details/110470667
版权

1、在我们Web项目中需要对非法Url和请求参数进行过滤拦截,所以就得配置一个UrlFilter过滤器,具体配置如下所示

 一、创建UrlFilter配置类

import java.io.IOException;
import java.io.PrintWriter;
import java.util.Iterator;
import java.util.Map;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
@WebFilter(filterName = "urlFilter",urlPatterns = "/*")
@Component
public class UrlFilter implements Filter {
    private static Logger log = LoggerFactory.getLogger(UrlFilter.class);
    @Autowired
    IpAddressService ipAddressService;//IP服务类
    public void destroy() { }

    public void doFilter(ServletRequest servletRequest,
                         ServletResponse servletResponse, FilterChain filterChain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        response.setCharacterEncoding("UTF-8");
        String requestStr = getRequestString(request);
        log.info("");
        log.info("==============================THIS IS NEW REQUEST===================================");
        log.info("完整的地址是========" + request.getRequestURL().toString());
        log.info("提交的方式是========" + request.getMethod());
        IpInfo ipInfo = getIp(request);                             //获取用户IP信息
        log.info("请求IP地址是========" + ipInfo.getIp()+",浏览器:"+ipInfo.getUa());
        if ("bingo".equals(guolv2(requestStr))
                || "bingo".equals(guolv2(request.getRequestURL().toString()))) {
            log.info("访问地址发现非法字符,已拦截======其非法地址"+request.getRequestURL().toString());
            PrintWriter writer = response.getWriter();
            writer.print("访问地址发现非法字符");
            writer.close();
            return;
        }
        // 允许以下主机ip或域名和端口允许访问 
        String myhosts = request.getHeader("host");
        if (!StringUtils.equals(myhosts, "127.0.0.1")//特定ip
                && !StringUtils.equals(myhosts, "127.0.0.1:8080")//特定ip和端口
                && !StringUtils.equals(myhosts, "localhost:8080")) {
            log.info("访问host非法,已拦截======其非法host为:"+myhosts);
            PrintWriter writer = response.getWriter();
            writer.print("访问host非法,已拦截");
            writer.close();
            return;
        }

        // 过滤请求特殊字符,扫描跨站式漏洞
        Map parameters = request.getParameterMap();
        if (parameters != null && parameters.size() > 0) {
            for (Iterator iter = parameters.keySet().iterator(); iter.hasNext();) {
                String key = (String) iter.next();
                String[] values = (String[]) parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    values[i] = guolv(values[i]);
                    log.info("参数:{}===》值:{}",key,values[i]);
                }
            }
        }
        filterChain.doFilter(servletRequest, servletResponse);

    }

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    public static String guolv(String a) {
        a = a.replaceAll("%22", "");
        a = a.replaceAll("%27", "");
        a = a.replaceAll("%3E", "");
        a = a.replaceAll("%3e", "");
        a = a.replaceAll("%3C", "");
        a = a.replaceAll("%3c", "");
        a = a.replaceAll("<", "");
        a = a.replaceAll(">", "");
        a = a.replaceAll("\"", "");
        a = a.replaceAll("'", "");
        a = a.replaceAll("\\+", "");
        a = a.replaceAll("\\(", "");
        a = a.replaceAll("\\)", "");
        a = a.replaceAll(" and ", "");
        a = a.replaceAll(" or ", "");
        a = a.replaceAll(" 1=1 ", "");
        return a;
    }

    private String getRequestString(HttpServletRequest req) {
        String requestPath = req.getServletPath().toString();
        String queryString = req.getQueryString();
        if (queryString != null)
            return requestPath + "?" + queryString;
        else
            return requestPath;
    }

    public String guolv2(String a) {
        if (StringUtils.isNotEmpty(a)) {
            if (a.contains("%22") || a.contains("%3E") || a.contains("%3e")
                    || a.contains("%3C") || a.contains("%3c")
                    || a.contains("<") || a.contains(">") || a.contains("\"")
                    || a.contains("'") || a.contains("+") || /*
             * a.contains("%27")
             * ||
             */
                    a.contains(" and ") || a.contains(" or ")
                    || a.contains("1=1") || a.contains("(") || a.contains(")")) {
                return "bingo";
            }
        }
        return a;
    }

    public IpInfo getIp(HttpServletRequest request) {
        IpInfo ipInfo = new IpInfo();
        String browser = request.getHeader("User-Agent");//浏览器信息
        String ip = request.getHeader("x-forwarded-for");//IP地址
        if (ip != null && ip.length() != 0 && !"unknown".equalsIgnoreCase(ip)) {
            // 多次反向代理后会有多个ip值,第一个ip才是真实ip
            if( ip.indexOf(",")!=-1 ){
                ip = ip.split(",")[0];
            }
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("X-Real-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
        }
        ipInfo.setIp(ip);
        ipInfo.setUa(browser);
        ipInfo.setCity(new IpAddressService ().getCityName(ip));//根据IP地址获取城市
        return ipInfo;
    }

}

二、若使用IP地址获取城市,则创建 IpAddressService IP地址服务类

此类需用到IP地址库和jar包依赖

库的下载链接:【http://dev.maxmind.com/geoip/geoip2/geolite2/】或https://download.csdn.net/download/wzwsq/12798098

maven仓库地址:

<!--IP地址解析城市名依赖-->
<dependency>
    <groupId>com.maxmind.geoip2</groupId>
    <artifactId>geoip2</artifactId>
    <version>2.8.1</version>
</dependency>

import com.maxmind.geoip2.DatabaseReader;
import com.maxmind.geoip2.model.CityResponse;
import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.env.Environment;
import org.springframework.stereotype.Service;

import javax.annotation.PostConstruct;
import java.io.File;
import java.net.InetAddress;

/**
 * IP与城市映射服务类
 **/
@Service
public class IpAddressService {
    private static Logger logger = LoggerFactory.getLogger(IpAddressService.class);

    private static String dbPath = "/data/ip/GeoLite2-City.mmdb";//服务器上存放GeoLite2-City.mmdb文件路径

    private static DatabaseReader reader;

    @Autowired
    private Environment env;

    @PostConstruct
    public void init() {
        try {
            String path = env.getProperty("geolite2.city.db.path");
            if (StringUtils.isNotBlank(path)) {
                dbPath = path;
            }
            File database = new File(dbPath);
            reader = new DatabaseReader.Builder(database).build();
        } catch (Exception e) {
            logger.error("IP地址服务初始化异常:" + e.getMessage(), e);
        }
    }


    //获取省份
    public String getSubdivision(String ipAddress){
        try {
            CityResponse response = reader.city(InetAddress.getByName(ipAddress));
            return response.getMostSpecificSubdivision().getNames().get("zh-CN");
        }catch (Exception e){
            logger.error("根据IP[{}]获取省份失败:{}", ipAddress, e.getMessage());
            return null;
        }
    }

    //获取市级
    public String getCityName(String ipAddress){
        try {
            CityResponse response = reader.city(InetAddress.getByName(ipAddress));
            return response.getCity().getNames().get("zh-CN");
        }catch (Exception e){
            logger.error("根据IP[{}]获取市級失败:{}", ipAddress, e.getMessage());
            return null;
        }
    }
}
吾追吾所求
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
urlFilter权限过滤器
07-19
权限过滤器。很久前,lighter写的一个小例子。感觉挺不错,现在上传是为了方便在禁止U盘以及邮箱的处境下也能在办公室里下下来copy,嘿嘿。当然也希望能因此方便有需要的人(应该够20字了吧,干吗传资源还非20字说明...
filter过滤器防止恶意注入
07-19
在Java Web开发,`Filter`过滤器是一个关键的安全组件,用于拦截...总的来说,`URLfilter`展示了如何使用Java过滤器来防止SQL注入攻击的一个基本思路,但在实际应用,需要结合更全面的安全策略来提高系统的安全性。
Spring Boot使用过滤器过滤非法URL
qq_35526165的博客
11-18 3506
一、场景 使用Spring Boot框架,通过过滤器过滤不存在的URL,将这些非法URL转发或重定向到自定义错误页面。 二、实现 API: WebApplicationContext:用于获取全局信息 ServletRequest:用于获取请求地址的URI 补充: URL和URI的区别 示例:https://www.tomyres.com/soft/?page=2&show_page=15 其URL为 https://www.tomyres.com/soft/,URI为 /soft/,即UR
springboot过滤器(filter)
qq_23739971的博客
06-26 361
springboot过滤器(filter)出于要对个别url路径进行限制访问,本来是想借由拦截器实现拦截url路径,但是简单的浏览器地址栏输入localhost:8080/hello.html无法拦截到,于是使用了比拦截器更为广泛的功能来实现,权限限制,编码过滤url重定向package com.job;import java.io.IOException;import javax.servle
springboot通过@WebFilter(urlPatterns)配置Filter过滤路径
最新发布
多说无益的蜡笔头
04-10 706
根据@WebFilter注解的源码注释可以知道,只需要用写一个类去实现filter,然后给类加上@WebFilter注解,就可以了,不管用的话回想是不是没代理成功,再给类加个@Component注解,测试一下,成功拦截了。并没有,通过测试发现,不管在@WebFilterurlPatterns参数如何配置,还是所有请求都会拦截,为什么,因为@WebFilter根本就没有生效。因为这个类实现了Filter,而且还被@Component扫描生成了bean,当然会生成一个默认的全局拦截器啊!
SpringBoot——使用Filter过滤器
FlyLikeButterfly的博客
03-14 5453
springboot使用过滤器
SpringBoot框架下使用过滤器Filter
qq_45896330的博客
08-02 4232
过滤器的配置比较简单,直接实现Filter 接口即可,也可以通过@WebFilter注解实现对特定URL拦截,看到Filter 接口定义了。这里只是一个URL请求的过滤,没有制作的请求的页面所以这里请求404找不到页面,咱们目的是测试请求的过滤,,看程序。过滤器配置的过滤路径是/user/*,这里的请求路径是/user/detail,这里成功被过滤了。定义一个拦截器类实现Filter接口实现doFilter方法(每一次请求都会调用)控制台这里打印出过滤器的逻辑处理结果,很很明显过滤了本次请求。...
过滤器实现URL拦截,跳转URL
ceshiyuan001的博客
05-05 5276
过滤器实现URL拦截,跳转URL 一,背景 业务存在pc和pad两个客户端,pc已经上线。并且pc和pad大部分的接口都可以复用,为了避免重复的代码写2份(即相同的controller),所以目标是pc和pad共用controller,至于pad新的接口,则pad专属。 二,实现 为了实现pc和pad接口公用,pad会在url上传入特定的前缀,比如/pad。 使用过滤器,在DispatcherServlet#doDispatch方法执行前,将url进行替换。 AbstractHandlerMethodMap
Springboot过滤器和拦截器详解及使用场景
weixin_50205273的博客
11-07 4408
一、过滤器和拦截器的区别 1、过滤器和拦截器触发时机不一样,过滤器是在请求进入容器后,但请求进入servlet之前进行预处理的。请求结束返回也是,是在servlet处理完后,返回给前端之前。 2、拦截器可以获取IOC容器的各个bean,而过滤器就不行,因为拦截器是spring提供并管理的,spring的功能可以被拦截器使用,在拦截器里注入一个service,可以调用业务逻辑。而过滤器是JavaEE标准,只需依赖servlet api ,不需要依赖spring。 3、过滤器的实现基于回调函数.
UrlFilter过滤jsessionId
09-04
* AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE * ARE DISCLAIMED.... * LIABLE FOR ANY DIRECT, ...
SpringBoot 2 快速整合 Filter过程解析
08-25
SpringBoot 2,由于不使用传统的web.xml配置文件,我们需要通过JavaConfig的方式来整合和配置Filter。...通过了解和掌握这些知识,开发者可以在SpringBoot项目有效地利用Filter进行功能增强和系统优化。
springboot cookie 开发案例
11-27
路径拦截器 /QS_001/src/main/java/com/csfsoft/filter/ConfigFilter.java 配置拦截器 /QS_001/src/main/java/com/csfsoft/sd/HelloWord.java Controller类 通过Maven update project 更新jar包
Spring Boot 自定义 Filter
扛麻袋的少年的博客
04-02 1379
Spring Boot学习笔记(二十四):在 Spring Boot 之前自定义 Filter 的配置,都是在 webapp/WEB-INF/web.xml 文件下来配置;或者说使用 @WebFilter 注解的方式来配置。在使用 Spring Boot 开发 Web 项目时,并没有 web.xml 配置文件的存在,所以 Spring Boot 为我们提供...
springbootFilter指定过滤URL的常见问题
热门推荐
east123321的博客
03-26 4万+
在使用Filter对一些自己指定的URL进行过滤拦截时,经常会出现如下错误:1、 明明在@WebFilter(urlPatterns={"/app/online"})过滤的是/app/online 路径,但是运行之后发现,这个WebFilter过滤器对所有的URL都进行了过滤。2、 运行之后发现过滤器没有初始化,没有被加载下面总结一下使用正确的,合适的注解配置filter的方法:1、 指定路径 ...
Filter过滤器总结
m0_37635053的博客
01-05 851
Filter过滤器总结
Springboot 过滤器
大新软件老杨
11-29 3571
Springboot过滤器,在web开发可以过滤指定的url 比如过拦截掉我们不需要的接口请求,同时也可以修改request和response内容 过滤器的应用场景: 1)过滤敏感词汇(防止sql注入) 2)设置字符编码 3)URL级别的权限访问控制 4)压缩响应信息
过滤器 - Filter
qq_54876312的博客
05-23 247
过滤器(Filter) 是J2EE Servlet模块下的组件 Filter的作用是对URL进行统一的拦截处理 Filter通常用于应用程序层面进行全局处理 开发过滤器的三要素 任何过滤器都要实现javax.servlet.Filter接口 在Filter接口的doFilter()方法编写过滤器的功能代码 在web.xmI过滤器进行配置,说明拦截URL的范围 <!-- filter标签用于说明哪个类是过滤器,并在应用启动时自动加载--> <filter> &lt.
SpringBoot】之自定义 Filter 过滤器
王廷云的博客
09-12 1635
本文对 Java Servlet Filter 进行了介绍,同时对 Servlet Filter 的执行顺序进行了讲解,最后介绍了如何通过实现 Filter 接口来自定义过滤器
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5407
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
java 里面做 url白名单
06-01
在 Java ,可以使用正则表达式实现 URL 白名单过滤。具体步骤如下: 1. 定义白名单规则:使用正则表达式定义允许访问的 URL 规则。 例如,以下正则表达式匹配以 `https://www.example.com` 或 `http://www.example.com` 开头的 URL: ``` ^https?://www\.example\.com.* ``` 2. 使用白名单规则过滤 URL:对于每个请求的 URL,使用白名单规则进行匹配,如果 URL 符合规则,则允许访问,否则禁止访问。 例如,以下代码演示了如何使用正则表达式实现 URL 白名单过滤: ```java import java.util.regex.Pattern; public class UrlFilter { private final Pattern allowedPattern; public UrlFilter(String allowedRegex) { this.allowedPattern = Pattern.compile(allowedRegex); } public boolean isAllowed(String url) { return allowedPattern.matcher(url).matches(); } } ``` 在上面的代码,`UrlFilter` 类包含一个构造函数,用于传入白名单规则的正则表达式。`isAllowed` 方法用于判断 URL 是否允许访问,它使用 `Pattern` 类的 `matcher` 方法对 URL 进行匹配,返回匹配结果。 例如,以下代码演示了如何使用 `UrlFilter` 类进行 URL 过滤: ```java UrlFilter filter = new UrlFilter("^https?://www\\.example\\.com.*"); String url1 = "https://www.example.com/path/to/file.html"; String url2 = "http://www.example.com/index.html"; String url3 = "https://www.google.com/search?q=java"; System.out.println(filter.isAllowed(url1)); // true System.out.println(filter.isAllowed(url2)); // true System.out.println(filter.isAllowed(url3)); // false ``` 在上面的代码,我们先创建了一个 `UrlFilter` 对象,使用正则表达式 `^https?://www\\.example\\.com.*` 定义白名单规则。然后,我们分别对三个 URL 进行过滤,输出结果表明只有前两个 URL 符合白名单规则,最后一个 URL 不符合规则,被拒绝访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值