Spring Security之HeaderWriterFilter(八)

最新推荐文章于 2023-12-18 17:30:35 发布
最新推荐文章于 2023-12-18 17:30:35 发布
阅读量1.1k 收藏 4
点赞数 2
分类专栏: spring security 文章标签: 新星计划 java security spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yang131peng/article/details/118574541
版权

1.作用

这个主要是个response写安全响应头信息的。

默认主要包含五个头信息

第一个:org.springframework.security.web.header.writers.XContentTypeOptionsHeaderWriter

头信息:X-Content-Type-Options=nosniff 

作用: 这个是帮助script 和 styleSheet 元素拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。

第二个:org.springframework.security.web.header.writers.XXssProtectionHeaderWriter

头信息:X-XSS-Protection=1; mode=block

作用:防御Xss攻击(跨脚本攻击)

第三个:CacheControlHeadersWriter

头信息 :

Cache-Control=no-cache,store,max-age=0,must-revalidate     

Pragma=no-cache

Expires=0

作用: 缓存控制

第四个:HstsHeaderWriter

头信息:Strict-Transport-Security=max-age=31536000 ; includeSubDomains

作用:HSTS标头用于强制服务器和浏览器通过HTTPS进行通信,HSTS标头还可以用于强制跨子域使用HTTPS

第五个: XFrameOptionsHeaderWriter

头信息:X-Frame-Options = DENY  

作用:防止点击劫持,DENY:不能被嵌入到任何iframe或者frame中,SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中,ALLOW-FROM uri:只能被嵌入到指定域名的框架中



2.源码解析

1.判断先写头信息还是后写

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-utbkRjUv-1625729043952)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/0d97c7b0-fa20-4bb9-ad0a-955a260600d9/Untitled.png)]

2.写头信息

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LO0OKkpp-1625729043957)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/142af9f9-1268-424d-9555-e7478e2b4f67/Untitled.png)]

3.从五个里面随便找一个HeaderWriter

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wvpLUWhU-1625729043961)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/d339d7d5-652a-44d0-a5ca-70de22c4ce86/Untitled.png)]





3.小结

Spring security的添加了一些http防御头信息来防止xss,xframe等攻击。这些都是通过请求头,让浏览器遵循安全协议去做的事情。

下一个过滤器是CsrfFilter,是用来防御Csrf(跨站请求伪造)攻击的 ,我们下篇再聊~

欢谷悠扬
关注
专栏目录
Spring Security源码解析--HeaderWriterFilter
程序员劝退师的博客
11-19 1185
概述 Spring Securty 使用该Filter在一个请求的处理过程中为响应对象增加一些部信息。部信息由外部提供,比如用于增加一些浏览器保护的部,比如X-Frame-Options, X-XSS-Protection和X-Content-Type-Options等。 具体的做法是在请求到达的时候将传入的响应对象包装成一个具有部写入能力的HeaderWriterResponse对象,HeaderWriterResponse所具备的部写入能力是这样的 : HeaderWriterRespons
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security Web 5.1.2 源码解析 -- HeaderWriterFilter
Details Inside Spring
12-05 1891
概述 Spring Securty 使用该Filter在一个请求的处理过程中为响应对象增加一些部信息。部信息由外部提供,比如用于增加一些浏览器保护的部,比如X-Frame-Options, X-XSS-Protection和X-Content-Type-Options等。 具体的做法是在请求到达的时候将传入的响应对象包装成一个具有部写入能力的HeaderWriterResponse对象,H...
[SpringSecurity5.6.2源码分析十]:HeaderWriterFilter
qq_41662584的博客
09-16 176
【代码】[SpringSecurity5.6.2源码分析十]:HeaderWriterFilter
[4] HeaderWriterFilter
既无风雨也无晴
03-10 2万+
HeaderWriterFilter 介绍 HeaderWriterFilter是在请求前后写入一些往前请求或者响应写入一些信息,本身并不复杂。通过shouldWriteHeadersEagerly进行控制进行,在过滤执行前写入还是在过滤执行完写入。shouldWriteHeadersEagerly默认为false,可以通过配置添加ObjectPostProcessor的方式进行设置为tru...
8、spring security拦截器之HeaderWriterFilter
u012153127的博客
06-24 812
HeaderWriterFilter:在请求前后写入一些header信息 @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { //shouldWriteHeadersEagerly:为true,则在请
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
最新发布
gmHappy
12-18 8025
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
SpringSecurity6 | 核心过滤器
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
Spring Security 6.x 系列【3】源码篇之基于过滤器的基本原理
记录知识、锤炼自我
03-27 3082
对Servlet的支持是基于过滤器的,在请求到达Servlet之前,通过过滤器进行认证授权校验,用户合法且有权限,放行通过,反之会跳转到登录页或拒绝访问。所以本篇文档主要介绍中过滤器的相关知识。类比JAVA Web中的过滤器中的过滤器进行了各种代理和增强,可以简单理解Security中的过滤器请求到(代理过滤器)调用(过滤器链代理)根据请求,调用匹配的Security中的过滤器链)中的多个有序的Security过滤器对请求进行处理,检验是否登录、是否授权… 并做出相应处理。
SpringSecurity常用过滤器介绍
波波烤鸭的博客
12-05 4715
  本文我们来介绍下SpringSecurity中常用的过滤器及其加载的过程。 一、常用的过滤器   常用的过滤器有15个,分别如下: 1.org.springframework.security.web.context.SecurityContextPersistenceFilter   首当其冲的一个过滤器,非常重要 主要是使用SecurityContextRepository在session...
Spring Security常见过滤器
王林的博客
09-19 482
这里主要介绍 SpringSecurity 常见的过滤器的作用,方便以后查阅!!!
Spring-Security对HTTP相应的安全支持
盲目的拾荒者的博客
04-05 1万+
Spring Security支持在响应中添加各种安全,默认相应安全: Cache-Control: no-cache, no-store, max-age=0, must-revalidate Pragma: no-cache Expires: 0 X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=...
httpservletrequest 设置请求_(七)springSecurityFilterChain处理请求流程
weixin_39593247的博客
11-26 1688
知识回顾:1、springSecurityFilterChain是SpringSecurity框架的入口,是一个FilterChainProxy类型的bean,继承于Filter2、web框架的DelegatingFilterProxy会将调用springSecurityFilterChain的doFilter方法,将请求传递给SpringSecurity框架3、在传统web项目中Delegati...
自定义HeaderWriter,使同域下的iframe被允许调用页面
码农鸡窝
08-05 2055
protected void configure(HttpSecurity http) throws Exception{ /** * 自定义HeaderWriter,用以覆盖security默认的Header, * 使默认的"X-Frame-Options:DENY"禁止一切iframe调用 * 转化为"X-Frame-Options:SAMEORIGIN"允许同域下的if
布局整理(五) header_writer.xml
小王同学的博客
03-17 575
<RelativeLayout xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/LinearLayout01" android:layout_width="fill_parent" android:layout_height="47dp" andro
Spring Security 个人理解
MK2832070704的博客
08-31 569
SpringSecurity学习心得
[3天速成Spring Security] - 03 HTTP请求与响应
Jack汪喆的技术分享栏
10-06 428
HTTP请求 在Spring Security
Spring Security框架使用详解
buluke12138的博客
07-16 421
介绍一个项目想要使用Spring Security需要做的操作,内含各种配置类,工具类的使用说明及流程讲解
No converter for [class XXX] with preset Content-Type ‘null‘
爱飞的男孩的博客
08-08 1560
这玩意是真坑,Junit测试的时候要注释掉才能测试service,在Tomcat上部署时得打开才行。在网上找了半天都没解决,最后才发现是springMvc配置类。@EnableWebMvc这个注解被我注释掉了。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

欢谷悠扬

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值