通过request.getHeader("referer")防止用户手动修改URL访问非权限页面

最新推荐文章于 2024-09-02 10:00:00 发布
最新推荐文章于 2024-09-02 10:00:00 发布
阅读量5.1k 收藏 2
点赞数 1
分类专栏: servlet/jsp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zen_123/article/details/13771847
版权

今天在写filter的时候,要做一个防止用户手动修改URL访问非权限页面的验证。在网上搜索了下,

发现可以通过:request.getHeader("referer");  // js的话:javascript:document.referrer来防止,

如果返回值为null的话,说明是手动修改url访问的,然后进而通过后台,判断是否该登陆用户具

有访问权限,如果有,放行,否则,跳转到错误页面。

原理:referer只有从别的页面点击连接来到这页的才会有内容,否则为null。


request.getHeader("referer")的作用:
①防止盗连,比如我是个下载软件的网站,在下载页面我先用referer来判断上一页面是不是自己网站,如果不是,说明有人盗连了你的下载地址。
②电子商务网站的安全,我在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。

tc@zen123
关注
专栏目录
Zuul网关 请求头Header转发时部分参数被过滤了
隔壁老瓦的专栏
08-13 2031
使用zuul作为网关作为反向代理,由于后端的一个服务限制了request中的host头部信息和服务器一致,但是因为在zuul的配置中设置了传递原始host信息,导致无法正常访问。所以需要在zuul网关的配置中设置不传递host信息,可以在全局中设置,也可以在具体的自定义路由中设置 传递原始请求地址的host的配置,在yml文件中配置: zuul: sensitive-headers: add-host-header: true ******** 注意:要设置为空,不要不设置 现在设
关于request.getHeader(Referer)的问题探讨
01-08
今天我来分享一下,request.getHeader(“Referer”)获取上次访问URL链接,在什么情况下他会出现问题! 我在某些页面中,有某几个按钮,分别用来跳转到action.do?method=m 但是,我是用 warpLoaction(”url”);这个来链接过去的,结果,我在火狐浏览器中,可以正确的 获取上次访问页面,在IE6下却获取不到。后来去网上百度了一下,看到了一哥门的评 说, request.getHeader(“Referer”)要走HTTP协议才有值,也就是说要通过 标记,才能获取到值。当然通过表单提交的也可以。而通过locatio
防止法链接(referer)
weixin_33881050的博客
06-08 452
转载:https://blog.csdn.net/QQ1012421396/article/details/62430154 前言: HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器藉此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他...
如何防止请求的URL被篡改
公众号:Java后端
10-29 1038
Web项目聚集地图文教程,技术交流如图,是我们模拟的一个从浏览器发送给服务器端的转账请求。久一的ID是 web_resource,正在操作100元的转账。再如图,因为是通...
request.getHeader("Referer")理解
热门推荐
小糊涂蛋大糊涂神的专栏
05-22 3万+
request.getHeader("Referer")用于获取来源页地址,但有时却为空值,这是怎么回事。原因如下:     getHeader("Referer")要走http协议时才有值,也就是说要通过a标记才能获得那个值,而通过改变location或是a都是得不到那个值的。  request.getHeader("Referer")返回的是一个Enumeration 玫举 En
request.getHeader("referer")
Android_la的博客
01-11 1124
一. 问题背景 有时候在购物网站登录了自己账号,点击注销,仍然是显示商品的页面用户仍能正常浏览商品。但是不能用加入购物车的功能,或者购买商品需要登录账号。那么我们怎么实现注销了用户后,浏览器仍然跳转回注销前的页面(此页面一般指购物网站的首页) 二. 解决方法 使用request.getHeader("referer"); 分析: request.getHeader("referer");用于获...
request.getHeader() 相关详细
iteye_15130的博客
01-20 2258
  request.getHeader() 相关详细 在三种情况下,request.getHeader("REFERER")取值1:通过链接跳过来 2:在地址栏中输入URL,打回车3:刷新 当链接过来的时候,referer的值是链接过来的页面URL,正常。我刷新的时候referer的值没有变,但当我在地址栏中打回车(URL没有改变,只是打回车),referer值却变成NULL了。...
Response&Request&地址写法&URL编码
涂文远的博客
12-07 1724
一、Response     1.Resonse的继承结构:             ServletResponse--HttpServletResponse     2.Response代表响应,于是响应消息中的 状态码、响应头、实体内容都可以由它进行操作,由此引伸出如下实验:     3.利用Response输出数据到客户端         response.getOutputStream()...
用户登录控制【spring boot 整合spring security】
weixin_52689367的博客
03-20 560
在前面几个功能的演示过程中,都需要预先使用Spring Security提供的默认登录页面和默认登录用户user登录认证后才可以进行页面访问和功能演示。因为在Security默认拦截机制下,如果登录用户发送无权限的请求,则会跳转到Security默认提供的403错误页面,所以这里选择通过AccessExceptionHandler()方法控制程序跳转到自定义的错误页面。文件10-29中,使用JDBC身份认证的方式实现了自定义用户认证,此时重启项目进行访问,则只需要输入数据库中已有的用户信息就可以登录认证。
如何防止CSRF攻击?
ccyzq的博客
03-17 4389
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
JavaWeb学习笔记
abc8340的博客
04-24 425
JavaWeb 1、开发环境搭建 new->other->Server ->Server new-> other->web->Dynamic web Project (动态web项目) 2、Dao回顾 DAO:工具类、异常类、实体类、DAO中的各种方法 Service:业务逻辑,事务,异常(根据业务场景抛出各种异常) 3、HTTP协议 模式:请求–响应 request-response 请求: 响应: 在请求与响应的过程中,浏览器与web服务器之间有一个协议,HT
【Python爬虫系列】_008.urllib模块(了解)
最新发布
weixin_50296259的博客
09-02 96
urllib库是Python内置的最基本的网络请求库,不需要额外的下载提供直接发送HTTP请求,及时处理HTTP响应的API在后续的爬虫中主要还是使用requests库来进行HTTP请求,但是requests库底层还是基于urllib库,所以先学习urllib库,有助于理解requests库。
request.getHeader(“Referer“)的使用
weixin_45872600的博客
08-18 1475
重定向到原来购物车展示页面 //清空购物车 protected void clear(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { Car cart =(Car) request.getSession().getAttribute("cart"); if(cart!=null){ ...
request.getHeader("referer")防盗链
cuiyaoqiang的博客
05-07 2049
一、什么是Referer HTTP headers是HTTP请求和相应的核心模块,它承载了关于客户端浏览器、请求页面、服务器等相关信息。Referer是HTTP头中的一个属性,告诉服务器我是从哪个页面链接过来的。request.getHeader(“referer”)可用的情况: 1.<a href="">。 2.表单提交。 request.getHeader(“referer”)不可用的情
能得到你是从什么页面过来的,referer的用处 [zt]
12-25 1227
能得到你是从什么页面过来的,referer的用处 作者:home 时间:2005年12月14日22时20分 关键词:|php|  在开发web程序的时候,有时我们需要得到用户是从什么页面连过来的,这就用到了referer。它是http协议,所以任何能开发web程序的语言都可以实现,比如jsp中是:request.getHeader("referer");php是$_SERVER[HTTP_REF
使用HttpServletRequest对象的getHeader(“referer”)方法实现下载资源防盗链的功能
Unitue_逆流
05-13 1万+
请编写一个类,该类使用HttpServletRequest对象的getHeader(“referer”)方法实现下载资源防盗链的功能在实际开发中,经常会使用referer头字段,一些站点为吸引人气经常会为了提高站点的访问量,提供各种软件的下载页面,他们本身没有这些资源,只是将下载的超链接指向其他站点的资源。为防止这种盗链,就需要检查请求来源,只接受本站点链接发送的下载请求,防止其他站点链接的下载请...
阻止用户直接通过url地址进入页面,防止页面后退,控制页面在前进或回退是执行想要的操作(路由守卫)
juvialoxer的博客
09-01 1669
一.阻止用户直接通过url地址进入页面 1.main.js //这里的requireAuth为路由中定义的 meta:{requireAuth:true},意思为:该路由添加该字段,表示进入该路由需要登陆的 router.beforeEach((to, from, next) => { if (to.matched.some(r => r.meta.requireAuth)) { ...
单测让request.getheader("refer")有值怎么弄,java
07-15
在上面的示例中,我们使用`Mockito.mock(HttpServletRequest.class)`创建了一个HttpServletRequest的Mock对象,然后通过`Mockito.when(request.getHeader("referer")).thenReturn("http://www.example.com")`设置了`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值