java中使用全局过滤器防止过滤css和js

最新推荐文章于 2025-06-26 23:16:33 发布
原创 最新推荐文章于 2025-06-26 23:16:33 发布 · 8.1k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何设置全局过滤器以排除登录和注册界面,并确保不拦截CSS、JS等静态资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我们使用过滤器验证用户是否登录时一般是不会过滤登录和注册界面的,所以要在过滤器中加一些判断条件来防止过滤这两个界面。但是使用全局过滤器的话会将这两个界面的css和js样式一起过滤掉,所以要在判断条件里加多几个条件。总之只要你不需要过滤掉的界面或控制器都可以在判断条件里加,示例如下


web.xml中的全局过滤器配置:

<!-- 验证是否登录的过滤器 -->
  <filter>
    <filter-name>SecurityFilter</filter-name>
    <filter-class>hua.sms.web.filter.SecurityFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>SecurityFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

过滤器中的过滤条件: 

//不过滤登录注册界面
 if (session.getAttribute("userName") != null || req.getServletPath().indexOf("login.jsp") > 0 
 || req.getServletPath().indexOf("register.jsp") > 0 || req.getServletPath().endsWith(".css") || req.getServletPath().endsWith(".js") || req.getServletPath ().contains(".do")) {		
	//已登录			
	chain.doFilter(request, response);	//传给下个filter处理	
 } 
 else {//未登录
	res.sendRedirect("/sms/login.jsp");//跳转到登录网页,至此中断了过滤链
 }

这样就不会过滤掉登录和注册界面了,注意最好用endsWith()来防止过滤css和js样式,用contains的话只要包含这些样式的页面都会被防止过滤。

req.getServletPath().contains(".do")  这句是因为我不需要过滤掉SecurityServlet.do这个控制器的跳转。

使用过滤器完成URL访问权限以及防止过滤CSS样式
清歌寒
05-26 1276
过滤器URL权限全局过滤器过滤CSSJS文件 URL权限 通过相对地址url判断是否项目名 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // place your code here //类型转换 HttpServletRequest req = (HttpServletRequ
java 使用全局过滤器Filter之后 防止css文件与js文件被过滤
Philllll的专栏
01-30 2万+
今天纠结了一天一个非常诡异的问题。 昨天还好好的一个页面,今天所有的样式都没有了。 后来查资料,自己摸索,各种法子试了一圈,也没解决。 终于皇天不负苦心人,最后被我发现是我昨天定义的一个全局的过滤器Filter,用来过滤掉未经过登录就直接访问内部页面的非法请求,结果让我没想到的是,我在Login.jsp页面中引用的外部css文件也一并被过滤掉了。 知道了原因,问题就好解决, 我在Filt
Vue.js 过滤器详解
最新发布
weixin_51288065的博客
06-26 897
Vue.js 过滤器详解
关于解决Java Web的Filter过滤过滤cssjs、jpg、png等静态资源请求
super_this_part的博客
03-16 8246
Web.xml文件配置将过滤全部请求修改为指定请求: &lt;filter&gt; &lt;filter-name&gt;ProjectFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.itcast.xml.filter.ProjectFilter&lt;/filter-class&gt; &lt;init-param&gt; ...
java 过滤器 监听器_java过滤监听器详解
weixin_32482133的博客
02-15 174
一、监听器概述监听你的web应用,监听许多信息的初始化,销毁,增加,修改,删除值等Servlet监听器用于监听一些重要事件的发生,监听器对象可以在事情发生前、发生后可以做一些必要的处理。1.Listener是Servlet的监听器2.可以监听客户端的请求、服务端的操作等。3.通过监听器,可以自动激发一些操作,如监听在线用户数量,当增加一个HttpSession时,给在线人数加1。4.编写监听器需要...
Java--Filter过滤防止XSS SQL注入
JustinQin
11-17 3100
一、攻击说明 XSS 跨站脚本攻击(Cross Site Scripting),为不层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到...
java防止浏览器缓存敏感数据,拦截器过滤器的区别
LeonNo11的博客
02-18 768
Filter(过滤器) Interceptor(拦截器)都是用于拦截 HTTP 请求的机制,但它们的工作方式、拦截范围应用场景不同。作用范围 整个请求(包括静态资源,如 HTML、CSSJS) Spring MVC 处理的请求(不拦截静态资源)Interceptor 依赖 Spring MVC,主要拦截 Controller 请求,如 权限校验、日志拦截。Filter 更底层,适用于 所有 HTTP 请求,包括静态资源,如 CORS、编码转换 等。
防止SpringMVC拦截器拦截js等静态资源文件的解决方法
10-19
Java的Spring框架中,SpringMVC是一个提供了构建Web应用程序的模型-视图-控制器(MVC)的流行框架。其中,拦截器是SpringMVC的一个特性,允许开发者在进入控制器之前执行特定的操作,常用于日志记录、权限检查等场景...
JavaWeb】用过滤器实现字符集设置登录拦截
csdn_inside的博客
04-08 1119
导读:如果未经登录就去访问某些网页资源,会被弹出类似“请登录”的消息。在访问网页资源之前,对不满足条件的请求进行拦截、处理,这就是过滤器。 过滤器的常见用途 请求字符集处理 网页资源权限访问控制 敏感词屏蔽 过滤器的工作流程生命周期 工作流程:客服端发送到服务器的请求,如果满足拦截条件,则过滤器会对这个请求进行拦截,并进行相应处理。再将处理后的请求发送至服务器端。服务器端处理完请求,发...
java过滤html,css,js标签工具类(UnHtmlScript)
10-31
java过滤html,css,js标签工具类(UnHtmlScript),抓取页面内容去除标签样式信息
STRUTS ActionForm乱码,servlet全局过滤器转义编码。
09-17
STRUTS ActionForm乱码,servlet全局过滤器转义编码
JavaWeb·JSP过滤
m0_64899073的博客
12-29 401
Filter是Tomcat容器内的过滤器,在请求到达容器是先会调用过滤器,再调用我们的servlet或者jsp 过滤器是在Servlet规范2.3中定义的,它能够对servlet容器的请求响应对象进行检查修改 过滤器本身并不产生请求响应对象,它只是提供过滤作用, Servlet过滤器能够在Servlet被调用之前 检查HttpServletRequest对象,并能修改Request请求头信息请求内容;在servlet被调用之后检查 Response对象,并能修改Response响应头信息响应内容
Java(web)项目安全漏洞及解决方式【面试+工作】
Java帮帮
05-13 2万+
Java(web)项目安全漏洞及解决方式【面试+工作】一.安全性问题层次关系大家经常会听到看到很多很多有关安全性方面的信息,可以说形形色色,对于在网络安全方面不太专业的同志来说,有点眼花缭乱,理不出头绪。在这里,我来帮大家整理一下。  以我个人多年来从事Web安全方面的工作经验及国外一些权威安全机构对Web安全的层次性的理解,我们通常把它分为三个层次:1.网络安全。如防火墙、路由器、网络结构等相关...
400 java web_"400 bad request"错误解决方案|springmvc接收参数时出现400 bad request
weixin_30647853的博客
02-24 1530
400 bad request错误一般只能在浏览器中才可以看到,本人在使用springmvc接收参数时就出现了400 (Bad Request)这样的错误,具体详情如下:jquery.min.js:5GEThttp://localhost/exam/admin/examhistory/list?page=1&pageSize=10&type=&createDate=&a...
JSP配置过滤器之后整个项目都报错404解决方法
innb00r的博客
06-16 2042
害,直接写了,最近准备考试比较忙,后期可能空了调整一下格式。 真的是自己老傻逼了,这个问题困扰了我两天,我淦 遇到的问题: 写完Filter什么事都没有,写之前也可以打开我项目里的JSP页面 配置完web.xml后,整个项目里面的每个JSP页面都不可以打开了 原因: 最开始我以为是web.xml配置有问题,网上查了很久资料,感觉都没有问题,我过滤的网页也只有一个欢迎页面。 后来网上查了很久都觉得可能是Filter写得有点问题,很多大佬说要写chain.doFilter(req,resp); 不然过滤
DispatcherServlet匹配路径设为/配置不拦截css等资源
qq_42156352的博客
08-15 1403
问题 <servlet-mapping> <servlet-name>dispatcher</servlet-name> <!--会拦截所有的请求--> <url-pattern>/</url-pattern> </servlet-mapping> 这样配置的dispatch-ser...
java过滤器(Filter)
热门推荐
爪哇人的博客
10-19 4万+
filter也称之为过滤器,它是javaWeb三大组件之一(Servlet程序、Listener监听器、Filter过滤器)既可以对请求进行拦截,也可以对响应进行处理。权限检查,日记操作、拦截请求、过滤操作、对请求字符设置编码。要想介绍filter,就必须介绍Filter中的三个方法。/*** web应用启动时,web服务器将创建Filter的实例对象,并调用init方法,读取web.xml的配置,完成对象的初始化功能,
Java 过滤
架构师之路。。
12-22 1038
Java 过滤器是一种可以对请求响应进行处理的组件。它可以用于在请求被发送到目标资源之前或响应被发送回客户端之前,对请求进行过滤或对响应进行修改。
全局路由白名单过滤器呢
04-08
<think>好的,我现在需要回答用户关于Spring Cloud Gateway的全局路由白名单过滤器的问题。用户之前已经询问过RewritePath过滤器,现在转向全局白名单,可能他正在处理安全相关的配置,比如允许某些路径无需认证即可访问。 首先,我需要确认Spring Cloud Gateway是否内置了全局的白名单过滤器。根据我的知识,Spring Cloud Gateway并没有直接提供名为“全局路由白名单过滤器”的内置组件,但可以通过组合现有的过滤断言来实现类似的功能。这可能涉及到使用内置的过滤器,比如`- Path`断言来匹配白名单路径,并结合`- RemoveRequestHeader`或自定义过滤器来处理这些请求。 接下来,我需要解释如何实现全局白名单。需要说明用户可以通过配置多个路由规则,其中白名单路径跳过某些过滤器(比如认证过滤器)。同时,全局过滤器(GlobalFilter)可以用于所有路由,但需要自定义逻辑来判断路径是否在白名单中,并决定是否继续执行其他过滤器。 还要注意配置的优先级问题,确保白名单路由在其他路由之前定义,以避免被其他路由规则覆盖。此外,示例配置很重要,用户可能需要YAML或Java DSL的例子来具体实施。 另外,需要提到常见的应用场景,比如开放API接口、静态资源访问,或者健康检查端点,这些通常需要白名单处理。同时,注意事项部分应该包括路径匹配的精确性,避免安全漏洞,以及测试验证的重要性。 最后,可能需要对比其他安全措施,比如结合认证过滤器,在白名单之外的路径进行鉴权。这样用户能有一个全面的解决方案。需要确保回答结构清晰,逐步引导用户理解实现方法,并确保信息准确,避免错误。</think>--- ### **全局路由白名单过滤器** Spring Cloud Gateway 默认没有直接提供名为“全局白名单”的内置过滤器,但可以通过 **全局过滤器(GlobalFilter)** 或 **路由配置组合** 实现类似功能。以下是两种常见实现方式: --- ### 1. **通过路由配置实现白名单** 在路由规则中配置白名单路径,并跳过某些过滤逻辑(如认证、鉴权)。 #### **示例(YAML 配置)** ```yaml spring: cloud: gateway: routes: # 白名单路由(优先级需高于其他路由) - id: whitelist_route uri: http://backend-service predicates: # 匹配白名单路径(如开放API、健康检查) - Path=/public/**, /actuator/health filters: # 可跳过认证过滤器(如移除JWT头) - RemoveRequestHeader=Authorization # 其他需要认证的路由 - id: auth_route uri: http://backend-service predicates: - Path=/** filters: - TokenRelay # 假设需要传递认证信息 ``` #### **关键点** - **优先级控制**: 白名单路由需定义在通用路由之前,确保优先匹配。 - **路径匹配**: 使用 `Path` 断言精确匹配白名单路径(支持通配符 `**`)。 - **跳过逻辑**: 通过移除认证头(如 `RemoveRequestHeader`)或配置空过滤器实现“跳过处理”。 --- ### 2. **通过全局过滤器(GlobalFilter)实现白名单** 自定义全局过滤器,对白名单路径直接放行,其他路径执行安全逻辑。 #### **示例代码(Java)** ```java @Component public class WhitelistGlobalFilter implements GlobalFilter { // 定义白名单路径列表 private static final List<String> WHITELIST = Arrays.asList( "/public/**", "/actuator/health" ); @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { String path = exchange.getRequest().getPath().value(); // 检查当前路径是否在白名单中 if (isWhitelisted(path)) { return chain.filter(exchange); // 直接放行 } // 非白名单路径执行安全逻辑(如认证、鉴权) if (!isAuthenticated(exchange)) { exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED); return exchange.getResponse().setComplete(); } return chain.filter(exchange); } private boolean isWhitelisted(String path) { return WHITELIST.stream() .anyMatch(pattern -> new AntPathMatcher().match(pattern, path)); } private boolean isAuthenticated(ServerWebExchange exchange) { // 实现具体认证逻辑 return true; } } ``` #### **关键点** - **路径匹配**: 使用 `AntPathMatcher` 支持通配符(如 `**` 匹配多级目录)。 - **执行顺序**: 通过 `@Order` 注解控制全局过滤器的优先级(需早于认证过滤器)。 - **灵活扩展**: 可结合数据库或配置文件动态加载白名单路径。 --- ### 3. **常见应用场景** | 场景 | 示例路径 | 说明 | |---------------------|-----------------------|-----------------------------| | 开放API接口 | `/public/api/**` | 无需认证的对外接口 | | 静态资源 | `/static/**` | 图片、CSS/JS文件访问 | | 健康检查 | `/actuator/health` | Kubernetes/Consul 健康探针 | | 内部调试端点 | `/debug/**` | 限内部IP访问的调试接口 | --- ### 4. **注意事项** 1. **路径匹配精确性** - 避免过于宽泛的通配符(如 `/**`)导致安全漏洞。 - 优先使用具体路径前缀(如 `/public/v1/**`)。 2. **性能影响** - 若白名单路径较多,使用 `AntPathMatcher` 可能降低性能,建议缓存匹配结果。 3. **动态更新** - 若需动态更新白名单,可将路径列表存储在数据库或配置中心(如 Nacos)。 4. **安全增强** - 白名单路径仍需防范 DDoS 攻击,可结合限流过滤器(如 `RequestRateLimiter`)。 --- ### 5. **与其他过滤器的协作** - **认证过滤器**: 白名单跳过认证,其他路径执行 `TokenRelay` 或 `JWT` 验证。 - **限流过滤器**: 白名单可单独配置限流策略(如更高 QPS)。 - **日志过滤器**: 对白名单请求标记日志级别(如 `DEBUG`)。 --- 通过上述方式,可实现灵活、安全的全局路由白名单控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值