防跨域

最新推荐文章于 2025-12-05 17:02:52 发布
原创 最新推荐文章于 2025-12-05 17:02:52 发布 · 141 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #web.xml

1、建立CrossDomainFilter.java

package net.hlj.common.filter;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;

/**
 * @项目名:houseInfo
 * @包名:net.hlj.common.filter
 * @文件名:CrossDomainFilter.java
 * @日期:Feb 9, 2012 3:49:24 PM
 * @备注:防跨域
 * @作者:apple
 */
public class CrossDomainFilter implements Filter{

	private static Log log = LogFactory.getLog(CrossDomainFilter.class);

	public void destroy() {
		// TODO Auto-generated method stub
		
	}

	public void doFilter(ServletRequest arg0, ServletResponse arg1,
			FilterChain arg2) throws IOException, ServletException {
		// TODO Auto-generated method stub
		HttpServletRequest request = (HttpServletRequest) arg0;
		HttpServletResponse response = (HttpServletResponse) arg1;
		String servername_str = request.getServerName();//取前一个地址
		String currentURI = request.getRequestURI();
		Enumeration headerValues = request.getHeaders("Referer");
		String tmpHeaderValue = "";
		boolean isValid = true;
		//指定需要跳过拦截的页面地址,如果需要新增,可直接在数组中添加。
		String [] ignoreURIS={"/back/"};
		while (headerValues.hasMoreElements()) {
			// 得到完整的路径:如“http://www.xxx.com/xxx/xxx.jsp?id=xxx”
		    tmpHeaderValue = (String) headerValues.nextElement();
		    }
//		if(log.isInfoEnabled()){
//		    log.info(" 获得的参数url为: " + tmpHeaderValue );
//		    log.info(" 系统取得的url为:"+ currentURI);
//		   }

		if ("".equals(tmpHeaderValue)) {
		    isValid = false;
//		    if(log.isInfoEnabled()){
//		     log.info(" 获得的参数url为: empty");
//		     log.info(" 系统取得的url为:"+ currentURI);
//		     log.info("系统提示:请求可能来自外域!"); 
//		    }

		   } else {
//		    if(log.isInfoEnabled()){
//		     log.info("获得的参数长度为:"+tmpHeaderValue.length());
//		    }
		    tmpHeaderValue = tmpHeaderValue.toLowerCase();
		    servername_str = servername_str.toLowerCase();

		    int len = 0;
		    if (tmpHeaderValue.startsWith("https://")) {
		     len = 8;
		    } else if (tmpHeaderValue.startsWith("http://")) {
		     len = 7;
		    }

//		    if(log.isInfoEnabled()){
//		     log.info("截取前的字符串为:" + tmpHeaderValue );
//		     log.info( "从第 " + len + " 位开始截取,截取长度为:" + servername_str.length());
//		    }
		    String tmp = tmpHeaderValue.substring(len, servername_str.length() + len);
//		    if(log.isInfoEnabled()){
//		     log.info("截取后的字符串为:" + tmp);
//		    }
		    if (tmp.length() < servername_str.length()) { // 长度不够
		     isValid = false;
//		     if(log.isInfoEnabled()){
//		      log.info("截取后的字符串长度不够,请求可能来自外域!");
//		     }
		    } else if (!tmp.equals(servername_str)) {// 比较字符串(主机名称)是否相同
		     isValid = false;
//		     if(log.isInfoEnabled()){
//		      log.info("域名匹配失败,请求来自外域!");
//		     }
		    }
		   }
		  
		  
		   // 跳过指定需要拦截的页面地址
		   for (String ignoreURI : ignoreURIS) {
		    if(currentURI.contains(ignoreURI)){
		     isValid=true;
//		     if(log.isInfoEnabled()){
//		      log.info("系统已跳过检查以下url:"+currentURI);
//		     }
		    }
		   }
		   
		   //如果第一次访问
		   if(tmpHeaderValue.equals("")){
			   isValid=true;
		   }
		   
		   if (!isValid) {
		   
//		    if(log.isInfoEnabled()){
//		     log.info("系统提示信息:URL为跨域请求,即将重定向到首页。 ");
//		    }
//		    response.sendRedirect("/example/exampleIndex.jsp");
			   
			PrintWriter out=response.getWriter();
			out.print("Page Not Found!");
		   } else {
		    arg2.doFilter(arg0, arg1);
		   }


	}

	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub
		
	}

}

 2、web.xml

 	<!-- 防跨域 -->
	<filter>
		<filter-name>CrossDomainFilter</filter-name> 
		<filter-class>net.hlj.common.filter.CrossDomainFilter</filter-class> 
	</filter> 
	<filter-mapping> 
		<filter-name>CrossDomainFilter</filter-name> 
		<url-pattern>*</url-pattern> 
	</filter-mapping>

 

内网 —— 攻击
战神/calmness的博客
12-09 948
目录 攻击的方法 利用信任关系的攻击 信任关系 获取信息 利用信任密钥获取目标的权限 利用krbtgt 散列值获取目标的权限 外部信任和林信任 利用无约束委派 和 MS-RPRN 获取信任林权限 攻击 攻击的方法 都有自己的内网,一般通过林进行共享资源。根据不同职能区分 利用信任关系的攻击 信任关系 获取信息 利用信任密钥获取目标的权限 ...
方法与
weixin_43783814的博客
07-06 335
原文博客链接 藤原拓鞋 XSS XSS,Cross Site Script,站脚本攻击。是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者注入恶意脚本,将隐私数据像 cookie,session 发送给攻击者,将受害者重定向到一个由攻击者控制的网站,在受害者的机器上进行恶意操作。 范: 现在主流的浏览器都内置了如 CSP 范 XSS 的措施,而开发者可以通过下述方法: HTTPOnly 止窃
【SpringBoot】之接口设计篡改和重放攻击
王廷云的博客
09-12 6434
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全范;最后介绍了如何通过参数加密和签名校验的方式进行有效范。
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1892
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
spring 扫描指定包下的RequestMapping
点击抽奖
04-14 900
spring 扫描指定包下的RequestMapping 1.自定义扫描包路径注解 1).@EnableScanRequestURI 定义扫描包路径注解 package com.wmang.scan.client.annotation; import com.wmang.scan.client.config.ScanRequestUriConfiguration; import org.spri...
知识储备——访问及options请求的解释
weixin_42258523的博客
12-24 701
首先的代码直接贴上。 /**/ header('Access-Control-Allow-Origin:*');//允许所有来源访问 header('Access-Control-Allow-Credentials: true');//是否允许后续请求携带认证信息(cookies),该值只能是true,否则不返回 header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');//允许的请求类型 header("
TP6
m0_62229785的博客
02-19 443
// \think\middleware\AllowCrossDomain::class,
html2canvas截图oss图片
weixin_68658847的博客
07-19 1478
html2canvas截图oss图片
PHP禁止外网访问本站接口(盗链)
美奇软件开发工作室
07-04 1835
为什么网站要盗链? 随着前后端分离技术的兴起,很多手机端网站、小程序、APP访问后台数据都是调用API接口,很多接口都是内部使用的,而不是对外开放,如果没有做好护措施,你家的接口很可能被其他人盗用,接口被盗用的的话,一方面会增加系统的负担,另一方面是数据被黑客利用,对企业造成一定的损失。本文着重介绍两种php盗链的方法,供大家参考! 一、禁止非本站名访问 <?php $refer = $_SERVER['HTTP_REFERER']; if($refer){
axios如何请求伪造攻击
04-21
请求伪造攻击方面,axios本身并没有提供特定的御机制,但可以通过一些常见的安全措施来增强安全性。 以下是一些常见的请求伪造攻击的方法: 1. 同源策略:浏览器的同源策略限制了不同源之间的...
后端在对请求重定向时怎么预问题
09-12
我们正在处理的问题是:后端在对请求重定向时如何预问题(CORS error)。根据用户提供的引用和之前的历史,我们知道问题通常发生在重定向过程中,因为浏览器会检查重定向链中每个响应的CORS头。如果重定向...
Jmeter 对于登录带有csrf的登录方法总结
qq_34258189的博客
07-05 4133
1,首先通过浏览器检查,查看接口登录需要的数据_csrf-portal:xxxxxLogin[org_code]:XXXXX Login[username]:XXXXX-----用户名Login[password]:XXXXX-----密码Login[remember]:0------不记住用户Login[remember]:1------记住用户2,了解一下csrf的登录方法这个图是...
Java_常瑞鹏 Java Web HttpServletRequest
ddmkmbdq307072的博客
10-26 253
HttpServletRequest对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,HTTP请求头中的所有信息都封装在这个对象中,开发人员通过这个对象的方法,可以获得客户这些信息。 request常用方法 获得客户机信息 •getRequestURL方法返回客户端发出请求时的完整URL。 •getRequestURI方法返回请求行...
AppScan安全扫描:CSRF 攻击 将可能干扰 CSRF 攻击的 HTTP 头除去,并使用伪造的 URL 设置 Referer 头
爱兰河少
01-30 1850
如果一个网站是从其他网站点击后跳转过来,则会在当前的请求头中带上Referer信息,该信息指示的是跳转前网页的地址信息,而AppScan安全扫描则会报CSRF 攻击;解决方法:通过拦截器,获取请求中的Referer信息,对Referer信息做过滤处理 1、拦截器信息 可用过csrf-ignore-uri配置白单信息,指定相应的URI信息不做拦截 package cn.com.zwjp.fr...
TensorRT笔记(5):研究timingCache
ouliten的博客
12-02 1088
在里出现了大量的timingCache,但是当时没有取研究这是干啥的,本文就来解析一下。样例都基于上面的文章。
MVP改成MVVM模式
u014035162的专栏
12-05 780
面将登录示例改造成(基于 Android Jetpack 的 ViewModel + LiveData + DataBinding),核心是抛弃 Presenter 中间层,通过 ViewModel 管理数据和业务逻辑,LiveData 实现数据驱动 UI,DataBinding 简化视图与数据的绑定。
零基础学JAVA--Day41(IO文件流+IO流原理+InputStream+OutputStream)
最新发布
Dxxyyyy的博客
12-05 671
文件在程序中是以流的形式来操作的流:数据在数据源(文件)和程序(内存)之间经历的路径输入流:数据从数据源(文件)到程序(内存)的路径输出流:数据从程序(内存)到数据源(文件)的路径。
基于Springboot2+Vue2的旅游景点购票系统
自学网站s.jf3q.com,菜鸟的成长之路
12-02 705
本系统是一个集旅游景点信息展示、在线购票、用户游记分享与互动交流于一体的综合性平台。核心价值在于提供便捷的景点门票预订服务,同时构建活跃的旅游社区,促进用户间的经验分享。
Java 缓冲区优化
qq_43427354的博客
12-02 719
Java 中,缓冲区(Buffer) 是一块用于临时存储数据的内存区,核心作用是协调数据生产者和消费者的速度差异,减少频繁 I/O 操作或数据拷贝的开销,提升程序性能。它本质是 “数据中转站”,避免了直接对原始数据源(如文件、网络流、数组)的频繁读写,通过 “批量处理” 优化效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值