[4] HeaderWriterFilter

最新推荐文章于 2024-10-28 17:14:09 发布
最新推荐文章于 2024-10-28 17:14:09 发布
阅读量2.7w 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: spring security
本文链接:https://blog.youkuaiyun.com/liuyanglglg/article/details/104772617
本文详细剖析了HeaderWriterFilter的工作原理,介绍了其如何在请求前后写入HTTP头部信息,包括控制写入时机的关键方法shouldWriteHeadersEagerly,以及HeaderWriterFilter内部类HeaderWriterResponse的作用。同时,列举了多种HeaderWriter实例,如X-Content-Type-Options和X-XSS-Protection等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

HeaderWriterFilter

介绍

    HeaderWriterFilter是在请求前后写入一些往前请求头或者响应头写入一些信息,本身并不复杂。通过shouldWriteHeadersEagerly进行控制写入时机,shouldWriteHeadersEagerly为true时,写入操作在过滤链执行之前,否者过滤链执行完毕后再进行写入。shouldWriteHeadersEagerly默认为false,可以利用ObjectPostProcessor的机制(ObjectPostProcessor在系列文章会做讲解),设置为true。

    HeaderWriterFilter写入的HeaderWriter笔者列举了一些,具体作用可以网上查阅:

  • Header [name: X-Content-Type-Options, values: [nosniff]]
  • Header [name: X-XSS-Protection, values: [1; mode=block]]
  • Header [name: Cache-Control, values: [no-cache, no-store, max-age=0, must-revalidate]]
  • Header [name: Pragma, values: [no-cache]]
  • Header [name: Expires, values: [0]]
  • 等等

代码分析

步骤1

    HeaderWriterFilter的writeHeaders()方法写入了一组headerWriters,this.headerWriters是filter里的全局变量,this.headerWriters是由HeadersConfigurer配置的,HeaderWriterFilter和HeadersConfigurer的关键代码如下:

@Override
protected void doFilterInternal(HttpServletRequest request,
        HttpServletResponse response, FilterChain filterChain)
        throws ServletException, IOException {

    if (this.shouldWriteHeadersEagerly) {
        doHeadersBefore(request, response, filterChain);
    } else {
        doHeadersAfter(request, response, filterChain);
    }
}

private void doHeadersBefore(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException, ServletException {
    writeHeaders(request, response);
    filterChain.doFilter(request, response);
}

private void doHeadersAfter(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException, ServletException {
    HeaderWriterResponse headerWriterResponse = new HeaderWriterResponse(request,
            response);
    HeaderWriterRequest headerWriterRequest = new HeaderWriterRequest(request,
            headerWriterResponse);
    try {
        filterChain.doFilter(headerWriterRequest, headerWriterResponse);
    } finally {
        headerWriterResponse.writeHeaders();
    }
}

void writeHeaders(HttpServletRequest request, HttpServletResponse response) {
    for (HeaderWriter writer : this.headerWriters) {
        writer.writeHeaders(request, response);
    }
}

private HeaderWriterFilter createHeaderWriterFilter() {
    List<HeaderWriter> writers = getHeaderWriters();
    if (writers.isEmpty()) {
        throw new IllegalStateException(
                "Headers security is enabled, but no headers will be added. Either add headers or disable headers security");
    }
    HeaderWriterFilter headersFilter = new HeaderWriterFilter(writers);
    headersFilter = postProcess(headersFilter);
    return headersFilter;
}

private List<HeaderWriter> getHeaderWriters() {
    List<HeaderWriter> writers = new ArrayList<>();
    addIfNotNull(writers, contentTypeOptions.writer);
    addIfNotNull(writers, xssProtection.writer);
    addIfNotNull(writers, cacheControl.writer);
    addIfNotNull(writers, hsts.writer);
    addIfNotNull(writers, frameOptions.writer);
    addIfNotNull(writers, hpkp.writer);
    addIfNotNull(writers, contentSecurityPolicy.writer);
    addIfNotNull(writers, referrerPolicy.writer);
    addIfNotNull(writers, featurePolicy.writer);
    writers.addAll(headerWriters);
    return writers;
}

private <T> void addIfNotNull(List<T> values, T value) {
    if (value != null) {
        values.add(value);
    }
}

步骤2

    HeaderWriterFilter有这样一个内部类,HeaderWriterResponse继承自OnCommittedResponseWrapper,它的onResponseCommitted()也会触发writeHeaders(),那么什么时候能回调用到onResponseCommitted(),在这个方法的代码段中打上一个断点,发现AbstractGenericHttpMessageConverter#write方法会最终触发doOnResponseCommitted(),猜测当Spring Mvc reponse的outputStream flush会触发doOnResponseCommitted(),截图和代码如下:

class HeaderWriterResponse extends OnCommittedResponseWrapper {
    private final HttpServletRequest request;

    HeaderWriterResponse(HttpServletRequest request, HttpServletResponse response) {
        super(response);
        this.request = request;
    }

    @Override
    protected void onResponseCommitted() {
        writeHeaders();
        this.disableOnResponseCommitted();
    }

    protected void writeHeaders() {
        if (isDisableOnResponseCommitted()) {
            return;
        }
        HeaderWriterFilter.this.writeHeaders(this.request, getHttpResponse());
    }

    private HttpServletResponse getHttpResponse() {
        return (HttpServletResponse) getResponse();
    }
}

image.png
image.png

Spring Security源码解析--HeaderWriterFilter
程序员劝退师的博客
11-19 1352
概述 Spring Securty 使用该Filter在一个请求的处理过程中为响应对象增加一些头部信息。头部信息由外部提供,比如用于增加一些浏览器保护的头部,比如X-Frame-Options, X-XSS-Protection和X-Content-Type-Options等。 具体的做法是在请求到达的时候将传入的响应对象包装成一个具有头部写入能力的HeaderWriterResponse对象,HeaderWriterResponse所具备的头部写入能力是这样的 : HeaderWriterRespons
Spring Security 6.x 系列【4】源码篇之默认过滤器
记录知识、锤炼自我
03-27 2576
本篇文档主要介绍中默认的15个过滤器相关作用。
Spring Security Web 5.1.2 源码解析 -- HeaderWriterFilter
Details Inside Spring
12-05 1955
概述 Spring Securty 使用该Filter在一个请求的处理过程中为响应对象增加一些头部信息。头部信息由外部提供,比如用于增加一些浏览器保护的头部,比如X-Frame-Options, X-XSS-Protection和X-Content-Type-Options等。 具体的做法是在请求到达的时候将传入的响应对象包装成一个具有头部写入能力的HeaderWriterResponse对象,H...
[SpringSecurity5.6.2源码分析十]:HeaderWriterFilter
qq_41662584的博客
09-16 248
【代码】[SpringSecurity5.6.2源码分析十]:HeaderWriterFilter
8、spring security拦截器之HeaderWriterFilter
u012153127的博客
06-24 927
HeaderWriterFilter:在请求前后写入一些header信息 @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { //shouldWriteHeadersEagerly:为true,则在请
Spring常用过滤器(Filter)-HeaderWriterFilter
最新发布
Liang的博客
10-28 474
这些头部信息由外部提供,通常用于增加一些浏览器保护的头部,如X-Frame-Options、X-XSS-Protection和X-Content-Type-Options等。1.1.1 HeaderWriterFilter是Spring Security中的一个核心过滤器,其主要功能是在HTTP响应的头部添加特定的安全标头(Security Headers),以增强Web应用程序的安全性。默认情况下,该属性为false,即过滤链执行完毕后再写入头部信息。否则,会在过滤链执行完毕后再进行写入。
pig4cloud请求分发流程和pig4cloud的Filter
WayneHu的博客
07-31 984
OAuth 2.0令牌端点的过滤器,它处理OAuth 2.0授权授予的处理。这实际上是对旧的httpessioncontextintegrationfilter的重构,将存储问题委托给一个单独的策略,允许在请求之间维护安全上下文的方式上进行更多定制。这个过滤器是一个比较重要的,当客户端访问资源时,RequestCacheAwareFilter尝试冲缓存中查找已经保存的Request,默认是存储到Session的Attitude种的,默认的key为SPRING_SECURITY_SAVED_REQUEST。
Invalid bound statement (not found)错误【已解决】
JavaPub
06-10 1126
开源地址: https://gitee.com/rodert/liawan-vue
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
org.springframework.security.authentication.InternalAuthenticationServiceException: null at org.springframework.security.authentication.dao.DaoAuthenticationProvider.retrieveUser(DaoAuthenticationProvider.java:123) ~[spring-security-core-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider.authenticate(AbstractUserDetailsAuthenticationProvider.java:144) ~[spring-security-core-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:199) ~[spring-security-core-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter.attemptAuthentication(UsernamePasswordAuthenticationFilter.java:95) ~[spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:212) ~[spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:116) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.header.HeaderWriterFilter.doHeadersAfter(HeaderWriterFilter.java:92) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.header.HeaderWriterFilter.doFilterInternal(HeaderWriterFilter.java:77) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:119) [spring-web-5.2.9.RELEASE.jar:5.2.9.
07-20
这个异常是Spring Security中的`...4. 如果可能的话,尝试打印更详细的错误日志以获取更多关于内部异常原因的信息。 如果以上步骤都没有解决问题,您可能需要进一步调查并尝试排除其他可能的问题。
Spring Security之HeaderWriterFilter(八)
欢谷悠扬
07-08 1313
1.作用 这个主要是个response写安全响应头信息的。 默认主要包含五个头信息 第一个:org.springframework.security.web.header.writers.XContentTypeOptionsHeaderWriter 头信息:X-Content-Type-Options=nosniff 作用: 这个是帮助script 和 styleSheet 元素拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。 第二个:org.spr
SpringSecurity常用过滤器介绍
波波烤鸭的博客
12-05 4811
  本文我们来介绍下SpringSecurity中常用的过滤器及其加载的过程。 一、常用的过滤器   常用的过滤器有15个,分别如下: 1.org.springframework.security.web.context.SecurityContextPersistenceFilter   首当其冲的一个过滤器,非常重要 主要是使用SecurityContextRepository在session...
SpringSecurity安全过滤器工作原理
weixin_44612246的博客
12-17 370
Spring Security主要安全过滤器及其工作原理分析
SpringSecurity的默认Filter详解
WayneHu的博客
09-20 1455
SpringSecurity默认的Filter详解
《SpringSecurity框架专题》-02常用过滤器
专业的计算机毕业设计指南
08-26 726
文章目录1.常见的过滤器1.1.SecurityContextPersistenceFilter1.2.WebAsyncManagerIntegrationFilter1.3.HeaderWriterFilter1.4.CsrfFilter1.5.LogoutFilter1.6.UsernamePasswordAuthenticationFilter1.6.DefaultLoginPageGeneratingFilter1.8.DefaultLogoutPageGeneratingFilter1.9.Bas
Spring Security 工作原理概览
热门推荐
江南一点雨的专栏
04-27 9万+
本文由读者 muggle 投稿,muggle 是一位具备极客精神的90后单身老实猿,对 Spring Security 有丰富的使用经验,muggle 个人博客地址是 h...
spring security 学习笔记(一)
m0_37723564的博客
02-19 774
目录 引言 框架概述 过滤器SecurityFilter 引言 之前写了几篇有关shiro和spring之间整合的文章。在实际的开发过程中除了用shiro作为安全管理框架之外,用的比较多的就是spring security框架了。相对于shiro而言spring security作为spring全家桶中的一员和spring boot的整合也会更加方便,同时功能也更加的丰富,属于重量级的安全框架。而且随着spring框架体系的日益完善,java 开发中spring框架的比重...
Spring Boot技术栈博客企业前后端 启动后报空指针异常
名子的博客
01-03 1741
此项目会用到gradle,项目代码-链接: https://pan.baidu.com/s/1vR0AHtubfmIl0KKL1Hk_Zw 提取码: bs9d  [未解决] 启动时出现: Negative matches: -----------------    ActiveMQAutoConfiguration:       Did not match:          - @Con...
Spring Security默认过滤链认识
nero_claudius的博客
01-15 1397
前言 最近重新学习了一下Spring Security,对整个认证流程有了一个自己的认识。但今天写的是一个前置的知识点,Spring Security启动后默认加载的一些过滤器,接着让我们来看看究竟是哪些 1 启动后过滤链总览 [main] o.s.s.web.DefaultSecurityFilterChain : Creating filter chain: org.springfra...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值