通过request.getHeader("referer")防止用户手动修改URL访问非权限页面

最新推荐文章于 2023-03-20 16:52:08 发布
最新推荐文章于 2023-03-20 16:52:08 发布
阅读量5.2k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: servlet/jsp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zen_123/article/details/13771847
本文介绍了如何使用HTTP头部的referer字段来验证用户访问来源,从而防止非法访问和盗链,并探讨了其在下载软件网站及电子商务网站上的应用场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天在写filter的时候,要做一个防止用户手动修改URL访问非权限页面的验证。在网上搜索了下,

发现可以通过:request.getHeader("referer");  // js的话:javascript:document.referrer来防止,

如果返回值为null的话,说明是手动修改url访问的,然后进而通过后台,判断是否该登陆用户具

有访问权限,如果有,放行,否则,跳转到错误页面。

原理:referer只有从别的页面点击连接来到这页的才会有内容,否则为null。


request.getHeader("referer")的作用:
①防止盗连,比如我是个下载软件的网站,在下载页面我先用referer来判断上一页面是不是自己网站,如果不是,说明有人盗连了你的下载地址。
②电子商务网站的安全,我在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。

SpringBoot集成Sa-Token框架权限认证全面指南
专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
06-22 274
Sa-Token是一款轻量级Java权限认证框架,提供登录认证、权限控制、单点登录等功能。其核心优势在于简单易用、功能全面,特别适合前后端分离和微服务架构。框架采用分层设计,包含API层、实现层和适配层,支持Token管理和分布式会话。与传统方案相比,Sa-Token具有更低的学习曲线和更好的RESTful支持。集成SpringBoot时仅需添加简单依赖和配置即可快速启用,提供Token有效期、并发登录等灵活配置选项。通过注解和拦截器实现权限校验,内置自动续期等实用功能,是一款高效便捷的权限管理解决方案。
Jsp requset.getHeader("referer")解决盗链问题
Mecho的博客
03-30 633
getHeader(String s)是request对象的一个方法;getHeader(String s):获取Http头文件中由参数s指定的头名字的值。一般来说s参数可取的头名有 accept,referer,accept-language,content-type,accept-encoding,user-agent,host,content-length,connection,cookie...
关于request.getHeader("Referer")的问题探讨
10-26
request.getHeader("Referer")获取上次访问URL链接,在什么情况下他会出现问题,下面为大家分享下,感兴趣的朋友不要错过
如何防止请求的URL被篡改
公众号:Java后端
10-29 1106
Web项目聚集地图文教程,技术交流如图,是我们模拟的一个从浏览器发送给服务器端的转账请求。久一的ID是 web_resource,正在操作100元的转账。再如图,因为是通...
request.getHeader("Referer")理解
热门推荐
小糊涂蛋大糊涂神的专栏
05-22 3万+
request.getHeader("Referer")用于获取来源页地址,但有时却为空值,这是怎么回事。原因如下:     getHeader("Referer")要走http协议时才有值,也就是说要通过a标记才能获得那个值,而通过改变location或是a都是得不到那个值的。  request.getHeader("Referer")返回的是一个Enumeration 玫举 En
request.getHeader("referer")
Android_la的博客
01-11 1170
. 问题背景 有时候在购物网站登录了自己账号,点击注销,仍然是显示商品的页面用户仍能正常浏览商品。但是不能用加入购物车的功能,或者购买商品需要登录账号。那么我们怎么实现注销了用户后,浏览器仍然跳转回注销前的页面(此页面一般指购物网站的首页) 二. 解决方法 使用request.getHeader("referer"); 分析: request.getHeader("referer");用于获...
request.getHeader() 相关详细
iteye_15130的博客
01-20 2297
  request.getHeader() 相关详细 在三种情况下,request.getHeader("REFERER")取值1:通过链接跳过来 2:在地址栏中输入URL,打回车3:刷新 当链接过来的时候,referer的值是链接过来的页面URL,正常。我刷新的时候referer的值没有变,但当我在地址栏中打回车(URL没有改变,只是打回车),referer值却变成NULL了。...
Response&Request&地址写法&URL编码
涂文远的博客
12-07 1765
一、Response     1.Resonse的继承结构:             ServletResponse--HttpServletResponse     2.Response代表响应,于是响应消息中的 状态码、响应头、实体内容都可以由它进行操作,由此引伸出如下实验:     3.利用Response输出数据到客户端         response.getOutputStream()...
用户登录控制【spring boot 整合spring security】
weixin_52689367的博客
03-20 622
在前面几个功能的演示过程中,都需要预先使用Spring Security提供的默认登录页面和默认登录用户user登录认证后才可以进行页面访问和功能演示。因为在Security默认拦截机制下,如果登录用户发送无权限的请求,则会跳转到Security默认提供的403错误页面,所以这里选择通过AccessExceptionHandler()方法控制程序跳转到自定义的错误页面。文件10-29中,使用JDBC身份认证的方式实现了自定义用户认证,此时重启项目进行访问,则只需要输入数据库中已有的用户信息就可以登录认证。
如何防止CSRF攻击?
ccyzq的博客
03-17 4661
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
JavaWeb学习笔记
abc8340的博客
04-24 493
JavaWeb 1、开发环境搭建 new->other->Server ->Server new-> other->web->Dynamic web Project (动态web项目) 2、Dao回顾 DAO:工具类、异常类、实体类、DAO中的各种方法 Service:业务逻辑,事务,异常(根据业务场景抛出各种异常) 3、HTTP协议 模式:请求–响应 request-response 请求: 响应: 在请求与响应的过程中,浏览器与web服务器之间有一个协议,HT
request.getHeader(“Referer“)的使用
weixin_45872600的博客
08-18 1526
重定向到原来购物车展示页面 //清空购物车 protected void clear(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { Car cart =(Car) request.getSession().getAttribute("cart"); if(cart!=null){ ...
request.getHeader("referer")防盗链
cuiyaoqiang的博客
05-07 2123
一、什么是Referer HTTP headers是HTTP请求和相应的核心模块,它承载了关于客户端浏览器、请求页面、服务器等相关信息。Referer是HTTP头中的一个属性,告诉服务器我是从哪个页面链接过来的。request.getHeader(“referer”)可用的情况: 1.<a href="">。 2.表单提交。 request.getHeader(“referer”)不可用的情
能得到你是从什么页面过来的,referer的用处 [zt]
12-25 1261
能得到你是从什么页面过来的,referer的用处 作者:home 时间:2005年12月14日22时20分 关键词:|php|  在开发web程序的时候,有时我们需要得到用户是从什么页面连过来的,这就用到了referer。它是http协议,所以任何能开发web程序的语言都可以实现,比如jsp中是:request.getHeader("referer");php是$_SERVER[HTTP_REF
关于request.getHeader("Referer")的说明
summerjoyan的专栏
06-23 1619
<br />request.getHeader("Referer")获取来访者地址。只有通过链接访问当前页的时候,才能获取上一页的地址;否则request.getHeader("Referer")的值为Null,通过window.open打开当前页或者直接输入地址,也为Null。
使用HttpServletRequest对象的getHeader(“referer”)方法实现下载资源防盗链的功能
Unitue_逆流
05-13 1万+
请编写一个类,该类使用HttpServletRequest对象的getHeader(“referer”)方法实现下载资源防盗链的功能在实际开发中,经常会使用referer头字段,一些站点为吸引人气经常会为了提高站点的访问量,提供各种软件的下载页面,他们本身没有这些资源,只是将下载的超链接指向其他站点的资源。为防止这种盗链,就需要检查请求来源,只接受本站点链接发送的下载请求,防止其他站点链接的下载请...
request.getHeader("referer")的作用
Gorden的博客
06-11 1万+
request.getHeader("referer")获取来访者地址。只有通过链接访问当前页的时候,才能获取上一页的地址;否则request.getHeader("referer")的值为Null,通过window.open打开当前页或者直接输入地址,也为Null。所以,getHeader("referer")要走http协议时才有值,也就是说要通过&lt;a href="url"&gt;a&l...
request.getHeader()
最新发布
03-29
<think>好的,我现在要帮用户解释清楚`request.getHeader()`方法。首先,用户之前已经问过`getHeader`和`getCookie`的区别,现在又单独问`request.getHeader()`,可能是想深入了解这个方法的具体使用和细节。 用户可能正在学习Java Web开发,特别是Servlet相关的知识。他们可能在处理HTTP请求时遇到了需要获取请求头信息的需求,比如获取User-Agent判断客户端类型,或者获取其他自定义头信息。这时候需要知道如何使用`getHeader`方法,以及注意事项。 首先,我需要确认`request.getHeader()`在不同上下文中的存在,比如Java Servlet和其他框架中的使用。用户提到的例子是Java Servlet,所以应该以这个为基础展开。但可能也需要提到其他语言或框架中的类似实现,比如Node.js的Express,这样用户有更广的理解。 然后,需要明确方法的作用:从HTTP请求头中获取指定字段的值。用户可能知道请求头的基本概念,但需要具体例子说明常见的头字段,比如User-Agent、Content-Type、Authorization等。此外,用户可能关心方法的大小写是否敏感,返回值的类型,以及如何处理不存在的头字段。 接下来,使用场景部分需要具体说明,比如客户端检测、内容协商、安全验证等。用户可能需要实际案例来理解何时使用这个方法,比如判断是否移动端访问,或者验证API请求的Content-Type是否为JSON。 语法示例部分要提供Java Servlet的代码示例,同时可能也需要其他语言的例子,但用户之前的问题主要集中在Java上,所以可能以Java为主。需要展示如何调用方法,并处理可能的null值。 注意事项部分需要强调字段名称不区分大小写,但某些服务器可能有不同处理方式。此外,返回null的情况需要处理,避免空指针异常。可能还需要提到自定义头的情况,比如跨域时的CORS头,或者自定义认证头。 常见问题部分应该解答用户可能遇到的疑问,比如为什么有时获取不到头信息,或者如何处理多个值的情况。比如,`Accept`头可能有多个值,这时候可能需要使用`getHeaders()`方法获取枚举或列表。 最后,对比其他方法,比如`getIntHeader`和`getDateHeader`,用户可能不知道这些方法的存在,所以需要简要提及,帮助他们更高效地处理特定类型的数据。 用户可能的深层需求是希望正确使用`getHeader`来增强他们的Web应用功能,比如实现权限验证、日志记录或客户端适配。因此,除了基本用法,还需要强调安全性,比如处理敏感信息时的注意事项,避免泄露或篡改。 总结下来,回答需要结构清晰,涵盖作用、语法、场景、注意事项和常见问题,确保用户能够全面理解并正确应用`request.getHeader()`方法。</think>以下是关于`request.getHeader()`方法的详细说明: --- ### 1. **作用** `request.getHeader()` 是用于从 **HTTP请求头(Request Headers)** 中获取指定字段值的方法。 通过它,可以读取客户端发送请求时附加的元信息,例如客户端类型、内容格式、认证信息等。 --- ### 2. **语法** #### Java Servlet 中的典型用法: ```java String headerValue = request.getHeader("Header-Name"); ``` - **参数**:需传入一个字符串,表示要获取的请求头字段名称(如`User-Agent`)。 - **返回值**:字符串(String)。若字段不存在,返回`null`。 --- ### 3. **常见用途示例** #### (1) 获取客户端类型(User-Agent) ```java String userAgent = request.getHeader("User-Agent"); // 示例结果: "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 ..." ``` - 用途:判断用户使用的是浏览器、移动端还是爬虫程序。 #### (2) 验证内容类型(Content-Type) ```java String contentType = request.getHeader("Content-Type"); // 示例结果: "application/json" ``` - 用途:确保请求体格式符合预期(如是否为JSON或表单数据)。 #### (3) 读取认证信息(Authorization) ```java String authToken = request.getHeader("Authorization"); // 示例结果: "Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." ``` - 用途:用于JWT令牌验证或OAuth认证。 #### (4) 获取自定义请求头 ```java String customHeader = request.getHeader("X-Custom-Header"); ``` - 用途:实现自定义逻辑(如API版本控制、灰度发布标识)。 --- ### 4. **注意事项** #### (1) **字段名称不区分大小写** - 例如:`User-Agent`、`user-agent`和`USER-AGENT`会被视为同一个字段。 - 但某些服务器实现可能有差异,建议统一使用标准大小写格式。 #### (2) **处理不存在的字段** - 若请求头中无此字段,返回`null`,需做好空值处理: ```java String header = request.getHeader("Some-Header"); if (header != null) { // 安全操作 } ``` #### (3) **多值字段处理** - 某些字段可能有多个值(如`Accept`),需使用`getHeaders()`方法获取枚举: ```java Enumeration<String> acceptHeaders = request.getHeaders("Accept"); while (acceptHeaders.hasMoreElements()) { System.out.println(acceptHeaders.nextElement()); } ``` #### (4) **敏感信息风险** - 避免直接信任请求头内容(如`X-Forwarded-For`可能被伪造),需结合服务端验证。 --- ### 5. **其他相关方法** | 方法 | 说明 | |--------------------------|----------------------------------------------------------------------| | `getHeaderNames()` | 返回所有请求头字段名的枚举(`Enumeration<String>`)。 | | `getIntHeader(String)` | 直接解析头字段值为整数(若无法解析,抛出`NumberFormatException`)。 | | `getDateHeader(String)` | 解析头字段值为日期(返回`long`类型时间戳)。 | --- ### 6. **跨语言/框架示例** #### Node.js (Express) ```javascript app.get("/", (req, res) => { const userAgent = req.get("User-Agent"); // 等效于getHeader }); ``` #### Python (Flask) ```python from flask import request @app.route("/") def home(): user_agent = request.headers.get("User-Agent") ``` --- ### 7. **常见问题** - **Q**: 为什么`getHeader("Cookie")`返回`null`? **A**: 应使用`request.getCookies()`专门获取Cookie,而直接读头字段。 - **Q**: 如何获取客户端IP地址? **A**: 需结合`X-Forwarded-For`(代理场景)和`request.getRemoteAddr()`综合判断。 --- 掌握`request.getHeader()`的使用,能帮助你灵活处理HTTP请求的元信息,实现客户端识别、安全验证等关键功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值