转载

限制直接通过地址栏键入链接地址访问xml配置文件

前言

在实际的web项目中,有些配置项会放在xml文件里面,对于xml文件,我们其实并不希望访问者进行访问,毕竟xml文件里面可能配置了一些较为敏感的信息,比如内网IP、用户名及密码等。对此,希望能够限制访问者直接在地址栏键入链接地址访问到xml文件。

方法

1、 判断请求方式(POST、GET)

在web项目内读取xml文件一般进行的是POST请求,而通过地址栏键入地址访问则为GET请求,依次来区分。

       public void doFilter(ServletRequest request, ServletResponse response,                     FilterChain chain) throws IOException, ServletException {             HttpServletRequest httpreq = (HttpServletRequest) request;             String method = httpreq.getMethod();             if("GET".equals(method)) {                 httpres.sendRedirect(httpreq.getContextPath() + "/error.html");                 return;             }             chain.doFilter(request, response);         }

当然,在web.xml里面也要相应的配置filter:

        <filter>             <filter-name>authVisitPage</filter-name>             <filter-class>web.AuthVisitFilter</filter-class>         </filter>         <filter-mapping>             <filter-name>authVisitPage</filter-name>             <url-pattern>*.xml</url-pattern>         </filter-mapping>

2、 利用document.referrer属性

referrer是与对网页的请求有关的document对象中的属性。referrer属性中保存着链接到当前页面的那个页面的URL,在没有来源页面的情况下,referrer属性中可能会包含空字符串。该属性不可设置。 

       public void doFilter(ServletRequest request, ServletResponse response,                     FilterChain chain) throws IOException, ServletException {             HttpServletRequest httpreq = (HttpServletRequest) request;             String referer = httpreq.getHeader("Referer");             if(referer == null) {                 httpres.sendRedirect(httpreq.getContextPath() + "/error.html");                 return;             }             chain.doFilter(request, response);         }

这里只是判断referer是否为空,但忽略了一种情况:

假设已知xml的路径(如:

http://

域名/configs/*.xml),我们可以在本地新建一个web工程,里面增加一个跳转

    <a href="http://域名/configs/*.xml">跳转</a>

如果还是用之前的过滤器,只是判断referer是否为空的话,是不能够过滤掉这种跳转过来的访问请求。对此,过滤器需要增加判断:禁止非内部访问

       public void doFilter(ServletRequest request, ServletResponse response,                     FilterChain chain) throws IOException, ServletException {             HttpServletRequest httpreq = (HttpServletRequest) request;             String referer = httpreq.getHeader("Referer");             String host = httpreq.getHeader("Host");             if(referer == null || referer.indexOf(host) >= 0) {                 httpres.sendRedirect(httpreq.getContextPath() + "/error.html");                 return;             }             chain.doFilter(request, response);         }

总结

  • 对于第一种方法,应该也存在跳转访问这个bug,同时这种方法就要求内部所有对xml的访问都应确保为POST方式。这样一对比的话,感觉第二种方法可能会更好。

  • 对这个需求如果进行扩展的话,可以限制不想被访问者直接访问的所有文件类型。

正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Java设计模式 Jenkins进阶系列 openfire参考指南 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 ANTLR教程 Ant教程 java实例教程 SpringCloud Elastic-Job-Lite XStream教程 深入浅出MyBatis Hazelcast教程 ibaties教程 SVN教程 rabittmq教程 Hadoop教程 solr教程 WebService CXF学习 springcloud-demo JPA教程 ActiveMQ中文指南 Java内存模型 java-demo dubbo教程 Linux入门视频教程
近期评论
  1. 1 Spring Cloud Circuit Breaker快速入门Demo
  2. 2 Spring Cloud Bus快速入门Demo
  3. 3 Spring Cloud Config快速入门Demo
  4. 4 Spring Cloud Function快速入门Demo
  5. 5 SSPanel-Uim搭建教程 2023年全新定制版主题-解决老版本命令失效问题
  6. 6 Spring Boot集成Milvus和deeplearning4j实现图搜图功能
  7. 7 Spring Boot集成Aviator实现参数校验
  8. 8 ACME自动申请免费的通配符https域名证书
  9. 9 wordpress 数据库和文件优化
  10. 10 CentOS安装Docker与Docker-Compose
网站信息
  • 文章总数:82,696 篇
  • 文件总数:284,257 个
  • 标签总数:2,380 个
  • 分类总数:84 个
  • 留言数量:2,560 条
  • 在线人数:657 人
  • 运行天数:4,392天
  • 最后更新:2024年11月05日20点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG