转载

限制直接通过地址栏键入链接地址访问xml配置文件

前言

在实际的web项目中,有些配置项会放在xml文件里面,对于xml文件,我们其实并不希望访问者进行访问,毕竟xml文件里面可能配置了一些较为敏感的信息,比如内网IP、用户名及密码等。对此,希望能够限制访问者直接在地址栏键入链接地址访问到xml文件。

方法

1、 判断请求方式(POST、GET)

在web项目内读取xml文件一般进行的是POST请求,而通过地址栏键入地址访问则为GET请求,依次来区分。

       public void doFilter(ServletRequest request, ServletResponse response,                     FilterChain chain) throws IOException, ServletException {             HttpServletRequest httpreq = (HttpServletRequest) request;             String method = httpreq.getMethod();             if("GET".equals(method)) {                 httpres.sendRedirect(httpreq.getContextPath() + "/error.html");                 return;             }             chain.doFilter(request, response);         }

当然,在web.xml里面也要相应的配置filter:

        <filter>             <filter-name>authVisitPage</filter-name>             <filter-class>web.AuthVisitFilter</filter-class>         </filter>         <filter-mapping>             <filter-name>authVisitPage</filter-name>             <url-pattern>*.xml</url-pattern>         </filter-mapping>

2、 利用document.referrer属性

referrer是与对网页的请求有关的document对象中的属性。referrer属性中保存着链接到当前页面的那个页面的URL,在没有来源页面的情况下,referrer属性中可能会包含空字符串。该属性不可设置。 

       public void doFilter(ServletRequest request, ServletResponse response,                     FilterChain chain) throws IOException, ServletException {             HttpServletRequest httpreq = (HttpServletRequest) request;             String referer = httpreq.getHeader("Referer");             if(referer == null) {                 httpres.sendRedirect(httpreq.getContextPath() + "/error.html");                 return;             }             chain.doFilter(request, response);         }

这里只是判断referer是否为空,但忽略了一种情况:

假设已知xml的路径(如:

http://

域名/configs/*.xml),我们可以在本地新建一个web工程,里面增加一个跳转

    <a href="http://域名/configs/*.xml">跳转</a>

如果还是用之前的过滤器,只是判断referer是否为空的话,是不能够过滤掉这种跳转过来的访问请求。对此,过滤器需要增加判断:禁止非内部访问

       public void doFilter(ServletRequest request, ServletResponse response,                     FilterChain chain) throws IOException, ServletException {             HttpServletRequest httpreq = (HttpServletRequest) request;             String referer = httpreq.getHeader("Referer");             String host = httpreq.getHeader("Host");             if(referer == null || referer.indexOf(host) >= 0) {                 httpres.sendRedirect(httpreq.getContextPath() + "/error.html");                 return;             }             chain.doFilter(request, response);         }

总结

  • 对于第一种方法,应该也存在跳转访问这个bug,同时这种方法就要求内部所有对xml的访问都应确保为POST方式。这样一对比的话,感觉第二种方法可能会更好。

  • 对这个需求如果进行扩展的话,可以限制不想被访问者直接访问的所有文件类型。

正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
Java入门教程 bootstrap3 CSS springboot-demo Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 Struts2教程 MongoDB教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 SpringCloud ANTLR教程 Hive教程 java实例教程 Ant教程 Hazelcast教程 Elastic-Job-Lite XStream教程 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 WebService CXF学习 Hadoop教程 solr教程 JPA教程 ActiveMQ中文指南 Java内存模型 dubbo教程 Linux入门视频教程
近期评论
  1. 1 Spring Boot集成Swagge快速入门Demo
  2. 2 Spring Boot集成sitemapgen4j实现网站地图生成
  3. 3 Spring Boot集成oauth2快速入门demo
  4. 4 Spring Boot集成Spring AI实现快速接入openAI
  5. 5 Spring Boot集成Spring Session快速入门Demo
  6. 6 Spring Boot集成RabbitMQ快速入门Demo
  7. 7 Spring Boot集成Quartz快速入门Demo
  8. 8 Spring Boot集成Mybatis Plus快速入门Demo
  9. 9 Spring Boot集成zipkin快速入门Demo
  10. 10 能用365块大洋去解决的事,千万不要用时间
网站信息
  • 文章总数:155,471 篇
  • 文件总数:468,751 个
  • 标签总数:2,271 个
  • 分类总数:90 个
  • 留言数量:2,542 条
  • 在线人数:613 人
  • 运行天数:4,199天
  • 最后更新:2024年04月26日18点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG