我正在使用 Spring Framework 3.1 构建一个应用程序
我正在使用包含代表某个 id 的路径变量的 url 映射我的控制器。但我不希望用户篡改 url 并手动更改路径变量值。我想限制他们这样做。
我已经尝试使用ShallowEtagHeaderFilter。但它并没有按照它想象的方式工作。我不知道我是否错过了过滤器的任何配置,或者它根本不起作用。
这是我的网站.xml我在其中配置了调度程序 servlet 和过滤器。
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>/WEB-INF/applicationContext.xml</param-value>
</context-param>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<servlet>
<servlet-name>dispatcher</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<load-on-startup>1</load-on-startup>
</servlet>
<filter>
<filter-name>encodingFilter</filter-name>
<filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
<init-param>
<param-name>encoding</param-name>
<param-value>UTF-8</param-value>
</init-param>
<init-param>
<param-name>forceEncoding</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter>
<filter-name>eTagFilter</filter-name>
<filter-class>com.abc.config.EtagFilter</filter-class>
</filter>
<servlet-mapping>
<servlet-name>dispatcher</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>
<filter-mapping>
<filter-name>encodingFilter</filter-name>
<url-pattern>/</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>eTagFilter</filter-name>
<servlet-name>dispatcher</servlet-name>
</filter-mapping>
<session-config>
<session-timeout>
30
</session-timeout>
</session-config>
</web-app>
请帮我解决这个问题。
提前谢谢。
我不明白ShallowEtagHeaderFilter如何适应这张图片,我想你误解了它的功能。它应该通过从浏览器缓存中获取页面来减少网络流量。这与你的情况完全不同。
基本上:如果你不希望用户篡改URL,你需要有一种方法来验证URL是由你的应用程序创建的,通常是某种校验和参数,算法不容易猜到。
例如 /site/12/user/12345/aB
,其中aB
是根据/site/12/user/12345
计算的。现在,如果用户将 URL 更改为/site/13/user/12345/aB
校验和是错误的,您可以发送 404 或 400 或任何您想要发送的错误。
我可能会将校验和检查实现为过滤器,并编写一个实用程序方法,该方法基于纯 URL 创建具有校验和的 URL(可能您还需要一个 JSP 标记)