在 Spring Framework 3.1 中限制 URL 篡改

我正在使用 Spring Framework 3.1 构建一个应用程序

我正在使用包含代表某个 id 的路径变量的 url 映射我的控制器。但我不希望用户篡改 url 并手动更改路径变量值。我想限制他们这样做。

我已经尝试使用ShallowEtagHeaderFilter。但它并没有按照它想象的方式工作。我不知道我是否错过了过滤器的任何配置，或者它根本不起作用。

这是我的网站.xml我在其中配置了调度程序 servlet 和过滤器。

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/applicationContext.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <servlet>
        <servlet-name>dispatcher</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <filter>
        <filter-name>encodingFilter</filter-name>
        <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
        <init-param>
            <param-name>encoding</param-name>
            <param-value>UTF-8</param-value>
        </init-param>
        <init-param>
            <param-name>forceEncoding</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter>
        <filter-name>eTagFilter</filter-name>
        <filter-class>com.abc.config.EtagFilter</filter-class>
    </filter>

    <servlet-mapping>
        <servlet-name>dispatcher</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>
    <filter-mapping>
        <filter-name>encodingFilter</filter-name>
        <url-pattern>/</url-pattern>
    </filter-mapping>
    <filter-mapping>
        <filter-name>eTagFilter</filter-name>
        <servlet-name>dispatcher</servlet-name>
    </filter-mapping>
    <session-config>
        <session-timeout>
            30
        </session-timeout>
    </session-config>
</web-app>

请帮我解决这个问题。

提前谢谢。

我不明白ShallowEtagHeaderFilter如何适应这张图片，我想你误解了它的功能。它应该通过从浏览器缓存中获取页面来减少网络流量。这与你的情况完全不同。

基本上：如果你不希望用户篡改URL，你需要有一种方法来验证URL是由你的应用程序创建的，通常是某种校验和参数，算法不容易猜到。

例如 /site/12/user/12345/aB，其中aB是根据/site/12/user/12345计算的。现在，如果用户将 URL 更改为/site/13/user/12345/aB校验和是错误的，您可以发送 404 或 400 或任何您想要发送的错误。

我可能会将校验和检查实现为过滤器，并编写一个实用程序方法，该方法基于纯 URL 创建具有校验和的 URL（可能您还需要一个 JSP 标记）

相关内容

最新更新

热门标签：