<rt id="4k4gm"></rt>
今天我們來聊聊Java防盜鏈,多說無用,直接上應(yīng)用案例。
這里所用的工具是報表軟件FineReport,搭配有決策系統(tǒng)(一個web前端展示系統(tǒng),主要用于權(quán)限控制),可以采用java防盜鏈的方式來實(shí)現(xiàn)頁面權(quán)限。
瀏覽器中直接輸入報表URL的時候,它的頭文件是空的,因此,可以在訪問的時候做兩個判斷:頭文件是否為空以及以什么頁面進(jìn)行跳轉(zhuǎn),如果不符合跳到錯誤頁面即可。
什么是Referer?
這里的 Referer 指的是HTTP頭部的一個字段,也稱為HTTP來源地址(HTTP Referer),用來表示從哪兒鏈接到目前的網(wǎng)頁,采用的格式是URL。換句話說,借著 HTTP Referer 頭部網(wǎng)頁可以檢查訪客從哪里而來,這也常被用來對付偽造的跨網(wǎng)站請求。
什么是空Referer,什么時候會出現(xiàn)空Referer?
首先,我們對空Referer的定義為,Referer 頭部的內(nèi)容為空,或者,一個HTTP請求中根本不包含Referer頭部。
那么什么時候HTTP請求會不包含Referer字段呢?根據(jù)Referer的定義,它的作用是指示一個請求是從哪里鏈接過來,那么當(dāng)一個請求并不是由鏈接觸發(fā)產(chǎn)生的,那么自然也就不需要指定這個請求的鏈接來源。
比如,直接在瀏覽器的地址欄中輸入一個資源的URL地址,那么這種請求是不會包含Referer字段的,因?yàn)檫@是一個“憑空產(chǎn)生”的HTTP請求,并不是從一個地方鏈接過去的。
在防盜鏈設(shè)置中,允許空Referer和不允許空Referer有什么區(qū)別?
在防盜鏈中,如果允許包含空的Referer,那么通過瀏覽器地址欄直接訪問該資源URL是可以訪問到的;
但如果不允許包含空的Referer,那么通過瀏覽器直接訪問也是被禁止的。
操作步驟
1、添加class文件
編寫一個類文件,用來判斷頭文件是否為空,代碼如下:
將Dodo.java編譯成class文件,并放在%TOMCAT_HOME%\WebReport\WEB-INF\classes\com\fr\test目錄下。
2、修改web.xml文件
打開%TOMCAT_HOME%\webapps\WebReport\WEB-INF下的web.xml文件,配置一個過濾filter,在出現(xiàn)ReportServer的時候執(zhí)行過濾,代碼如下:
兩步就可以搞定,如果屬于盜鏈,則跳轉(zhuǎn)至上述的LdapLogin錯誤頁面,這里沒有LdapLoign頁面,所以直接跳轉(zhuǎn)404。如果還想實(shí)現(xiàn)數(shù)據(jù)權(quán)限,則可以通過單點(diǎn)登錄或者session注入的方式。
效果測試
準(zhǔn)備兩個html文件
假設(shè)hello.html是正確的網(wǎng)址
假設(shè)steal.html是盜鏈的網(wǎng)址
情況一
通過hello.html跳轉(zhuǎn),跳轉(zhuǎn)鏈接正確,即referer不為空且正確
情況二
通過steal.html跳轉(zhuǎn),跳轉(zhuǎn)鏈接錯誤,即referer不為空且錯誤
情況三
直接訪問URL地址,即referer為空
posted on 2016-06-14 15:30 喝水居然長肉 閱讀(111) 評論(0) 編輯 收藏
Powered by: BlogJava Copyright © 喝水居然長肉