今天我們來聊聊Java防盜鏈,多說無用,直接上應用案例。
這里所用的工具是報表軟件FineReport,搭配有決策系統(一個web前端展示系統,主要用于權限控制),可以采用java防盜鏈的方式來實現頁面權限。
瀏覽器中直接輸入報表URL的時候,它的頭文件是空的,因此,可以在訪問的時候做兩個判斷:頭文件是否為空以及以什么頁面進行跳轉,如果不符合跳到錯誤頁面即可。
什么是Referer?
這里的 Referer 指的是HTTP頭部的一個字段,也稱為HTTP來源地址(HTTP Referer),用來表示從哪兒鏈接到目前的網頁,采用的格式是URL。換句話說,借著 HTTP Referer 頭部網頁可以檢查訪客從哪里而來,這也常被用來對付偽造的跨網站請求。
什么是空Referer,什么時候會出現空Referer?
首先,我們對空Referer的定義為,Referer 頭部的內容為空,或者,一個HTTP請求中根本不包含Referer頭部。
那么什么時候HTTP請求會不包含Referer字段呢?根據Referer的定義,它的作用是指示一個請求是從哪里鏈接過來,那么當一個請求并不是由鏈接觸發產生的,那么自然也就不需要指定這個請求的鏈接來源。
比如,直接在瀏覽器的地址欄中輸入一個資源的URL地址,那么這種請求是不會包含Referer字段的,因為這是一個“憑空產生”的HTTP請求,并不是從一個地方鏈接過去的。
在防盜鏈設置中,允許空Referer和不允許空Referer有什么區別?
在防盜鏈中,如果允許包含空的Referer,那么通過瀏覽器地址欄直接訪問該資源URL是可以訪問到的;
但如果不允許包含空的Referer,那么通過瀏覽器直接訪問也是被禁止的。
操作步驟
1、添加class文件
編寫一個類文件,用來判斷頭文件是否為空,代碼如下:
將Dodo.java編譯成class文件,并放在%TOMCAT_HOME%\WebReport\WEB-INF\classes\com\fr\test目錄下。
2、修改web.xml文件
打開%TOMCAT_HOME%\webapps\WebReport\WEB-INF下的web.xml文件,配置一個過濾filter,在出現ReportServer的時候執行過濾,代碼如下:
兩步就可以搞定,如果屬于盜鏈,則跳轉至上述的LdapLogin錯誤頁面,這里沒有LdapLoign頁面,所以直接跳轉404。如果還想實現數據權限,則可以通過單點登錄或者session注入的方式。
效果測試
準備兩個html文件
假設hello.html是正確的網址
假設steal.html是盜鏈的網址
情況一
通過hello.html跳轉,跳轉鏈接正確,即referer不為空且正確
情況二
通過steal.html跳轉,跳轉鏈接錯誤,即referer不為空且錯誤
情況三
直接訪問URL地址,即referer為空
posted on 2016-06-14 15:30 喝水居然長肉 閱讀(111) 評論(0) 編輯 收藏
Powered by: BlogJava Copyright © 喝水居然長肉