今天我們來(lái)聊聊Java防盜鏈,多說(shuō)無(wú)用,直接上應(yīng)用案例。
這里所用的工具是報(bào)表軟件FineReport,搭配有決策系統(tǒng)(一個(gè)web前端展示系統(tǒng),主要用于權(quán)限控制),可以采用java防盜鏈的方式來(lái)實(shí)現(xiàn)頁(yè)面權(quán)限。
瀏覽器中直接輸入報(bào)表URL的時(shí)候,它的頭文件是空的,因此,可以在訪問的時(shí)候做兩個(gè)判斷:頭文件是否為空以及以什么頁(yè)面進(jìn)行跳轉(zhuǎn),如果不符合跳到錯(cuò)誤頁(yè)面即可。
什么是Referer?
這里的 Referer 指的是HTTP頭部的一個(gè)字段,也稱為HTTP來(lái)源地址(HTTP Referer),用來(lái)表示從哪兒鏈接到目前的網(wǎng)頁(yè),采用的格式是URL。換句話說(shuō),借著 HTTP Referer 頭部網(wǎng)頁(yè)可以檢查訪客從哪里而來(lái),這也常被用來(lái)對(duì)付偽造的跨網(wǎng)站請(qǐng)求。
什么是空Referer,什么時(shí)候會(huì)出現(xiàn)空Referer?
首先,我們對(duì)空Referer的定義為,Referer 頭部的內(nèi)容為空,或者,一個(gè)HTTP請(qǐng)求中根本不包含Referer頭部。
那么什么時(shí)候HTTP請(qǐng)求會(huì)不包含Referer字段呢?根據(jù)Referer的定義,它的作用是指示一個(gè)請(qǐng)求是從哪里鏈接過來(lái),那么當(dāng)一個(gè)請(qǐng)求并不是由鏈接觸發(fā)產(chǎn)生的,那么自然也就不需要指定這個(gè)請(qǐng)求的鏈接來(lái)源。
比如,直接在瀏覽器的地址欄中輸入一個(gè)資源的URL地址,那么這種請(qǐng)求是不會(huì)包含Referer字段的,因?yàn)檫@是一個(gè)“憑空產(chǎn)生”的HTTP請(qǐng)求,并不是從一個(gè)地方鏈接過去的。
在防盜鏈設(shè)置中,允許空Referer和不允許空Referer有什么區(qū)別?
在防盜鏈中,如果允許包含空的Referer,那么通過瀏覽器地址欄直接訪問該資源URL是可以訪問到的;
但如果不允許包含空的Referer,那么通過瀏覽器直接訪問也是被禁止的。
操作步驟
1、添加class文件
編寫一個(gè)類文件,用來(lái)判斷頭文件是否為空,代碼如下:
將Dodo.java編譯成class文件,并放在%TOMCAT_HOME%\WebReport\WEB-INF\classes\com\fr\test目錄下。
2、修改web.xml文件
打開%TOMCAT_HOME%\webapps\WebReport\WEB-INF下的web.xml文件,配置一個(gè)過濾filter,在出現(xiàn)ReportServer的時(shí)候執(zhí)行過濾,代碼如下:
兩步就可以搞定,如果屬于盜鏈,則跳轉(zhuǎn)至上述的LdapLogin錯(cuò)誤頁(yè)面,這里沒有LdapLoign頁(yè)面,所以直接跳轉(zhuǎn)404。如果還想實(shí)現(xiàn)數(shù)據(jù)權(quán)限,則可以通過單點(diǎn)登錄或者session注入的方式。
效果測(cè)試
準(zhǔn)備兩個(gè)html文件
假設(shè)hello.html是正確的網(wǎng)址
假設(shè)steal.html是盜鏈的網(wǎng)址
情況一
通過hello.html跳轉(zhuǎn),跳轉(zhuǎn)鏈接正確,即referer不為空且正確
情況二
通過steal.html跳轉(zhuǎn),跳轉(zhuǎn)鏈接錯(cuò)誤,即referer不為空且錯(cuò)誤
情況三
直接訪問URL地址,即referer為空
posted on 2016-06-14 15:30 喝水居然長(zhǎng)肉 閱讀(115) 評(píng)論(0) 編輯 收藏
Powered by: BlogJava Copyright © 喝水居然長(zhǎng)肉