限制Spring Framework 3.1中的URL篡改

时间:2012-05-04 13:34:01

标签: spring spring-mvc spring-security

我正在使用Spring Framework 3.1构建应用程序

我的控制器映射了url,其中包含代表某些id的路径变量。 但我不希望用户篡改url并手动更改路径变量值。 我想限制他们这样做。

我已经尝试过使用ShallowEtagHeaderFilter。但它没有像它想象的那样工作。 我不知道我是否错过了过滤器的任何配置,或者它根本不工作。

这是我的web.xml,我在其中配置了调度程序servlet和过滤器。

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/applicationContext.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <servlet>
        <servlet-name>dispatcher</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>

    <filter>
        <filter-name>encodingFilter</filter-name>
        <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
        <init-param>
            <param-name>encoding</param-name>
            <param-value>UTF-8</param-value>
        </init-param>
        <init-param>
            <param-name>forceEncoding</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>

    <filter>
        <filter-name>eTagFilter</filter-name>
        <filter-class>com.abc.config.EtagFilter</filter-class>
    </filter>


    <servlet-mapping>
        <servlet-name>dispatcher</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>

    <filter-mapping>
        <filter-name>encodingFilter</filter-name>
        <url-pattern>/</url-pattern>
    </filter-mapping>

    <filter-mapping>
        <filter-name>eTagFilter</filter-name>
        <servlet-name>dispatcher</servlet-name>
    </filter-mapping>

    <session-config>
        <session-timeout>
            30
        </session-timeout>
    </session-config>

</web-app>

请帮助我。

提前致谢。

1 个答案:

答案 0 :(得分:1)

我不明白ShallowEtagHeaderFilter如何适应这张图片,我想你误解了它的功能。它应该通过从浏览器缓存中获取页面来减少网络流量。这与你的完全不同。

基本上:如果您不希望用户篡改URL,您需要有办法验证该URL是否是由您的应用程序创建的,通常是某种校验和参数,其算法为&#39不容易猜到。

e.g。 /site/12/user/12345/aB aB根据/site/12/user/12345计算/site/13/user/12345/aB。现在,如果用户将URL更改为{{1}},则校验和错误,您可以发送404或400或任何您想要发送的错误。

我可能会将校验和检查作为过滤器实现,并编写一个实用程序方法,该方法使用基于普通URL的校验和创建URL(可能您也需要JSP标记)

相关问题
最新问题