本周密报卡遇到个问题,有人仅通过输入1位密报卡坐标和对应key,就可以解绑密报卡。
通过调查,我发现有用户通过ie查看源代码后,自己拼写链接地址,传递参数,将本来随机生成的3个坐标的值都设成了同一值,成功解绑。
考虑了一下,写了段程序,阻止用户通过URL方式访问处理程序(针对jsp和servlet)。
//forbid url attack start
//url's parameters
String strURL = request.getQueryString();
boolean flagURL = true;
//一般咱们的画面都是通过post方式提交的,因此request.getQueryString();的值应该为null, 用户拼链接是get方式提交,参数会被付在url中
if (strURL != null) flagURL = false;
//original jsp's url
strURL = request.getHeader("Referer");
if (strURL == null) {
flagURL = false;
} else {
String temp[] = strURL.split(".jsp");
strURL = temp[0];
String strAimURL = request.getRequestURL().toString();
temp = strAimURL.split(".jsp");
strAimURL = temp[0];
int index = strAimURL.lastIndexOf("/");
strAimURL = strAimURL.substring(0, index) + "/ClientRegister";
//判断两个源画面地址是否相同,我这个画面的原画面是ClientRegister.jsp,因此我判断访问我当前这个画面的原画面是否是ClientRegister.jsp
//之所以加上这个判断,是因为我担心有的捣乱者会在本地运行tomcat等服务器,写一个简单的jsp,通过post方式访问咱们的处理画面
if (strURL.equals(strAimURL) == false) flagURL = false;
}
if (flagURL == false) {
response.sendRedirect("ClientRegister.jsp?err=105");
return;
}
//forbid url attack end
分享到:
相关推荐
标题“Java禁止直接URL访问图片”涉及到的是网络资源保护和权限控制的问题,主要知识点包括: 1. **HTTP请求与响应**: 当用户通过浏览器或其他客户端工具输入一个URL来访问图片时,实际上是发送了一个HTTP GET...
在IT行业中,URL重写和用户访问控制是两个重要的概念,尤其在Web应用程序开发中扮演着关键角色。这里,我们将详细探讨这两个主题,并结合JSP(JavaServer Pages)技术进行阐述。 首先,让我们来理解URL重写。URL...
"URL rule谷歌浏览器插件"是一款专为谷歌浏览器(Google Chrome)设计的扩展程序,它旨在帮助用户自定义和管理浏览器的URL访问规则。这款插件的核心功能是提供了一种方式,让用户能够根据预设的规则来重定向、拦截...
通过对URL的过滤,可以阻止恶意软件、phishing和其他非法活动的入侵,保护用户的网络安全。 1.1.1 URL过滤原理 URL过滤的原理是基于对URL的分析和识别,通过对URL的特征进行匹配,以确定该URL是否属于恶意网站或...
通过对URL进行解析、验证路径和参数、安全编码以及限制访问等方式,可以有效提高Web应用的安全性。需要注意的是,这只是一个基本示例,实际应用中还需要结合更多的安全措施和技术来保障系统的全面防护。开发者应该...
5. 如果用户没有权限访问某个资源,我们可以抛出AccessDeniedException异常,以便阻止用户访问该资源。 代码实现 以下是一个简单的示例代码,演示如何实现自定义的accessDecisionManager: ```java package org....
在JSP开发的数据库应用程序中,由于页面的无记忆性和独立性,非法用户可能通过直接输入URL的方式绕过登录检查,从而访问和数据处理相关的页面,这直接威胁到了数据库的安全性。为了应对这一挑战,文章提出采用访问...
- **缺点**:不能完全阻止越权访问,因为即使ID无规则化,恶意用户仍然可以通过其他途径获取合法用户的随机字符串ID。 #### 三、高级防御:累成狗查询权限法 **定义与原理** 相对于初级防御,累成狗查询权限法...
在安全或者权限控制的场景中,可能需要对某些特定的URL进行特殊处理,例如允许所有用户访问,即使他们没有登录。这就需要对URL进行放行,即跳过拦截器链的执行,直接处理请求。Struts2提供了一种机制,可以通过配置...
Laravel监视 Laravel Surveillance是一个软件包,用于监视恶意用户,IP地址和匿名浏览器指纹,编写监视日志并阻止恶意用户访问该应用程序。 请在使用此软件包之前阅读下面的重要信息该软件包收集和处理可能是个人...
在Web开发中,为了保护网站的安全性和提供更合理的访问流程,有时候我们需要限制用户直接通过输入URL的方式访问某些页面。这种限制可以通过检测用户的访问来源来实现,确保用户是从特定的页面跳转而来,而非直接输入...
4. **决策逻辑**:如果用户具有访问权限,过滤器允许请求继续,否则,它将阻止请求并返回错误页面或提示。 5. **日志记录**:为了追踪和调试,过滤器可能会记录用户的尝试访问行为,包括成功和失败的请求。 6. **...
它是基于Java的开源项目,通过使用自定义规则来转换和管理Web应用程序的URL,以实现更友好的、SEO优化的URL结构。在本篇文章中,我们将深入探讨UrlRewrite的核心功能、配置原理以及如何在实际开发中应用。 Url...
在IT领域,保护系统的安全是至关重要的,尤其是防止未授权用户直接访问系统后台页面,这不仅关乎数据安全,还涉及到业务流程的规范性。本文将详细介绍如何通过JavaScript(JS)和C#两种语言来实现这一目标,从而为...
在这种攻击中,攻击者可以利用URL、表单输入或其他方式注入恶意脚本,然后通过诱使其他用户访问被篡改的链接来触发攻击。 在本文提到的实例中,测试者发现了一个奇葩的XSS情况。起初,当尝试输入双引号时,系统对双...
URL过滤策略定义了针对不同URL分类的访问规则,如允许、警告或阻止。策略可以基于时间、用户组、IP地址等条件进行精细化设定。 1.3.3 在DPI应用profile中应用URL过滤策略 深度包检测(DPI)应用profile是实现URL...
1. **提升工作效率**:在工作中,如果经常需要访问同一组网站,用户可以设置快捷方式,通过一个简单的URL或热键就能快速打开一组工作相关的网页。 2. **隐私保护**:通过URL Action Editor,用户可以设置规则,使...
1. **规则引擎**:IIS URL重写模块的核心是其规则引擎,它允许管理员通过编写规则来控制URL重定向、重写或者阻止某些请求。这些规则基于正则表达式,非常灵活且强大。 2. **易用性**:该工具提供直观的用户界面,...
"URL Action Editor"允许用户自定义浏览器的行为,当遇到特定的URL时,可以指定浏览器执行特定的动作,例如打开特定的程序、保存文件、复制到剪贴板,甚至阻止某些链接的访问,这在网页脚本开发、网络测试和安全防护...
// 这里可以处理SSL错误,通常情况下,应提示用户并阻止加载 // 但在某些场景下,你可能选择忽略这些错误,比如测试环境 handler.proceed(); // 忽略错误并继续加载 } }); ``` 请注意,忽略SSL错误可能导致安全...