前言
在实际的web项目中,有些配置项会放在xml文件里面,对于xml文件,我们其实并不希望访问者进行访问,毕竟xml文件里面可能配置了一些较为敏感的信息,比如内网IP、用户名及密码等。
对此,希望能够限制访问者直接在地址栏键入链接地址访问到xml文件。
方法
1、 判断请求方式(POST、GET)
在web项目内读取xml文件一般进行的是POST请求,而通过地址栏键入地址访问则为GET请求,依次来区分。
public void doFilter(ServletRequest request,ServletResponse response,FilterChain chain) throws IOException,ServletException {
HttpServletRequest httpreq = (HttpServletRequest) request;
String method = httpreq.getMethod();
if("GET".equals(method)) {
httpres.sendRedirect(httpreq.getContextPath() + "/error.html");
return;
}
chain.doFilter(request,response);
}
当然,在web.xml里面也要相应的配置filter:
<filter>
<filter-name>authVisitPage</filter-name>
<filter-class>web.AuthVisitFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>authVisitPage</filter-name>
<url-pattern>*.xml</url-pattern>
</filter-mapping>
2、 利用document.referrer属性
referrer是与对网页的请求有关的document对象中的属性。referrer属性中保存着链接到当前页面的那个页面的URL,在没有来源页面的情况下,referrer属性中可能会包含空字符串。
该属性不可设置。
public void doFilter(ServletRequest request,ServletException {
HttpServletRequest httpreq = (HttpServletRequest) request;
String referer = httpreq.getHeader("Referer");
if(referer == null) {
httpres.sendRedirect(httpreq.getContextPath() + "/error.html");
return;
}
chain.doFilter(request,response);
}
这里只是判断referer是否为空,但忽略了一种情况:
假设已知xml的路径(如:http://域名/configs/*.xml),我们可以在本地新建一个web工程,里面增加一个跳转
<a href="http://域名/configs/*.xml">跳转</a>
如果还是用之前的过滤器,只是判断referer是否为空的话,是不能够过滤掉这种跳转过来的访问请求。对此,过滤器需要增加判断:禁止非内部访问
public void doFilter(ServletRequest request,ServletException {
HttpServletRequest httpreq = (HttpServletRequest) request;
String referer = httpreq.getHeader("Referer");
String host = httpreq.getHeader("Host");
if(referer == null || referer.indexOf(host) < 0) {
httpres.sendRedirect(httpreq.getContextPath() + "/error.html");
return;
}
chain.doFilter(request,response);
}
