2. 程式人生 > >避免使用查詢引數在瀏覽器位址列暴露敏感資訊

避免使用查詢引數在瀏覽器位址列暴露敏感資訊

阿新 發佈:2018-12-28

通常在登入系統時會傳遞使用者名稱、密碼到伺服器,伺服器接收到資料驗證通過後,再重定向到主頁面。比如下面的返回引數就重定向到index對映的方法:

return "redirect:/index.action?loginId="
               + URLEncoder.encode(loginId, "utf-8")+"&userName="+URLEncoder.encode(userName, "utf-8");

因為是重定向方法,所以在index對映的方法中需要新增引數接收使用者資訊,不能通過ModelMap獲取,因為不是同一個請求,ModelMap會被清空,無法獲取資料。然後在重定向方法中返回檢視名稱,這樣瀏覽器顯示的路徑就類似http://localhost:8080/test/index.action?loginId=xxx&userName=xxx,這樣就會把使用者Id和使用者暱稱暴露出來。

因此我們需要一種方法將這些資訊隱藏,然後在重新整理瀏覽器時,後臺仍然可以獲取到這些資訊。

這個方法就是通過org.springframework.web.servlet.mvc.support.RedirectAttributes介面傳遞引數,這樣查詢引數也不會在瀏覽器位址列暴露,並且在重定向時可以將資料傳遞到ModelMap中。只不過不需要我們自行管理session中的資料量,比較方便。實現方式就是,在重定向之前將上一個請求的ModelMap中的資料儲存到RedirectAttributes中,然後通過session傳遞到下一個請求,然後RedirectAttributes中的資料會傳遞到下一個請求的ModelMap中。

redirectAttributes.addFlashAttribute("loginId",URLEncoder.encode(loginId, "utf-8"));
redirectAttributes.addFlashAttribute("userName",URLEncoder.encode(userName, "utf-8"));
return "redirect:/index.action";

這樣瀏覽器位址列顯示的就是http://localhost:8080/test/index.action,我們重新整理瀏覽器請求index.action對映的方法時,因為不能像之前一樣通過查詢引數傳遞請求引數,而且Model這時就會清空,但session中還是可以獲取到之前的資料,因此不影響重新整理頁面。Spring MVC包版本必須是3.1及以上才行:

http://www.springframework.org/schema/mvc  
http://www.springframework.org/schema/mvc/spring-mvc-4.0.xsd

需要注意的是使用RedirectAttributes需要在spring配置中增加一個配置:

<!-- 啟用springmvc -->
<mvc:annotation-driven />

否則會報下面的錯誤:

java.lang.IllegalStateException: Argument [RedirectAttributes] is of type Model or Map but is not assignable from the actual model. You may need to switch newer MVC infrastructure classes to use this argument.
	at org.springframework.web.bind.annotation.support.HandlerMethodInvoker.resolveHandlerArguments(HandlerMethodInvoker.java:330)
	at org.springframework.web.bind.annotation.support.HandlerMethodInvoker.invokeHandlerMethod(HandlerMethodInvoker.java:176)
	at org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter.invokeHandlerMethod(AnnotationMethodHandlerAdapter.java:440)
	at org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter.handle(AnnotationMethodHandlerAdapter.java:428)
	at org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:967)
	at org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:901)
	at org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:970)
	at org.springframework.web.servlet.FrameworkServlet.doPost(FrameworkServlet.java:872)
	at javax.servlet.http.HttpServlet.service(HttpServlet.java:648)
	at org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:846)
	at javax.servlet.http.HttpServlet.service(HttpServlet.java:729)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:292)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:207)
	at org.apache.tomcat.websocket.server.WsFilter.doFilter(WsFilter.java:52)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:240)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:207)
	at com.jshx.fileManager.filter.FileFileter.doFilter(FileFileter.java:40)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:240)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:207)
	at org.springframework.orm.hibernate4.support.OpenSessionInViewFilter.doFilterInternal(OpenSessionInViewFilter.java:151)
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:240)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:207)
	at org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:197)
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:240)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:207)
	at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:212)
	at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:106)
	at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:502)
	at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:141)
	at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:79)
	at org.apache.catalina.valves.AbstractAccessLogValve.invoke(AbstractAccessLogValve.java:616)
	at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:88)
	at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:509)
	at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1104)
	at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:684)
	at org.apache.tomcat.util.net.AprEndpoint$SocketProcessor.doRun(AprEndpoint.java:2508)
	at org.apache.tomcat.util.net.AprEndpoint$SocketProcessor.run(AprEndpoint.java:2497)
	at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
	at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
	at java.lang.Thread.run(Thread.java:744)

參考書籍:《Spring 實戰(第4版)》

相關推薦

避免使用查詢引數瀏覽器暴露敏感資訊

通常在登入系統時會傳遞使用者名稱、密碼到伺服器,伺服器接收到資料驗證通過後,再重定向到主頁面。比如下面的返回引數就重定向到index對映的方法: return "redirect:/index.action?loginId=" + URLEncoder.enco

ie瀏覽器中文引數提交伺服器亂碼分析

今天我遇到了一個奇怪的問題。之前我通過360瀏覽器位址列輸入中文引數提交到伺服器,伺服器解析正常。如下所示: 但是在偶然的情況下,我直接啟動了myeclipse自帶的瀏覽器,結果就發現了問題: 所以我就拿到了ie瀏覽器下測試,結果是同樣的:

js獲取瀏覽器引數

方法一:採用正則表示式獲取位址列引數: functionGetQueryString(name) { varreg = newRegExp("(^|&)"+ name +"=([^&]*)(&|$)"); varr = win

瀏覽器輸入url到顯示頁面的步驟

輸入URL到HTTP請求返回的過程 Redirect跳轉 url 回車 Redirect,當存在 301 請求返回過,瀏覽器記錄過,這類請求開始就要 Redirect。 App cahce應用

當你在瀏覽器輸入一個URL後回車,將會發生的事情?

                這道題目沒有所謂的完全的正確答案,這個題目可以讓你在任意的一個點深入下去, 只要你對這個點是熟悉的。以下是一個大概流程:瀏覽器向DNS伺服器查詢輸入URL對應的IP地址。DNS伺服器返回網站的IP地址。瀏覽器根據IP地址與目標web伺服器在80埠上建立TCP連線瀏覽器獲取請求頁

JS獲取瀏覽器的多個引數值的任意值例項程式碼

下面通過一段程式碼給大家介紹js獲取瀏覽器位址列的多個引數值的任意值,具體程式碼如下所示: getParamValue("id"); //http://localhost:2426/TransactionNotes.aspx?id=100 //返回值是100;

JavaScript可以在瀏覽器直接執行~

因為最近在學習 JavaScript,發現除了在HTML裡嵌入js程式碼實現特效之外,在瀏覽器的位址列裡輸入js程式碼也可以得到意想不到的效果,對於不懂js的朋友們照樣適用,只要你把這裡的js程式碼粘到你的IE或firefox的位址列裡再按回車,一切就OK了!下面,fol

瀏覽器執行HTML程式碼(谷歌)

在位址列輸入data:text/html,<h1 style='color:red' >Hello, world!</h1> 瀏覽器會執行你的html程式碼,效果如下: 如果

瀏覽器輸入一個URL後回車,執行的全部過程

作為一個軟體開發者,你一定會對網路應用如何工作有一個完整的層次化的認知,同樣這裡也包括這些應用所用到的技術:像瀏覽器,HTTP,HTML,網路伺服器,需求處理等等。 本文將更深入的研究當你輸入一個網址的時候,後臺到底發生了一件件什麼樣的事~ 1. 首先嘛,你得在瀏覽器裡輸入要網址: &amp;lt;

如何在瀏覽器前新增自定義的小圖示?

如何在瀏覽器位址列前新增自定義的小圖示?    你是不是記得有時在瀏覽網易網站的首頁時,在地址WWW.163.COM前會顯示一個“易”字樣的小圖示。而預設情況下,這個圖示是一個IE瀏覽器的指定圖片。    其實這也不是什麼高深技術,只不過在網站目錄下添加了一個特定檔案而已。

瀏覽器javascript

0. 前言 所謂IE位址列表示式,就是在IE的位址列中輸入 javascript:<程式碼>,執行某些功能,來動態改變原有頁面的引數以達到某些目的,例如開放被禁止的按鈕、顯示原本隱藏的圖片等等。本文將就IE位址列的使用方法做一個詳細的說明。 1. 表示式的書寫方法 在IE的位址列中輸入 java

瀏覽器輸入url到顯示頁面的步驟(以HTTP為例)

1、在瀏覽器位址列輸入URL 2、瀏覽器檢視快取,如果請求資源在快取中並且新鮮,跳轉到轉碼步驟  ①如果資源未快取,發起新請求  ②如果已快取,檢驗是否足夠新鮮,足夠新鮮直接提供給客戶端,否則與伺服器進行驗證。  ③檢驗新鮮通常有

瀏覽器主機IP混淆寫法

有一些很奇怪的主機地址寫法,可以讓其完全混淆,雖然RFC要求規範的IP地址,但是應用程式往往不那麼聽話,將原本的IP地址做進制變換和組合,其實瀏覽器都可以接受。 比如以下幾種地址完全等價: http://127.0.0.1/ http://0x7f.0x

瀏覽器輸入一個URL後回車,背後會進行哪些技術步驟?

IP路由選擇是逐跳(hop-to-hop)進行的。IP並不知道從H1到H2的完整路徑。所有的IP選擇只為資料報提供下一站的IP地址。路由選擇機制的基礎是在每一臺主機和路由器裡都儲存著一張路由表。路由表的每一項包含了目的主機IP地址、下一跳路由器(或主機)的IP地址、相對應的網路介面以及其他必要的資訊。當一個數

JavaScript:用JS函式隱藏瀏覽器 .

1、直接函式呼叫法: 在Body標籤之前插入如下程式碼 <script LANGUAGE=”JavaScript”> <!– function openwin(url) { window.open (url, “newwindow”, “height=300, width=400,

百度2015面試:在瀏覽器輸入URL,按下回車後究竟發生了什麼?

作為一個軟體開發者,你一定會對網路應用如何工作有一個完整的層次化的認知,同樣這裡也包括這些應用所用到的技術:像瀏覽器,HTTP,HTML,網路伺服器,需求處理等等。本文將更深入的研究當你輸入一個網址的時候,後臺到底發生了一件件什麼樣的事~1. 首先嘛,你得在瀏覽器裡輸入要網址

瀏覽器裡輸入一個URL開始,到出現整個頁面,網路上都發生了什麼事?

最近談到這個問題,覺得自己不能夠清楚的講明白這個過程的一些細節,所以差了些資料,覺得如下的解答還是比較詳細的,後期還會慢慢完善這個過程中不足的地方。回車前: 1. 如果用某些輸循入法輸入, 它會按標準結果、快取匹配、傳送到去端匹配, 給你幾個聯想結果。  你對結果的修改會反

Java解決在瀏覽器中輸入url訪問action的問題以及攔截方法過濾的簡易實現

對於Struts2、Spring3、Hibernate3整合使用的專案來說,對使用者請求的控制是非常重要的,有些操作需要使用者登入後才能執行。如果不做任何限制,則action可以直接在瀏覽器中輸入action地址來執行相應的action.本文主要解決的就是 ①瀏覽器位址列

Tomcat釋出專案時,瀏覽器圖示的問題

最近在做一個java網路應用程式,伺服器是tomcat。在預設情況下,當用戶訪問該網路應用時,位址列圖示顯示為tomcat貓。我希望把它換成自己的圖示,於是研究了一下。在研究過程中,我發現網上的資料大都語焉不詳,於是把

Chrome瀏覽器訪問介面url,重複請求問題解決

今天在Chrome瀏覽器除錯介面時,發現不論重新整理還是位址列回車都會重複請求兩次介面,但是換Firefox瀏覽器就沒有這個問題,命令列curl也是正常的,後來發現是Chrome瀏覽器Jsonview外掛的原因導致的。 將圖片中紅色框內的勾去掉即可,如果選擇了該項,那麼瀏覽