2. 程式人生 > >HttpClient超時機制(安全問題處理:訪問超大檔案控制)

HttpClient超時機制(安全問題處理:訪問超大檔案控制)

阿新 發佈:2019-01-05

背景

     最近一直在做專案,其中的一個功能點,主要是訪問外部網站並獲取頁面的字串,具體的網站url完全是由使用者輸入,所以存在一定的安全隱患。

    從測試來看,如果給定的一部電影的url地址,連結會一直不能被關閉,直到資料流被讀完,如果來個幾十次這樣的請求,應用估計也差不多崩潰了

說明:   專案中使用的HttpClient版本是3.0.1

測試

一般的HttpClient使用例子:

1.MultiThreadedHttpConnectionManager manager = new MultiThreadedHttpConnectionManager();  
2.        HttpClient client =
 
 new HttpClient(manager);  
3.        client.setConnectionTimeout(30000);  
4.        client.setTimeout(30000);  
5.  
6.        GetMethod get = new GetMethod("http://download.jboss.org/jbossas/7.0/jboss-7.0.0.Alpha1/jboss-7.0.0.Alpha1.zip");  
7.        try {  
8.            client.executeMethod(get);  //發起請求  
9.            String result =
 
 get.getResponseBodyAsString(); //獲取資料  
10.        } catch (Exception e) {  
11.        } finally {  
12.            get.releaseConnection(); //釋放連結  
13.        }

這裡我給出的一個url是近20MB的一個下載資源,很快發現執行緒要等個很久。 咋辦,得加個timeout超時機制。

1."main" prio=10 tid=0x0899e800 nid=0x4010 runnable [0xb7618000..0xb761a1c8]  
2.   java.lang.
 
Thread.State: RUNNABLE  
3.    at java.net.SocketInputStream.socketRead0(Native Method)  
4.    at java.net.SocketInputStream.read(SocketInputStream.java:129)  
5.    at java.io.BufferedInputStream.fill(BufferedInputStream.java:218)  
6.    at java.io.BufferedInputStream.read1(BufferedInputStream.java:258)  
7.    at java.io.BufferedInputStream.read(BufferedInputStream.java:317)  
8.    - locked <0xb23a4c30> (a java.io.BufferedInputStream)  
9.    at org.apache.commons.httpclient.ContentLengthInputStream.read(ContentLengthInputStream.java:156)  
10.    at org.apache.commons.httpclient.ContentLengthInputStream.read(ContentLengthInputStream.java:170)  
11.    at org.apache.commons.httpclient.ChunkedInputStream.exhaustInputStream(ChunkedInputStream.java:338)  
12.    at org.apache.commons.httpclient.ContentLengthInputStream.close(ContentLengthInputStream.java:104)  
13.    at java.io.FilterInputStream.close(FilterInputStream.java:155)  
14.    at org.apache.commons.httpclient.AutoCloseInputStream.notifyWatcher(AutoCloseInputStream.java:179)  
15.    at org.apache.commons.httpclient.AutoCloseInputStream.close(AutoCloseInputStream.java:143)  
16.    at org.apache.commons.httpclient.HttpMethodBase.releaseConnection(HttpMethodBase.java:1341)

分析

目前httpClient3.1只支援3種timeout的設定:

  1. connectionTimeout  :  socket建立連結的超時時間,Httpclient包中通過一個非同步執行緒去建立socket連結,對應的超時控制。
  2. timeoutInMilliseconds :  socket read資料的超時時間, socket.setSoTimeout(timeout);
  3. httpConnectionTimeout :  如果那個的是MultiThreadedHttpConnectionManager,對應的是從連線池獲取連結的超時時間。
分析一下問題,我們需要的是一個HttpClient整個連結讀取的一個超時時間,包括請求發起,Http Head解析,response流讀取的一系列時間的總和。 

目標很明確,對應的修正後的測試程式碼:

1.final MultiThreadedHttpConnectionManager manager = new MultiThreadedHttpConnectionManager();  
2.        final HttpClient client = new HttpClient(manager);  
3.        client.setConnectionTimeout(30000);  
4.        client.setTimeout(30000);  
5.        final GetMethod get = new GetMethod(  
6.                                            "http://download.jboss.org/jbossas/7.0/jboss-7.0.0.Alpha1/jboss-7.0.0.Alpha1.zip");  
7.  
8.        Thread t = new Thread(new Runnable() {  
9.  
10.            @Override  
11.            public void run() {  
12.                try {  
13.                    client.executeMethod(get);  
14.                    String result = get.getResponseBodyAsString();  
15.                } catch (Exception e) {  
16.                    // ignore  
17.                }  
18.            }  
19.        }, "Timeout guard");  
20.        t.setDaemon(true);  
21.        t.start();  
22.        try {  
23.            t.join(5000l);  //等待5s後結束  
24.        } catch (InterruptedException e) {  
25.            System.out.println("out finally start");  
26.            ((MultiThreadedHttpConnectionManager) client.getHttpConnectionManager()).shutdown();  
27.            System.out.println("out finally end");  
28.        }  
29.        if (t.isAlive()) {  
30.            System.out.println("out finally start");  
31.            ((MultiThreadedHttpConnectionManager) client.getHttpConnectionManager()).shutdown();  
32.            System.out.println("out finally end");  
33.            t.interrupt();  
34.            // throw new TimeoutException();  
35.        }  
36.        System.out.println("done");

這裡通過Thread.join方法,設定了超時時間為5000 ms,這是比較早的用法。 如果熟悉cocurrent包的,可以直接使用Future和ThreadPoolExecutor進行非同步處理,快取對應的Thread。 
1.ExecutorService service = Executors.newCachedThreadPool();  
2.        Future future = service.submit(new Callable<String>() {  
3.  
4.            @Override  
5.            public String call() throws Exception {  
6.  
7.                try {  
8.                    client.executeMethod(get);  
9.                    return get.getResponseBodyAsString();  
10.                } catch (Exception e) {  
11.                    e.printStackTrace();  
12.                } finally {  
13.                    System.out.println("future finally start");  
14.                    ((MultiThreadedHttpConnectionManager) client.getHttpConnectionManager()).shutdown();  
15.                    System.out.println("future finally end");  
16.                }  
17.  
18.                return "";  
19.            }  
20.  
21.        });  
22.  
23.        try {  
24.            future.get(5000, TimeUnit.MILLISECONDS);  
25.        } catch (Exception e) {  
26.            System.out.println("out finally");  
27.            e.printStackTrace();  
28.            ((MultiThreadedHttpConnectionManager) client.getHttpConnectionManager()).shutdown();  
29.            System.out.println("out finally end");  
30.        }  
31.  
32.        service.shutdown();

說明: 這裡為什麼釋放連結未採用get.releaseConnection()

看下release的實現: 

1.public void releaseConnection() {  
2.  
3.        if (responseStream != null) {  
4.            try {  
5.                // FYI - this may indirectly invoke responseBodyConsumed.  
6.                responseStream.close(); // 會先關閉流  
7.            } catch (IOException e) {  
8.                // the connection may not have been released, let's make sure  
9.                ensureConnectionRelease();  
10.            }  
11.        } else {  
12.            // Make sure the connection has been released. If the response   
13.            // stream has not been set, this is the only way to release the   
14.            // connection.   
15.            ensureConnectionRelease();  
16.        }  
17.    }

  1. 這裡會先關閉responseStream流,這就是問題點。
  2. 對應的responseStream是在方法:readResponseBody(HttpConnection conn)。一般的html頁面返回的是一個ContentLengthInputStream物件
  3. ContentLengthInputStream在呼叫close方法時會用ChunkedInputStream.exhaustInputStream讀完所有流資料
     
    1.public void close() throws IOException {  
2.        if (!closed) {  
3.            try {  
4.                ChunkedInputStream.exhaustInputStream(this);  
5.            } finally {  
6.                // close after above so that we don't throw an exception trying  
7.                // to read after closed!  
8.                closed = true;  
9.            }  
10.        }  
11.    }

     
  1. ChunkedInputStream.exhaustInputStream程式碼
     
    1.static void exhaustInputStream(InputStream inStream) throws IOException {  
2.        // read and discard the remainder of the message  
3.        byte buffer[] = new byte[1024];  
4.        while (inStream.read(buffer) >= 0) {  
5.            ;   
6.        }  
7.    }

     
 說明: 
  • 因為非sleep和park的方法,不會響應InterruptedException事件,所以普通future超時發起的Thread.interrpt()並沒有效果。
  • 預設的SimpleHttpConnectionManager不支援這樣的操作,所以選MultiThreadedHttpConnectionManager.shutdown()方法,強制關閉底層HttpConnection的sock的輸入輸出流。

總結

  1. 理解一下HttpClient這樣設計的理由: socket重用,keepAlive協議的支援等,保證上一次資料不會對新的請求有影響。
  2. Thread.interrpt()處理,只會在Thread處於sleep或者wait狀態才會被喚醒(api的描述)。而且該方法的呼叫並不自動產生InterruptedException異常,一般是需要自己判斷Thread.isInterrupted(),然後throw異常。 我們目前使用的一些jdk cocurrent類比如future.cancel也是類似處理。

相關推薦

HttpClient超時機制(安全問題處理:訪問超大檔案控制)

背景      最近一直在做專案,其中的一個功能點,主要是訪問外部網站並獲取頁面的字串,具體的網站url完全是由使用者輸入,所以存在一定的安全隱患。     從測試來看,如果給定的一部電影的url地址,連結會一直不能被關閉,直到資料流被讀完,如果來個幾十次這樣的請求,應用估計也差不多崩潰了 說明:

Android超時機制處理(很不錯)

.com ont 那種 inter 博客 驗證 type() items 搜索 由於手機端應用的響應,與當時的無線通信網絡狀況有很大的關聯。而通信網絡往往具有不穩定,延遲長的特點。所以,在我們的應用程序中,當我們請求網絡的時候,超時機制的應用就顯得特別重要。 超時機制

Nginx 超時事件的處理機制

本文基於Nginx 0.8.55原始碼,並基於epoll機制分析 對於nginx而言,事件機制的處理無非就是幾個部分: 網路IO事件的處理 檔案IO事件的處理 定時器事件的處理 (當然還有許多其他的不過我現在並不是很關心。。) 我在讀Nginx定時器事件相關的程式碼時看到了很

Nginx訪問PHP檔案的File not found錯誤處理,兩種情況

這個錯誤很常見,原有有下面兩種幾種 php-fpm找不到SCRIPT_FILENAME裡執行的php檔案 php-fpm不能訪問所執行的php,也就是許可權問題 第一種情況 更改配置檔案nginx.conf  fastcgi_param SCRIPT_F

zookeeper原始碼閱讀分析筆記--客戶端服務端通訊機制以及session超時、過期處理

    這兩天看了一下zookeeper的相關的原始碼,版本基於3.4.5,程式碼結構還是比較清晰的; 這裡重點分析一下zookeeper client和server端之間的通訊以及相關的異常處理機制。   1、客戶端   客戶端幾個主要的類為Zookeeper、Clie

Java訪問磁碟檔案機制

    我們知道,資料在磁碟中的唯一最小描述就是檔案,也就是說上層應用程式只能通過檔案來操作磁碟上的資料,檔案也是作業系統和磁碟驅動器互動的最小單元。值得注意的是,在Java中通常的File並不代表一個真實存在的檔案物件,當你指定一個路徑描述符時,他就會返回一個代表這個路

springboot,feign上傳超大檔案超時等問題解決方案

1.在yml中配置檔案上傳大小限制 spring.http.multipart.maxFileSize: 200Mb spring.http.multipart.maxRequestSize: 200Mb 2.controller中新增上傳檔案介面 @PostMapp

Python3中urllib詳細使用方法(header,代理,超時,認證,異常處理)

com creat exc 最簡 new cond nag bin read python3 抓取網頁資源的 N 種方法 1、最簡單 import urllib.requestresponse = urllib.request.urlopen(‘http://pyth

Linux登錄超時自動退出處理辦法

安全性 配置 out 自動 影響 unset 單位 etc 令行 出於安全方面的考慮,機器常要求配置一個登錄時間期限,當閑置超過這一期限就自動退出;但在某些場合我們需要時不時地就使用機器,如果每次都要重新ssh登錄那是非常麻煩的 方法一:讓當前會話一直處於工作狀態 因為

httpClient 超時時間設置(轉)

core nec 由於 containe 系統 cli inpu ons params 尊重博主原創,特貼博客鏈接。copy下來只怕以後鏈接失效或刪掉。 轉自:http://blog.csdn.net/hi_kevin/article/details/32316171 H

mysql超時機制

ble 作用 erro 超過 即使 過多 base variable 活動 mysql每次建立一個socket連接(connect)時,這個socket都會占用一定內存。即使你關閉(close)連接時,並不是真正的關閉,而是處於睡眠(sleep)狀態。 當你下次再進行連接時

chrome NET::ERR_CERT_AUTHORITY_INVALID提示網址不安全無法訪問

無 用chrome測試 1. 問題描述今天用Apache搭建好PC端服務器後,用Chrome測試,打開http://www.baidu.com/時出現了如下的錯誤: 2. 錯誤原因經試驗發現,對於firefox和IE不會出現上述問題。或者會出現安全警告,但是可以選擇信任而繼續訪問頁面。但是對於chro

多線程一共就倆問題:1.線程安全訪問共享數據) 2.線程通信(wait(),notify())

class 共享 問題 無法 not 安全 pos 三方 gpo 多線程一共就倆問題:1.線程安全(訪問共享數據) 2.線程通信(wait(),notify()) 1.線程安全,無非就是加鎖,訪問共享資源時,synchronized 2.線程通信,就是控制各個線程之間的

HTTPS安全證書訪問連接知識講解

httpsHTTPS安全證書訪問連接知識講解01:網絡安全涉及的問題: ①. 網絡安全問題-數據機密性問題 傳輸的數據可能會被第三方隨時都能看到 ②. 網絡安全問題-數據完整性問題 傳輸的數據不能隨意讓任何人進行修改 ③. 網絡安全問題-身份驗證問題 第一次通訊時,需要

HTTPS安全證書訪問連接實踐配置

rpm 不一致 優點 交換 crt 完成 corporate 安全證書 接收 01:網絡安全涉及的問題: ①. 網絡安全問題-數據機密性問題傳輸的數據可能會被第三方隨時都能看到 ②. 網絡安全問題-數據完整性問題傳輸的數據不能隨意讓任何人進行修改 ③. 網絡安全問題-身

HttpClient--使用HttpClient進行Get Post請求訪問

import net proto 數據格式 實現 行數據 finall response turn 在java後臺開發中,我們有時候需要調用其他網站的接口進行數據的獲取操作,我們一般會采用   1.java net 包中的URL 類,進行網絡的數據獲取   2.使用apac

Netty 超時機制及心跳程序實現

timeunit pip demo ade reads unpooled 一個 apt group 本文介紹了 Netty 超時機制的原理,以及如何在連接閑置時發送一個心跳來維持連接。 Netty 超時機制的介紹 Netty 的超時類型 IdleState 主要分為: AL

用戶登錄模塊進行必要的安全處理(MD5加密、加鹽和傳輸過程加密)

sele clas 抓包 index.jsp sql語句 new 不存在 別人 com 1、首先簡談一下常規Web登錄模塊的開發(只為了實現簡單的登錄功能,未對數據庫字段進行加密處理以及傳輸過程中進行加密處理)   非安全性登錄模塊開發   使用JSP+MYSQL  

Android群英傳知識點回顧——第六章:Android繪圖機制處理技巧

ride ets 常用 結合 管理 一個 sla 浮雕效果 調用 6.1 屏幕的尺寸信息 6.1.1 屏幕參數 6.1.2 系統屏幕密度 6.1.3 獨立像素密度dp 6.1.4 單位轉換 6.2 2D繪圖基礎 6.3 Android X

select實現斐波那契和超時機制

UNC package true sele for循環 break make con 選擇 package main import "fmt" func fib(ch chan <-int, quit <- chan bool){ x, y := 1,