快捷導(dǎo)航

java防盜鏈在報(bào)表中的應(yīng)用實(shí)例(推薦)

更新時(shí)間：2016年09月13日 15:45:21 投稿：jingxian

下面小編就為大家?guī)?lái)一篇java防盜鏈在報(bào)表中的應(yīng)用實(shí)例(推薦)。小編覺(jué)得挺不錯(cuò)的，現(xiàn)在就分享給大家，也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧

今天我們來(lái)聊聊Java防盜鏈，多說(shuō)無(wú)用，直接上應(yīng)用案例。

這里所用的工具是報(bào)表軟件FineReport，搭配有決策系統(tǒng)（一個(gè)web前端展示系統(tǒng)，主要用于權(quán)限控制），可以采用java防盜鏈的方式來(lái)實(shí)現(xiàn)頁(yè)面權(quán)限。

瀏覽器中直接輸入報(bào)表URL的時(shí)候，它的頭文件是空的，因此，可以在訪問(wèn)的時(shí)候做兩個(gè)判斷：頭文件是否為空以及以什么頁(yè)面進(jìn)行跳轉(zhuǎn)，如果不符合跳到錯(cuò)誤頁(yè)面即可。

什么是Referer？

這里的 Referer 指的是HTTP頭部的一個(gè)字段，也稱為HTTP來(lái)源地址（HTTP Referer），用來(lái)表示從哪兒鏈接到目前的網(wǎng)頁(yè)，采用的格式是URL。換句話說(shuō)，借著 HTTP Referer 頭部網(wǎng)頁(yè)可以檢查訪客從哪里而來(lái)，這也常被用來(lái)對(duì)付偽造的跨網(wǎng)站請(qǐng)求。

什么是空Referer，什么時(shí)候會(huì)出現(xiàn)空Referer？

首先，我們對(duì)空Referer的定義為，Referer 頭部的內(nèi)容為空，或者，一個(gè)HTTP請(qǐng)求中根本不包含Referer頭部。

那么什么時(shí)候HTTP請(qǐng)求會(huì)不包含Referer字段呢？根據(jù)Referer的定義，它的作用是指示一個(gè)請(qǐng)求是從哪里鏈接過(guò)來(lái)，那么當(dāng)一個(gè)請(qǐng)求并不是由鏈接觸發(fā)產(chǎn)生的，那么自然也就不需要指定這個(gè)請(qǐng)求的鏈接來(lái)源。

比如，直接在瀏覽器的地址欄中輸入一個(gè)資源的URL地址，那么這種請(qǐng)求是不會(huì)包含Referer字段的，因?yàn)檫@是一個(gè)“憑空產(chǎn)生”的HTTP請(qǐng)求，并不是從一個(gè)地方鏈接過(guò)去的。

在防盜鏈設(shè)置中，允許空Referer和不允許空Referer有什么區(qū)別？

在防盜鏈中，如果允許包含空的Referer，那么通過(guò)瀏覽器地址欄直接訪問(wèn)該資源URL是可以訪問(wèn)到的；

但如果不允許包含空的Referer，那么通過(guò)瀏覽器直接訪問(wèn)也是被禁止的。

操作步驟

1、添加class文件

編寫(xiě)一個(gè)類文件，用來(lái)判斷頭文件是否為空，代碼如下：

package com.fr.test;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

public class Dodo implements Filter {
  public void destroy() {
    // TODO Auto-generated method stub

  }

  public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

  throws IOException, ServletException {
  HttpServletRequest req = (HttpServletRequest) request;
  HttpServletResponse resp = (HttpServletResponse) response;
  String referer = req.getHeader("referer");
  //下面的IP地址是正常頁(yè)面請(qǐng)求
  if(null != referer && (referer.trim().startsWith("http://localhost:8033")||referer.trim().startsWith("http://www.finereporthelp.com/test/hello.html"))){
     System.out.println("正常頁(yè)面請(qǐng)求"+referer);
     chain.doFilter(req, resp);
  //下面的就是出現(xiàn)不是正常頁(yè)面請(qǐng)求的時(shí)候跳轉(zhuǎn)
  }else{
     System.out.println("盜鏈"+referer);
     req.getRequestDispatcher("/LdapLogin.jsp").forward(req, resp);
  }
}
  public void init(FilterConfig arg0) throws ServletException {
    // TODO Auto-generated method stub

  }
}

將Dodo.java編譯成class文件，并放在%TOMCAT_HOME%\WebReport\WEB-INF\classes\com\fr\test目錄下。

2、修改web.xml文件

打開(kāi)%TOMCAT_HOME%\webapps\WebReport\WEB-INF下的web.xml文件，配置一個(gè)過(guò)濾filter，在出現(xiàn)ReportServer的時(shí)候執(zhí)行過(guò)濾，代碼如下：

<filter>
<filter-name>AuthFilter</filter-name>
<filter-class>com.fr.test.Dodo</filter-class></filter>
<filter-mapping>
<filter-name>AuthFilter</filter-name>
<url-pattern>/ReportServer</url-pattern>
</filter-mapping>

兩步就可以搞定，如果屬于盜鏈，則跳轉(zhuǎn)至上述的LdapLogin錯(cuò)誤頁(yè)面，這里沒(méi)有LdapLoign頁(yè)面，所以直接跳轉(zhuǎn)404。如果還想實(shí)現(xiàn)數(shù)據(jù)權(quán)限，則可以通過(guò)單點(diǎn)登錄或者session注入的方式。

效果測(cè)試

準(zhǔn)備兩個(gè)html文件

假設(shè)hello.html是正確的網(wǎng)址

<html>
<body>
<p>測(cè)試</p>

<a href="http://localhost:8033/WebReport/ReportServer?reportlet=demo%2Fnewchart%2Fothers%2FLogarithmic_axis.cpt&op=write">防盜鏈測(cè)試</a>
</body>
<html>

假設(shè)steal.html是盜鏈的網(wǎng)址

<html>
<body>
<p>測(cè)試，錯(cuò)誤的鏈接地址</p>

<a href="http://localhost:8033/WebReport/ReportServer?reportlet=demo%2Fnewchart%2Fothers%2FLogarithmic_axis.cpt&op=write">防盜鏈測(cè)試</a>
</body>
</html>

情況一

通過(guò)hello.html跳轉(zhuǎn)，跳轉(zhuǎn)鏈接正確，即referer不為空且正確