1

我正在使用 Spring Framework 3.1 构建应用程序

我正在将我的控制器映射到包含代表某个 id 的路径变量的 url。但我不希望用户篡改 url 并手动更改路径变量值。我想限制他们这样做。

我已经尝试过使用 ShallowEtagHeaderFilter。但它没有按预期的方式工作。我不知道我是否错过了过滤器的任何配置,或者它根本不起作用。

这是我的 web.xml,我在其中配置了调度程序 servlet 和过滤器。

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/applicationContext.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <servlet>
        <servlet-name>dispatcher</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>

    <filter>
        <filter-name>encodingFilter</filter-name>
        <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
        <init-param>
            <param-name>encoding</param-name>
            <param-value>UTF-8</param-value>
        </init-param>
        <init-param>
            <param-name>forceEncoding</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>

    <filter>
        <filter-name>eTagFilter</filter-name>
        <filter-class>com.abc.config.EtagFilter</filter-class>
    </filter>


    <servlet-mapping>
        <servlet-name>dispatcher</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>

    <filter-mapping>
        <filter-name>encodingFilter</filter-name>
        <url-pattern>/</url-pattern>
    </filter-mapping>

    <filter-mapping>
        <filter-name>eTagFilter</filter-name>
        <servlet-name>dispatcher</servlet-name>
    </filter-mapping>

    <session-config>
        <session-timeout>
            30
        </session-timeout>
    </session-config>

</web-app>

请帮我解决一下这个。

提前致谢。

4

1 回答 1

1

我不明白 ShallowEtagHeaderFilter 如何适合这张图片,我想你误解了它的功能。它应该通过从浏览器缓存中获取页面来减少网络流量。这和你的情况完全不同。

基本上:如果您不希望用户篡改 URL,您将需要有一种方法来验证 URL 是由您的应用程序创建的,通常是某种校验和参数,其算法不易猜到。

例如,根据 计算/site/12/user/12345/aB哪里。现在,如果用户将 URL 更改为校验和错误,您可以发送 404 或 400 或您想要发送的任何错误。aB/site/12/user/12345/site/13/user/12345/aB

我可能会将校验和检查实现为过滤器并编写一个实用方法,该方法基于纯 URL 创建带有校验和的 URL(可能您还需要一个 JSP 标记)

于 2012-05-04T13:50:38.453 回答