URL存在http host头攻击漏洞-修复方案

spring boot使用注解的方式 --

第一步:在自定义filter类上添加如下注释

  1. package com.cmcc.hy.mobile.config;
  2.  
  3. import java.io.IOException;
  4. import java.util.Arrays;
  5. import java.util.List;
  6. import javax.servlet.Filter;
  7. import javax.servlet.FilterChain;
  8. import javax.servlet.FilterConfig;
  9. import javax.servlet.ServletException;
  10. import javax.servlet.ServletRequest;
  11. import javax.servlet.ServletResponse;
  12. import javax.servlet.annotation.WebFilter;
  13. import javax.servlet.http.HttpServletRequest;
  14. import javax.servlet.http.HttpServletResponse;
  15. import org.springframework.beans.factory.annotation.Value;
  16.  
  17. /**
  18.  * @author wangzhengrong
  19.  * @date 2019/1/22 11:09
  20.  */
  21. @WebFilter(filterName = "otherFilter")
  22. public class HostFilter implements Filter {
  23.  
  24.   /**
  25.    * 自定义实现host白名单添加
  26.    */
  27.   @Value("${ALLOWED_SERVERNAMES}")
  28.   private String ALLOWED_SERVERNAMES;
  29.  
  30.   @Override
  31.   public void init(FilterConfig filterConfig) throws ServletException {
  32. //    System.out.println("Filter初始化中");
  33.   }
  34.  
  35.   /**
  36.    * host拦截
  37.    */
  38.   @Override
  39.   public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
  40.       FilterChain filterChain) throws IOException, ServletException {
  41.     HttpServletRequest request = (HttpServletRequest) servletRequest;
  42.     HttpServletResponse response = (HttpServletResponse) servletResponse;
  43. //    String host = request.getHeader("host");
  44.     String serverName = request.getServerName();
  45.     System.out.println("serverName-debug:" + serverName);
  46.     if (!isEmpty(serverName)) {
  47.       if (checkBlankList(serverName)) {
  48.         filterChain.doFilter(servletRequest, servletResponse);
  49.       } else {
  50.         System.out.println("[serverName deny access tips]->" + serverName);
  51. //        response.getWriter().print("host deny");
  52.         response.setStatus(403);
  53.         response.flushBuffer();
  54.       }
  55.     } else {
  56.       filterChain.doFilter(servletRequest, servletResponse);
  57.     }
  58.  
  59.   }
  60.  
  61.   @Override
  62.   public void destroy() {
  63. //    System.out.println("Filter销毁");
  64.   }
  65.  
  66.   /**
  67.    * 校验当前host是否在白名单中
  68.    */
  69.   private boolean checkBlankList(String serverName) {
  70.     String[] allowdServerName = ALLOWED_SERVERNAMES.split(",");
  71.     List<String> serverNameList = Arrays.asList(allowdServerName);
  72.     for(String str : serverNameList){
  73.       if(!isEmpty(str) && str.equals(serverName)){
  74.         return true;
  75.       }
  76.     }
  77.     return false;
  78.   }
  79.  
  80.   /**
  81.    * 判空
  82.    */
  83.   public boolean isEmpty(Object str) {
  84.     return str == null || "".equals(str);
  85.   }
  86.  
  87. }

第二步:还需要在启动类上添加注释 @ServletComponentScan,以确保能扫描的Filter类,当然也可以指定该注解的basePackages属性。这里需要注意的是,使用这种方式时,不能像第一种方式那样指定filter顺序,使用Order注解也无效

URL存在http host头攻击漏洞-修复方案的更多相关文章

  1. 目标URL存在跨站漏洞和目标URL存在http host头攻击漏洞处理方案

    若需要学习技术文档共享(请关注群公告的内容)/讨论问题 请入QQ群:668345923 :若无法入群,请在您浏览文章下方留言,至于答复,这个看情况了 目录 HTTP协议详解 引言 一.HTTP协议详解 ...

  2. Java Web项目漏洞:检测到目标URL存在http host头攻击漏洞解决办法

    检测到目标URL存在http host头攻击漏洞 详细描述 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header.例如,在php里用_SERVER["HTTP_HOST ...

  3. 检测到目标URL存在http host头攻击漏洞

    检测到目标URL存在http host头攻击漏洞 1.引发安全问题的原因 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header.例如,在php里用_SERVER["HT ...

  4. 【漏洞一】检测到目标URL存在http host头攻击漏洞

    [漏洞] 检测到目标URL存在http host头攻击漏洞 [原因] 在项目中使用了 request.getServerName 导致漏洞的出现 不要使用request中的serverName,也就是 ...

  5. URL存在跨站漏洞http host头攻击漏洞解决方案

    最近项目部署的时候客户使用的绿盟扫描出一些漏洞,老大让我处理,经过看大神的博客等方式,分享一些简单的解决方法. 一 跨网站脚本 跨网站脚本(Cross-site scripting,通常简称为XSS或 ...

  6. 【漏洞学习】HOST 头攻击漏洞

    日期:2018-03-06 14:32:51 作者:Bay0net 0x01. 前言 在一般情况下,几个网站可能会放在同一个服务器上,或者几个 web 系统共享一个服务器,host 头来指定应该由哪个 ...

  7. http host头攻击漏洞

    原文地址: https://www.zhuyilong.fun/tech/handel_httphost_attack.html 漏洞描述 为了方便的获得网站域名,开发人员一般依赖于HTTP Host ...

  8. (三)Host头攻击

    01 漏洞描述 为了方便获取网站域名,开发人员一般依赖于请求包中的Host首部字段.例如,在php里用_SERVER["HTTP_HOST"].但是这个Host字段值是不可信赖的( ...

  9. 【由浅入深_打牢基础】HOST头攻击

    [由浅入深_打牢基础]HOST头攻击 前几天一直准备别的事情,然后用了2/3天时间去挖了补天某厂的SRC,还是太菜了,最后提交了一个低危(还没出结果,还有点敏感信息泄露,感觉略鸡肋也没交),不过偶然发 ...

随机推荐

  1. CSS 3D的应用记录

    为父元素添加以下样式后,子元素即可使用3D属性,例如translateZ /*设置子元素也应用3D效果*/-webkit-transform-style: preserve-3d;-moz-trans ...

  2. kubernetes创建yaml,pod服务一直处于 ContainerCreating状态的原因查找与解决

    最近刚刚入手研究kubernetes,运行容器的时候,发现一直处于ContainerCreating状态,悲了个催,刚入手就遇到了点麻烦,下面来讲讲如何查找问题及解决的 运行容器命令: kubectl ...

  3. C#生成唯一码方法

    一.时间戳方法 private string CreateId() { TimeSpan ts = DateTime.UtcNow - , , , , , , ); return Convert.To ...

  4. 170505、MySQL的or/in/union与索引优化

    假设订单业务表结构为: order(oid, date, uid, status, money, time, …) 其中: oid,订单ID,主键 date,下单日期,有普通索引,管理后台经常按照da ...

  5. js 的正则表达式 部分展示test()方法的验证功能

    <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title> ...

  6. poj1934 Trip【线性DP】【输出方案】

    Trip Time Limit: 1000MS   Memory Limit: 65536K Total Submissions: 3850   Accepted: 1030 Description ...

  7. Servlet------>request和response控制编码乱码问题

    我在request篇和response都有提到,觉得会忘记,所以从新整理一下 request细节四----->通过request控制编码问题 第一种方式是通过设置------>reques ...

  8. Linux设置程序开机启动-tomcat开机启动

    假设我有一个tomcat应用需要开机启动. 前提你的JAVA环境变量已经配置好没有问题,检测方法如图 然后找到tomcat的目录,我的目录是 /home/yuqing_4.0/tomcat_share ...

  9. 缓存策略 半自动化就是mybaitis只支持数据库查出的数据映射到pojo类上,而实体到数据库的映射需要自己编写sql语句实现,相较于hibernate这种完全自动化的框架我更喜欢mybatis

    springboot入门(三)-- springboot集成mybatis及mybatis generator工具使用 - FoolFox - CSDN博客 https://blog.csdn.net ...

  10. 设计模式之——Decorator模式

    Decorator模式又叫装饰者模式,这种模式是为了满足Java开发的"面向扩展开放,面向修改闭源"的开发原则设计出来的. 在装饰者模式中,不修改源类的代码,却能修改源类中方法的功 ...