java漏洞过滤分号

㈠ 文件上传漏洞攻击方法有什么

文件上传漏洞是什么？怎样防御文件上传漏洞攻击？文件上传漏洞是web安全中经常利用到的一种漏洞形式。这种类型的攻击从大的类型上来说，是攻击 数据与代码分离原则 的一种攻击。
一些web应用程序中允许上传图片，文本或者其他资源到指定的位置，文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中，再通过url去访问以执行代码
造成文件上传漏洞的原因是
对于上传文件的后缀名（扩展名）没有做较为严格的限制
对于上传文件的MIMETYPE 没有做检查
权限上没有对于上传的文件的文件权限，（尤其是对于shebang类型的文件）
对于web server对于上传文件或者指定目录的行为没有做限制
下面就闲话一些文件上传漏洞的防御方式和攻击者的绕过方式
1.前端限制
function check(){
var filename=document.getElementById("file");
var str=filename.value.split(".");
var ext=str[str.length-1];
if(ext=='jpg'||ext=='png'||ext=='jpeg'||ext=='gif'){
return true;
}else{
alert("这不是图片！")
return false;
}
return false;
}
在表单中使用onsumbit=check()调用js函数来检查上传文件的扩展名。这种限制实际上没有任何用处，任何攻击者都可以轻而易举的破解。只能用于对于用户完全信任的情况下，很难称之为一种安全措施只能称之是一种防止用户误操作上传的措施，
反制：
随便的编辑一下页面/用burpsuite/写个小脚本就可以突破之，无须多言
2.检查扩展名
顾名思义，就是在文件被上传到服务端的时候，对于文件名的扩展名进行检查，如果不合法，则拒绝这次上传
在这里，还有一点是值得一提的，在检查扩展名是否合法的时候，有两种策略
黑名单策略，文件扩展名在黑名单中的为不合法,示例代码
$postfix = end(explode('.','$_POST['filename']);
if($postfix=='php'||$postfix=='asp'||$postfix=='sh'){
echo "invalid file type";
return;
}
白名单策略，文件扩展名不在白名单中的均为不合法
$postfix = end(explode('.','$_POST['filename']);
if($postfix=='jpg'||$postfix=='png'||$postfix=='gif'){
//save the file and do something next
} else {
echo "invalid file type";
return;
}
白名单策略是更加安全的，通过限制上传类型为只有我们接受的类型，可以较好的保证安全，因为黑名单我们可以使用各种方法来进行注入和突破
反制
在一些 webserver 中，存在解析漏洞
1.老版本的IIS中的目录解析漏洞，如果网站目录中有一个 /.asp/目录，那么此目录下面的一切内容都会被当作asp脚本来解析
2.老板本的IIS中的分号漏洞：IIS在解析文件名的时候可能将分号后面的内容丢弃，那么我们可以在上传的时候给后面加入分号内容来避免黑名单过滤，如 a.asp;jpg
3.旧版Windows Server中存在空格和dot漏洞类似于 a.php. 和 a.php[空格] 这样的文件名存储后会被windows去掉点和空格，从而使得加上这两个东西可以突破过滤，成功上传，并且被当作php代码来执行
4.nginx空字节漏洞 xxx.jpg%00.php 这样的文件名会被解析为php代码运行
5.apache的解析漏洞，上传如a.php.rar a.php.gif 类型的文件名，可以避免对于php文件的过滤机制，但是由于apache在解析文件名的时候是从右向左读，如果遇到不能识别的扩展名则跳过，rar等扩展名是apache不能识别的，因此就会直接将类型识别为php，从而达到了注入php代码的目的
3.检查HTTP Header中的Content-Type
HTTP协议规定了上传资源的时候在Header中加上一项文件的MIMETYPE，来识别文件类型，这个动作是由浏览器完成的，服务端可以检查此类型不过这仍然是不安全的,因为HTTP header可以被发出者或者中间人任意的修改，不过加上一层防护也是可以有一定效果的
反制
使用各种各样的工具（如burpsuite）强行篡改Header就可以，太容易将header中的
Content-Type: application/php
或者其他类型
改为
Content-Type: image/jpg
Content-Type: image/png
Content-Type: text/plain
等这些web程序允许的泪洗改附上常用的MIMETYPE表
text/plain（纯文本）
text/html（HTML文档）
text/javascript（js代码）
application/xhtml+xml（XHTML文档）
image/gif（GIF图像）
image/jpeg（JPEG图像）
image/png（PNG图像）
video/mpeg（MPEG动画）
application/octet-stream（二进制数据）
application/pdf（PDF文档）
application/(编程语言) 该种语言的代码
application/msword（Microsoft Word文件）
message/rfc822（RFC 822形式）
multipart/alternative（HTML邮件的HTML形式和纯文本形式，相同内容使用不同形式表示）
application/x-www-form-urlencoded（POST方法提交的表单）
multipart/form-data（POST提交时伴随文件上传的表单）
4.分析文件头内容来检查文件类型
与方法2不同，还有一种检查类型的方式是使用对于文件内容的验证机制，这种方法利用的是每一个特定类型的文件都会有不太一样的开头或者标志位。可以通过比如php的exif_imagetype()函数，一个通过这种方法来过滤的示例代码如下：
if (! exif_imagetype($_FILES['uploadedfile']['tmp_name'])) {
echo "File is not an image";
return;
}
也可以自己编写函数来进行识别，图片文件通常有称作幻数的头字节，我们来看一下几种图片文件的幻数：
（注意！下面是二进制而不是文本格式的数据）
JPG
FF D8 FF E0 00 10 4A 46 49 46
GIF
47 49 46 38 39 61
(相当于文本的GIF89a)
PNG
89 50 4E 47
通过检查头几位字节，可以分辨是否是图片文件
如果是其他类型的二进制文件，也有响应的头字节，如下表
反制
给上传脚本加上相应的幻数头字节就可以，php引擎会将
（一般不限制图片文件格式的时候使用GIF的头比较方便，因为全都是文本可打印字符。）
GIF89a
do_something();
?>
如果是其他类型的二进制文件，也有响应的头字节，如下表
格式
文件头
TIFF (tif)
49492A00
Windows Bitmap (bmp)
424D
CAD (dwg)
41433130
Adobe Photoshop (psd)
38425053
Rich Text Format (rtf)
7B5C727466
MS Word/Excel (xls.or.doc)
D0CF11E0
MS Access (mdb)
5374616E64617264204A
ZIP Archive (zip)，
504B0304
RAR Archive (rar)，
7221
Wave (wav)，
57415645
AVI (avi)，
41564920
Real MEdia (rm)，
2E524D46
MPEG (mpg)，
000001BA
MPEG (mpg)，
000001B3
Quicktime (mov)，
6D6F6F76
Adobe Acrobat (pdf)，
255044462D312E
Windows Media (asf)，
3026B2758E66CF11
MIDI (mid)，
4D546864
5.限制Web Server对于特定类型文件的行为
导致文件上传漏洞的根本原因在于服务把用户上传的本应是数据的内容当作了代码，一般来说，用户上传的内容都会被存储到特定的一个文件夹下，比如我们很多人习惯于放在 ./upload/ 下面要防止数据被当作代码执行，我们可以限制web server对于特定文件夹的行为。
大多数服务端软件都可以支持用户对于特定类型文件的行为的自定义，以Apache为例：
在默认情况下，对与 .php文件Apache会当作代码来执行，对于 html,css,js文件，则会直接由HTTP Response交给客户端程序对于一些资源文件，比如txt，doc，rar等等，则也会以文件下载的方式传送的客户端。我们希望用户上传的东西仅仅当作资源和数据而不能当作代码
因此可以使用服务器程序的接口来进行限制
以Apache为例,我们可以利用 .htaccess 文件机制来对web server行为进行限制
在这里插一句，如果不是专门的文件下载目录，请务必关掉文件夹浏览的权限，以防止嗅探和可能的越权，也是使用.htaccess文件，在其中加上一句
Options All -Indexes
即可。
禁止脚本执行有多种方式可以实现，而且分别有不同的效果，我们分别来看一下
1.指定特定扩展名的文件的处理方式,原理是指定Response的Content-Type可以加上如下几行
AddType text/plain .pl .py .php
这种情况下，以上几种脚本文件会被当作纯文本来显示出来，你也可以换成其他的Content-Type
2.如果要完全禁止特定扩展名的文件被访问，用下面的几行
Options -ExecCGI
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi识别
在这种情况下，以上几种类型的文件被访问的时候，会返回403 Forbidden的错误
3.也可以强制web服务器对于特定文件类型的处理，与第一条不同的是， 下面的方法直接强行让apache将文件识别为你指定的类型，而第一种是让浏览器
ForceType text/plain
看代码就可以很明白的知道，符合上面正则的全部被认为是纯文本，也可以继续往里面加入其他类型。
4.只允许访问特定类型的文件
order deny,allow
deny from all
在一个上传图片的文件夹下面，就可以加上这段代码，使得该文件夹里面只有图片扩展名的文件才可以被访问，其他类型都是拒绝访问。
这又是一个白名单的处理方案
永远记得，白名单是最有保障的安全措施

可以通过 move_uploaded_file 函数把自己写的.htaccess 文件上传，覆盖掉服务器上的文件，来定义文件类型和执行权限如果做到了这一点，将获得相当大的权限。

㈡ 分号在java中的作用,什么时候用,什么时候不能用.

1、分号标志着Java一句完整代码的结束。
2、一般也用来拼接字符串，分割字符串的分隔符。
3、一句完整sql的结束（数据库中），Java代码里的sql是不加分号的
暂时想到这么多。。。

㈢ java 方法 出现错误（提示说需要分号）可我看不出来

你这段代码直接拷贝出来执行没有出现你所说的问题,但是有别的问题,i2在if(i2==10)的判断的时候因为i2没有初始化所以报了个错,如果当if(i2==10)不成立的时候这个函数没有返回值,给你改了一下,你看看这样行不行

booleanbNewLine(Stringss){
	intilen=ss.length();
	inti1,i2;
	i1=ss.codePointAt(ilen-2);
	i2=ss.codePointAt(ilen-1);
	if(i1==13){
		System.out.println("包含回车。");
		if(i2==10){
			System.out.println("包含换行。");
			returntrue;
		}
	}else{
		System.out.println("不包含回车换行。");
	}
	returnfalse;
}

㈣ java怎么把字符串最后一个去掉，比如说29.0”，我要把最后那个分号”去掉，怎么去

给你个例子：
publicclasstest{
publicstaticvoidmain(String[]args){
StringS="29.0”";
System.out.println(S.substring(0,S.length()-1));
}
}

㈤ 如何安全检测Java Web应用网站漏洞

如何安全检测Java Web应用网站漏洞.txt32因为爱心，流浪的人们才能重返家园；因为爱心，疲惫的灵魂才能活力如初。渴望爱心，如同星光渴望彼此辉映；渴望爱心，如同世纪之歌渴望永远被唱下去。web开发应用程序（网站），是目前应用最广泛的程序。但是开发者的水平参差不齐，导致了各种各样web漏洞的出现。本文站在分层架构的角度，分析一下如何在java web程序中找到可能出现的种种漏洞。            本文讨论的只是web程序上的漏洞，和其它漏洞，是相对独立的。这句话看似废话，实际上却说明了时常被忽略的因素，即：“很多人认为只要我开发web程序没有漏洞，web服务器就安全了”，事实上，并非如此。一个合格的web程序开发人员，应该时刻清楚自己开发的程序会在什么环境中被使用，以及一旦自己的程序产生某种漏洞，最终会导致什么后果。简单的说，web程序被安装在一台或多台（分布式）web服务器上，一旦安装成功，就等于在为广大用户提供服务的同时，给入侵者打开了一条或N条新的思路。如果服务器管理员刚好对安全配置不了解（事实上，国内这种管理员居多），那么只好由我们的程序来守好最后的关卡最后一道防线。            看了本文题目，一定有一部分人会认为，“不就是讲JSP漏洞么，用得着披着这么厚的包装么？”，为了回答这个疑问，我们先看看JSP和ASP的开发有什么不同吧。在ASP时代（ASP，PHP等语言），开发一套系统往往比修改别人已经写好的系统痛苦的多，因为它们把所有的代码（包括链接数据库的代码、执行SQL语句的代码、控制页面显示的代码）统统都放在<%......%>中，我们时常会看到如下代码块：        -----------代码来自某ASP SHELL-----------      Function GetFileSize(size)      Dim FileSize       FileSize=size / 1024       FileSize=FormatNumber(FileSize,2)       If FileSize < 1024 and FileSize > 1 then       GetFileSize="<font color=red>"& FileSize & "</font>KB"      ElseIf FileSize >1024 then       GetFileSize="<font color=red>"& FormatNumber(FileSize / 1024,2) & "</font>MB"      Else       GetFileSize="<font color=red>"& Size & "</font>Bytes"      End If       End Function       ----------------------------------------               如果客户的需求变了，要求页面不能使用“<font color=red>”等标签，全部应用“CSS”显示。挂了，把程序员召唤出来，一个一个的改吧。。。注意，这里强调下，特指“召唤程序员”才能改，如果是学美工的，只会HTML、JS、CSS，完了，这活还干不成。而这些只是简单的页面修改，如果客户今天说，MYSQL服务器承担不了这个数据量，要挂Oracle，可怜的程序员就要在一片一片的代码海洋里寻找执行SQL语句的代码，而每一个文件都可能存放着SQL语句，意味着每一个文件都可能在受SQL注入的威胁。  
           而JSP采用MVC模式分层架构进行开发，就可以把所有的文件分开，根据其用途，分别放在不同的文件夹下（分层），每个文件夹下的文件只负责自己的事情。例如数据访问层的代码就放在数据访问层的文件夹下，业务逻辑层的代码也都放在自己的文件夹下，当显示层（这一层是为了把最终的运算结果显示给用户看）的需求发生变化，就像前面的客户需求，我们只要修改这一层的文件就是了，其他层的代码根本不需要动，而修改者也不需要懂得其它层的代码。        代码分层了，意味着漏洞也在跟着分层，我们寻找JSP漏洞的思路也要跟着分层，才能与时俱进。            下面在讲述寻找漏洞的过程中，本文就拿一个简单的分层架构例子来做样板。样板程序的名称为“XX文章系统”，系统使用了STRUTS框架，和安全有关的层分为：         “DB层”，这一层存放了链接数据库的字符串，以及JdbcTemplate类，直接访问数据库。因为在java中，执行SQL语句的函数按照返回值可以分为三类，所以在这一层定义了JDBC模版类（JdbcTemplate），每一次使用操作数据库时都要执行这一层的三个方法其中一个。        “DAO层（Data Access Object数据访问对象层）”，从安全角度上看，这一层存放了SQL语句（并不执行SQL语句，语句传给DB层执行）。这一层调用“DB层”访问数据库，它只知道“DB层”的存在，不知道数据库的存在。        “SERVICE层”，业务逻辑层，因为一个业务的实现，并不是一次数据库访问就可以完成的，所以这一层通过N次调用“DAO层的方法”实现业务逻辑，它只知道“DAO层”的存在，不知道“DB层”和数据库的存在。  “ACTION层”，调用业务逻辑层，根据返回的结果，控制JSP页面显示。它只知道业务层的存在。这一层是入侵者的攻击平台。        “Form层”，把用户POST提交的信息封装成Form对象，经过验证后提交给ACTION层处理。        “JSP层”(显示层)，这一层是最终显示给用户看的页面，同时也是入侵者的攻击平台。             用户通过访问ACTION层，自动会发生：“ACTION调用SERVICE，SERVICE调用DAO，DAO调用DB，DB执行SQL语句返回结果给DAO，DAO返回给SERVICE，SERVICE返回给ACTION，ACTION把数据显示到JSP里返回给用户”。        有了样板，我们来分析这套程序中可能出现的各种web漏洞。        1、SQL注入漏洞            从SQL注入漏洞说起吧，在web漏洞里，SQL注入是最容易被利用而又最具有危害性的。怎么快速的找到呢？先分析流程，就拿用户查看文章这个流程为例：用户访问一个
action，告诉它用户想看ID为7的文章，这个action就会继续完成前面所说的流程。            如果是ASP程序，这就是最容易产生问题的时候，ASP是弱类型，接到参数后不需要转换类型，就和SQL语句连加起来。但是JSP就不一样，JSP是强类型的语言，接受有害的参数后：对于GET请求（直接在地址栏访问页面），如果这里要的是int型，即使不懂安全的程序员，也会把它（文章的ID）立刻转换成int，因为这里转换后在后面的处理中会更容易操作，而这时程序就出错了；对于POST请求，如果这里要的是int型，程序会在把它封装成Form对象时，因为自动要进行类型转化，同样发生错误，这两种错误发生后，根本不会访问后面的流程就跳出了，或许这就是JSP天生的安全性。所以，通常提交的变量是int时，不会发生问题，问题会出现在string参数这里，如果要查看某用户的信息，程序可能会让你提交如下参数：showuser.do?    username=kxlzx。问题来了，因为这里是string类型，所以不懂安全的程序员顶多会判断一下是不是空，就连加成为SQL语句。有漏洞的程序大概会写成这个样子：        ACTION的代码： showuser.do      String username = null;       username = request.getParameter("username");      Service service = new Service();      service.findByUsername(username);       得到参数后调用service,service层直接交给了Dao层，的代码：      public Object findByUsername(String username)       {       JdbcTemplate jt=new JdbcTemplate();       String sql = "select * from Users where username=’"+username"’";      List list = jt.query(sql);      ...................       }             调用了DB层的JdbcTemplate，把SQL语句拼好后，传给了JdbcTemplate去执行。不用再看这里的JdbcTemplate，就可以知道里面的代码使用了Statement的executequery()方法执行，导致了SQL注入。           分析了这么半天，有读者会问：“难道我要费这么大的力气才能找到漏洞么？”。的确，通常在ASP程序里找注入时的思路就是这样子，但是我们现在是在使用了开发模式分层架构的JSP程序里，应该按照分层架构的思维去找漏洞。在回答这个问题之前，我们还得绕个弯子，看看怎么在这里预防SQL注入（java始终都是这么优美，它不会直接告诉你答案，而是一层一层的让你拨开云雾）。            刚才分析流程，是从正向分析的，从用户输入到产生漏洞，我们在防御的时候，不妨倒过来看看，从DB层入手。JdbcTemplate调用执行SQL语句，可以有两个类供我们选择，一个是Statement，另一个就是预处理的Statement，两者有着效率上和安全上的显著差别。在效率上，只要数据库支持预处理技术（sqlserver，mysql，oracle等都支持，只有少数access等不支持），就会在大量执行SQL语句时增加速度；在安全上，使用预处理，会把接受的参数也经过预处理，从而不会作为SQL语句的一部分执行，而是仅仅作为SQL语句中的参数部分
内容被执行。一旦DB层使用了预处理，DAO层的SQL语句也会发生变化，成为这个样子：      public Object findByUsername(String username)       {       JdbcTemplate jt=new JdbcTemplate();       String sql = "select * from Users where username=?";      List list = jt.query(sql,new Object[1]{username});      ...................      }              这样，SQL注入就和我们的程序几乎无关了，注意我说的是几乎，而不是全部。知道了怎么防御，于是一切在这里变的简单极了，我们应该直接去DB层找到JdbcTemplate，看看代码，一旦使用了Statement，很好，这个系统十有八九有漏洞，下面要做的是使用Editplus搜索“request.getParameter”。没有使用预处理的系统，可能会在action层进行防御，对参数过滤，但总有防御不到的时候，因为战线拉的太长了，每一个action里都可能接受参数并存在漏洞。            还有一种情况，系统一部分使用了预处理，一部分没有，这样的情况可能是因为项目赶的比较仓促，人员没有经过正规培训，最后艰难的整合到了一起。这种情况也好办，直接在DAO层搜索（"’）或（’"），这些符号用于和字符串变量连加，拼SQL语句，肯定是这些语句之后的代码使用了Statement。然后再往上层找，看看哪个action调用了这个有问题的类，也可能发生SQL注入。          即使系统使用了预处理，别忘了，程序给客户使用后，客户有权利去扩展的。程序拿到客户那里，客户有了新的需求，而这个需求又不大，很可能不愿意花钱重新雇人来实现扩展功能，在这个时候也可能出现问题，客户使用自己的程序员扩展AJAX功能，这个程序员因为怕出问题，不敢动源程序，就在web.xml里加了一个servlet，这个servlet直接去调用conn。可怕的事情发生了。所以，我们的搜索漏洞规则中又加上了一条，在非层的文件中，搜索“select，update，delete”等字符串。        2、暴露程序信息漏洞            这个漏洞是怎么来的呢？我们需要从异常说起。有经验的入侵者，可以从JSP程序的异常中获取很多信息，比如程序的部分架构、程序的物理路径、SQL注入爆出来的信息等，这个漏洞很容易防御，却很难快速定位漏洞文件。出现这样漏洞的时候，通常是我们在写代码的时候，少了一些可能性的考虑而导致的。这样的问题都是经验造成的，而寻找漏洞也要通过经验加运气（要有仙缘。。。），我个人技术有限，就不多说了。防御的方法就是在程序中加上“Exception层”，自定义异常，把系统产生的异常统统包装起来，不要放过任何一个可能产生异常的地方。像腾讯的异常就包装的很好“对不起，今天的注册人数已经达到十万，请您明天再来。。。”，废话，日注册量都十万，还让不让人活啦，铁定是程序发生了异常，不敢让各位大大们看到真实的面孔。

㈥ java中 如何用split过滤掉String中[]括号

java 中 split 的意思就是依据标记分解出 S热ing数组，而不是过滤；
你要搞清楚用法和目的，你可以使用 .replace("[",""); .replace("}","");
也可以写regex，匹配“[]”.你看是不是你要的答案吧。

对于你的追问：可以的.split("\[\]");可以返回数组。或者你先 替换[] 成 ；在依据分号split，不就OK了？对吧，思路很多的，你也可以开阔一下思路，

㈦ Java中如何解决sql 注入漏洞

1、对传递过来的参数值段做过滤处理 包含sql操作关键字的干掉！当然这个要符合你回的业务需求
2、不要答对sql语句做拼接处理 可以用类似 jdbc中的preparestatement动态sql技术 生成sql

3、对传递进来的参数值做字符串转义 'sql do some' 让数据库把这段当成一段字符串处理 而不进行操作编译

㈧ java远程代码执行漏洞

struts2会将http的每个参数名解析为ongl语句执行(可理解为Java代码)。 ongl表达式通过#来访问struts的对象，struts框架通过过滤#字符防止安全问题，然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制。

㈨ Java 开发中用到的几种过滤器

在Java中有时会遇见乱码的情况，这里提供了几种转换方法（一）Java中的编码转换 （二）可以在web.xml文件中配置的自己写的过滤器 第一种方法最简单也最方便，但是只能用在少量的地方或是偶尔一两次转码，如果大面积使用就不方便了，也大大增加了编码量，如果你的项目里没有用Spring的框架开发，用web.xml配置自定义过滤器可以一劳永逸的解决 1.首先要编写自己的过滤器类(实现了javax.servlet.Filter)： package fck.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; public class CodeFilter implements Filter { public void destroy() { // TODO Auto-generated method stub } public void doFilter(ServletRequest request, ServletResponse response, FilterChain filter) throws IOException, ServletException { // TODO Auto-generated method stub request.setCharacterEncoding("utf-8"); filter.doFilter(request, response); } public void init(FilterConfig arg0) throws ServletException { // TODO Auto-generated method stub } } 2.在web.xml文件中编写过滤器配置： CodeFilter fck.filter.CodeFilter CodeFilter /* 之后不用再做什么代码的改变，过滤器就将所有的访问都转码了 (三)使浏览器不缓存页面的过滤器 import javax.servlet.*; import javax.servlet.http.HttpServletResponse; import java.io.IOException; /** *//** * 用于的使 Browser 不缓存页面的过滤器 */ public class ForceNoCacheFilter implements Filter { public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException{ ((HttpServletResponse) response).setHeader("Cache-Control","no-cache"); ((HttpServletResponse) response).setHeader("Pragma","no-cache"); ((HttpServletResponse) response).setDateHeader ("Expires", -1); filterChain.doFilter(request, response); } public void destroy() { } public void init(FilterConfig filterConfig) throws ServletException { } } (四)检测用户是否登陆的过滤器 import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import java.util.List; import java.util.ArrayList; import java.util.StringTokenizer; import java.io.IOException; /** */ /** * 用于检测用户是否登陆的过滤器，如果未登录，则重定向到指的登录页面 * 配置参数 * checkSessionKey 需检查的在 Session 中保存的关键字 * redirectURL 如果用户未登录，则重定向到指定的页面，URL不包括 ContextPath * notCheckURLList 不做检查的URL列表，以分号分开，并且 URL 中不包括 ContextPath */ public class T implements Filter { protected FilterConfig filterConfig = null; private String redirectURL = null; private List notCheckURLList = new ArrayList(); private String sessionKey = null; public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) servletRequest; HttpServletResponse response = (HttpServletResponse) servletResponse; HttpSession session = request.getSession(); if (sessionKey == null) { filterChain.doFilter(request, response); return; } if ((!(request)) && session.getAttribute(sessionKey) == null) { response.sendRedirect(request.getContextPath() + redirectURL); return; } filterChain.doFilter(servletRequest, servletResponse); } public void destroy() { notCheckURLList.clear(); } private boolean (HttpServletRequest request) { String uri = request.getServletPath() + (request.getPathInfo() == null ? "" : request.getPathInfo()); return notCheckURLList.contains(uri); } public void init(FilterConfig filterConfig) throws ServletException { this.filterConfig = filterConfig; redirectURL = filterConfig.getInitParameter("redirectURL"); sessionKey = filterConfig.getInitParameter("checkSessionKey"); String notCheckURLListStr = filterConfig.getInitParameter("notCheckURLList"); if (notCheckURLListStr != null) { StringTokenizer st = new StringTokenizer(notCheckURLListStr, ";"); notCheckURLList.clear(); while (st.hasMoreTokens()) { notCheckURLList.add(st.nextToken()); } } } } (五)资源保护过滤器 import javax.servlet.Filter; import javax.servlet.FilterConfig; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import java.io.IOException; import java.util.Iterator; import java.util.Set; import java.util.HashSet; // import org.apache.commons.logging.Log; import org.apache.commons.logging.LogFactory; /** */ /** * This Filter class handle the security of the application. * * It should be configured inside the web.xml. * * @author Derek Y. Shen */ public class SecurityFilter implements Filter { // the login page uri private static final String LOGIN_PAGE_URI = "login.jsf"; // the logger object private Log logger = LogFactory.getLog(this.getClass()); // a set of restricted resources private Set restrictedResources; /** */ /** * Initializes the Filter. */ public void init(FilterConfig filterConfig) throws ServletException { this.restrictedResources = new HashSet(); this.restrictedResources.add("/createProct.jsf"); this.restrictedResources.add("/editProct.jsf"); this.restrictedResources.add("/proctList.jsf"); } /** */ /** * Standard doFilter object. */ public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { this.logger.debug("doFilter"); String contextPath = ((HttpServletRequest) req).getContextPath(); String requestUri = ((HttpServletRequest) req).getRequestURI(); this.logger.debug("contextPath = " + contextPath); this.logger.debug("requestUri = " + requestUri); if (this.contains(requestUri, contextPath) && !this.authorize((HttpServletRequest) req)) { this.logger.debug("authorization failed"); ((HttpServletRequest) req).getRequestDispatcher(LOGIN_PAGE_URI) .forward(req, res); } else { this.logger.debug("authorization succeeded"); chain.doFilter(req, res); } } public void destroy() { } private boolean contains(String value, String contextPath) { Iterator ite = this.restrictedResources.iterator(); while (ite.hasNext()) { String restrictedResource = (String) ite.next(); if ((contextPath + restrictedResource).equalsIgnoreCase(value)) { return true; } } return false; } private boolean authorize(HttpServletRequest req) { // 处理用户登录 /**//* * UserBean user = * (UserBean)req.getSession().getAttribute(BeanNames.USER_BEAN); * * if (user != null && user.getLoggedIn()) { //user logged in return * true; } else { return false; } */ } } (六) 利用Filter限制用户浏览权限 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; public class T implements Filter { public void destroy() { } public void doFilter(ServletRequest sreq, ServletResponse sres, FilterChain arg2) throws IOException, ServletException { // 获取uri地址 HttpServletRequest request = (HttpServletRequest) sreq; String uri = request.getRequestURI(); String ctx = request.getContextPath(); uri = uri.substring(ctx.length()); // 判断admin级别网页的浏览权限 if (uri.startsWith("/admin")) { if (request.getSession().getAttribute("admin") == null) { request.setAttribute("message", "您没有这个权限"); request.getRequestDispatcher("/login.jsp").forward(sreq, sres); return; } } // 判断manage级别网页的浏览权限 if (uri.startsWith("/manage")) { // 这里省去 } } // 下面还可以添加其他的用户权限，省去。