安全-JAVA开发-第二天
Web资源访问的流程
由此可见 客户访问JAVA开发的应用时 会先通过 监听器(Listener)和 过滤器(Filter) 今天简单的了解下这两个模块的开发过程
监听器(Listener)
主要是监听 我们触发了什么行为 并进行反应 下面是一个监听Session的例子
正常创建项目后 目录文件如下
CSession代码
import jakarta.servlet.http.*;
import java.io.IOException;@WebServlet("/CS") // 映射到路径 "/CS"
public class CSession extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {// 控制台输出,表示正在创建 SessionSystem.out.println("creat Session");// 调用 req.getSession() 方法获取或创建 Session// 如果请求中没有 Session,则自动创建新 Sessionreq.getSession();}
}
DSession代码
package com.example.listendemo1.Servlet;import jakarta.servlet.ServletException;
import jakarta.servlet.annotation.WebServlet;
import jakarta.servlet.http.*;
import java.io.IOException;@WebServlet("/DS") // 映射到路径 "/DS"
public class DSession extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {// 控制台输出日志,表示正在销毁 SessionSystem.out.println("kill Session");// 获取当前 Session 并立即使其失效// invalidate() 方法会销毁 Session,清除所有存储的属性req.getSession().invalidate();}
}
以上两个代码操作为 访问路径(/CS|/DS)后对Session进行创建(删除)操作
ListenSession代码
package com.example.listendemo1.Listener;import jakarta.servlet.annotation.WebListener;
import jakarta.servlet.http.HttpSessionEvent;
import jakarta.servlet.http.HttpSessionListener;@WebListener
public class ListenSession implements HttpSessionListener {@Overridepublic void sessionCreated(HttpSessionEvent se) {// 输出 Session 创建日志(控制台)System.out.println("Session created in Listen Session");}@Overridepublic void sessionDestroyed(HttpSessionEvent se) {// 输出 Session 销毁日志(控制台)System.out.println("Session destroyed in Listen Session");}
}
监听器(Listener)运行情况
在没有操作时就会产生默认操作
创建Session
删除Session 监听器监听到了该动作
过滤器(Filter)
路径如下
TextServlet代码
package com.example.filterdemo1.Servlet;import jakarta.servlet.ServletException;
import jakarta.servlet.annotation.WebServlet;
import jakarta.servlet.http.HttpServlet;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;@WebServlet("/text") // 定义Servlet访问路径
public class TextServlet extends HttpServlet {//处理HTTP GET请求@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {// 从请求中获取名为"code"的参数值String code = req.getParameter("code");// 获取响应输出流(自动设置text/html内容类型)PrintWriter out = resp.getWriter();// 将参数值写入响应out.println(code);// 刷新并关闭输出流out.flush();out.close();}
}
XssFilter代码
package com.example.filterdemo1.filter;import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;
import jakarta.servlet.http.HttpServletRequest;
import java.io.IOException;@WebFilter("/text") // 只过滤/text路径的请求
public class XssFilter implements Filter {// 过滤器初始化方法(容器启动时执行一次)@Overridepublic void init(FilterConfig filterConfig) throws ServletException {System.out.println("XssFilter first"); // 初始化日志}// 过滤器销毁方法(容器关闭时执行)@Overridepublic void destroy() {System.out.println("XssFilter end"); // 销毁日志}// 过滤处理方法(每次请求时执行)@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,FilterChain filterChain) throws IOException, ServletException {System.out.println("XssFilter now"); // 处理请求日志// 类型转换获取HttpServletRequestHttpServletRequest requset = (HttpServletRequest) servletRequest;// 获取请求参数code的值String code = requset.getParameter("code");// 检查是否不包含<script>标签if (!code.contains("<script>")) {// 安全请求,放行filterChain.doFilter(servletRequest, servletResponse);} else {// 检测到潜在XSS攻击System.out.println("XssFilter fight!!"); // 攻击日志// 注意:这里只是记录日志,实际应该阻止请求继续处理}}
}
测试代码运行如下:
预启动
添加代码--text?code=<script>alert(1)</script> 正常执行可以在页面弹出1
显示受到了攻击
正常情况是这个样子--text?code=123
第二个例子:/admin
AdminServlet代码
package com.example.filterdemo1.Servlet;import jakarta.servlet.ServletException;
import jakarta.servlet.annotation.WebServlet;
import jakarta.servlet.http.HttpServlet;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import java.io.IOException;//管理员后台Servlet@WebServlet("/admin") // 定义Servlet访问路径为/admin
public class AdminServlet extends HttpServlet {// 处理HTTP GET请求@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {// 控制台输出欢迎信息System.out.println("Welcome to Admin Servlet");}
}
AdminFiler代码
package com.example.filterdemo1.filter;import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;
import jakarta.servlet.http.Cookie;
import jakarta.servlet.http.HttpServletRequest;
import java.io.IOException;// 管理员权限过滤器// 作用路径:/admin
@WebFilter("/admin") // 过滤所有访问/admin路径的请求
public class AdminFilter implements Filter {// 过滤器初始化方法(容器启动时执行一次)@Overridepublic void init(FilterConfig filterConfig) throws ServletException {System.out.println("XssFilter first"); // 初始化日志}// 过滤器销毁方法(容器关闭时执行)@Overridepublic void destroy() {System.out.println("XssFilter end"); // 销毁日志}/*** 过滤处理方法(每次访问/admin时执行)* 通过检查Cookie验证管理员权限*/@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,FilterChain filterChain) throws IOException, ServletException {// 转换请求对象以获取CookieHttpServletRequest requset = (HttpServletRequest) servletRequest;// 获取请求中的所有CookieCookie[] cookies = requset.getCookies();// 遍历所有Cookiefor (Cookie c : cookies) {String cName = c.getName(); // 获取Cookie名称String cValue = c.getValue(); // 获取Cookie值// 打印Cookie信息(调试用)System.out.println(cName);System.out.println(cValue);// 检查是否为管理员Cookieif (cName.equals("username") && cValue.equals("admin")) {// 验证通过,放行请求filterChain.doFilter(servletRequest, servletResponse);return; // 找到有效Cookie后立即返回} else {// 非管理员CookieSystem.out.println("NO ADMIN");}}}
}
实验结果如下:
会打印出Cookie值 因为是循环输出 Cookie都会被输出 admin认证成功 第二个password也会输出 但是没有对password进行判断 所有会输出NO ADMIN
