历史版本37 :Java防盗链在报表上面的应用 返回文档
编辑时间: 内容长度:图片数:目录数: 修改原因:

目录:

1. 描述编辑

使用防盗链,来预防报表工程里的报表被直接访问或者被其他网站链接访问。
 注:需先将webroot目录部署在Tomcat下才可生效。
注:移动端访问也能起到防盗链作用。

2. 原理编辑

浏览器中直接输入报表URL的时候,它的头文件是空的,因此,可以在访问的时候做两个判断:头文件是否为空以及以什么页面进行跳转,如果不符合跳到错误页面即可。
1)什么是Referer?
这里的 Referer 指的是HTTP头部的一个字段,也称为HTTP来源地址(HTTP Referer),用来表示从哪儿链接到目前的网页,采用的格式是URL。换句话说,借着 HTTP Referer 头部网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。

222


2)什么是空Referer,什么时候会出现空Referer?
首先,我们对空Referer的定义为,Referer 头部的内容为空,或者,一个HTTP请求中根本不包含Referer头部。
那么什么时候HTTP请求会不包含Referer字段呢?根据Referer的定义,它的作用是指示一个请求是从哪里链接过来,那么当一个请求并不是由链接触发产生的,那么自然也就不需要指定这个请求的链接来源。
比如,直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含Referer字段的,因为这是一个“凭空产生”的HTTP请求,并不是从一个地方链接过去的。




222


那么在防盗链设置中,允许空Referer和不允许空Referer有什么区别?
在防盗链中,如果允许包含空的Referer,那么通过浏览器地址栏直接访问该资源URL是可以访问到的;
但如果不允许包含空的Referer,那么通过浏览器直接访问也是被禁止的。

3. 操作步骤编辑

3.1 添加class文件
编写一个类文件,用来判 断头文件是否为空,代码如下:
package com.fr.test; import java.io.IOException; import java.io.PrintWriter; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; public class Dodo implements Filter { public void destroy() { // TODO Auto-generated method stub } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse resp = (HttpServletResponse) response; String referer = req.getHeader("referer"); //下面的IP地址是正常页面请求 if(null != referer && (referer.trim().startsWith("http://localhost:8080")||referer.trim().startsWith("http://dev.fanruan.com/detail.html"))){ System.out.println("正常页面请求"+referer); chain.doFilter(req, resp); //下面的就是出现不是正常页面请求的时候跳转 }else{ System.out.println("盗链"+referer); req.getRequestDispatcher("/LdapLogin.jsp").forward(req, resp); } } public void init(FilterConfig arg0) throws ServletException { // TODO Auto-generated method stub } } 

222

注:条件语句说明如下
null != referer 表示referer不为空。
referer.trim().startsWith("http://localhost:8080") 指被访问的服务器地址,这句判断一定要有,因为正常访问状态下允许访问的链接跳转过来访问该链接开头的地址时,有两条申请,一个就是对该服务器的申请,如下图所示。此句表示允许访问以http://localhost:8080开头的链接。
referer.trim().startsWith("http://dev.fanruan.com/detail.html") 此处网址IP或端口号不能与被访问的服务器地址相同,表示允许该链接跳转到以localhost:8080开头的链接地址来进行访问。

222

将Dodo.java编译成class文件,并放在%TOMCAT_HOME%\WebReport\WEB-INF\classes\com\fr\test目录下。

222

3.2 修改web.xml文件
打开%TOMCAT_HOME%\webapps\webroot\WEB-INF下新建web.xml文件,配置一个过滤filter,在出现decision的时候执行过滤,代码如下:

222

<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version="2.4"> <display-name>Template WebApp</display-name> <mime-mapping> <extension>msi</extension> <mime-type>application/x-msi</mime-type> </mime-mapping> <filter> <filter-name>AuthFilter</filter-name> <filter-class>com.fr.test.Dodo</filter-class> </filter> <filter-mapping> <filter-name>AuthFilter</filter-name> <url-pattern>/decision/*</url-pattern> </filter-mapping> </web-app> 
两步就可以搞定了,如果属于盗链,则跳转至上述的LdapLogin错误页面,这里没有LdapLoign页面,所以直接跳转404。如果还想实现数据权限,则可以通过单点登录或者session注入的方式。

4. 效果测试编辑

准备两个html文件,放在外网http://dev.fanruan.com/服务器文件夹下。
注:在IE浏览器下,自带超链FR.doHyperlinkByGet()window.open()方法跳转的链接没有referer属性,会造成了防盗链失败,可以使用表单post提交或者a标签来完成跳转。
假设http://dev.fanruan.com/detail.html是正确的网址
<html> <body> <a href='http://localhost:8080/webroot/decision/view/report?viewlet=test.cpt'>防盗链测试,正确的链接地址</p>地址:http://localhost:8080/webroot/decision/view/report?viewlet=test.cpt</a> </body> <html>
假设http://dev.fanruan.com是盗链的网址
<html> <body><a href='http://localhost:8080/webroot/decision/view/report?viewlet=test.cpt'>防盗链测试,错误的链接地址</p>地址:http://localhost:8080/webroot/decision/view/report?viewlet=test.cpt</a> </body> </html>
4.1 情况一
通过http://dev.fanruan.com/detail.html跳转,跳转链接正确,即referer不为空且正确


222



222


4.2 情况二
通过http://dev.fanruan.com跳转,跳转链接错误,即referer不为空且错误


222




222


4.3 情况三
直接访问URL地址,即referer为空

222

5. 注意事项编辑

在IE浏览器下,自带超链FR.doHyperlinkByGet()window.open()方法跳转的链接没有referer属性,会造成了防盗链失败,可以使用表单post提交或者a标签来完成跳转。

上述是以a标签跳转链接为例,准备的两个html文件,放在外网www.finereporthelp.com服务器文件夹下的。
这里提供post提交方法,两个html文件内容为:
<html> <head> <title>FineReport Demo</title> <meta http-equiv="Content-Type" content="text/html; charset=GBK" /> <script type="text/javascript"> function post(URL, PARAMS,target) { var temp_form = document.createElement("form"); temp_form .action = URL; temp_form .target = target; temp_form .method = "post"; temp_form .style.display = "none"; for (var x in PARAMS) { var opt = document.createElement("textarea"); opt.name = x; opt.value = PARAMS[x]; temp_form .appendChild(opt); } document.body.appendChild(temp_form); temp_form .submit(); } </script> </head> <body> <p>测试</p> <input type="button" name="show" value="查询" onclick="post('/webroot/decision/view/report',{reportlet:'test.cpt',a:'111'},'_blank')"/> </body> </html>
同样可以实现防盗链的效果。