目錄
- 一、跨域過濾器CorsFilter
- 二�、CSRF保護過濾器CsrfPreventionFilter
- 三���、防止參數丟失過濾器FailedRequestFilter
- 四���、獲取客戶端IP過濾器RemoteAddrFilter
- 4.1�����、配置示例
- 4.2����、參數說明
- 五����、獲取客戶端Host過濾器RemoteHostFilter
- 六、獲取原始客戶端IP過濾器RemoteIpFilter
- 6.1、如何獲得原始的客戶端的IP地址
- 6.2、配置示例
- 七�、字符集編碼過濾器SetCharacterEncodingFilter
一、跨域過濾器CorsFilter
org.apcache.catalina.filters.CorsFilter是跨域資源共享規范的一個實現����,常常用于前后端分離�����,靜態資源與后端分離等情況����。它主要在HttpServletResponse中增加Access-Control-*頭,同時保護HTTP響應避免拆分��,如果請求無效或者禁止訪問��,則返回403響應碼����。
1.1�、配置示例
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
<init-param>
<param-name>cors.allowed.origins</param-name>
<param-value>*</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.methods</param-name>
<param-value>GET,POST,HEAD,OPTIONS,PUT</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.headers</param-name>
<param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers</param-value>
</init-param>
<init-param>
<param-name>cors.exposed.headers</param-name>
<param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials</param-value>
</init-param>
<init-param>
<param-name>cors.support.credentials</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>cors.preflight.maxage</param-name>
<param-value>10</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
1.2、參數說明
1���、cors.allowed.origins
允許訪問的跨域資源列表,"*"表示允許訪問來自任何域的資源�,多個域用逗號分隔����,默認為"*"
2����、cors.allowed.methods
可以用于訪問資源的HTTP方法列表,","分隔�����,用于跨域請求���。這些方法將出現在Prefligh(預檢請求)響應頭Access-Control-Allow-Methods的一部分�����,t默認為"GET, POST, HEAD, OPTIONS"
3、cors.allowed.headers
構造請求時可以使用的請求頭,以","分隔,這些方法將出現在Prefligh(預檢請求)響應頭Access-Control-Allow-Headers的一部分�,默認為Origin, Accept, X-Requested-With, Content-Type, Access-Control-Request-Method, Access-Control-Request-Headers
4�����、cors.exposed.headers
瀏覽器允許訪問的頭部信息列表�����,","分隔。這些方法將出現在Prefligh(預檢請求)響應頭Access-Control-Allow-Headers的一部分���,默認為空。
5�����、cors.preflight.maxage
瀏覽器允許緩存的Preflght請求結果的時間,單位為秒�。如果為負數,則表示CorsFilter不會添加頭到Preflight響應�����,這些方法將出現在Prefligh(預檢請求)響應頭Access-Control-Max-Age的一部分,默認為1800.
6�、cors.support.credentials
表示資源是否支持用戶證書���,這些方法將出現在Prefligh(預檢請求)響應頭Access-Control-Allow-Credentials的一部分����,默認為true
7�、cors.request.decorate
Cors規范屬性是否已經添加到HttpServletRequest,默認為true。CorsFiter會為HttpServletRequest添加請求相關信息�����,cors.request.decorate配置為true�,那么以下屬性將會被添加
1)cors.isCorsRequest:用于請求是否為Cors請求。
2)cors.request.origin:源URL,請求源自的頁面URL。
3)cors.request.type:Cors的請求類型����,如下:
SIMPLE:非Preflight請求為先導的請求��。
ACTUAL:以Preflight請求為先導的請求�。
PRE_FLIGHT:Preflight請求
NOT_CORS:正常同域請求
INVALID_CORS:無效的域請求
4)cors.request.headers:作為Preflight請求Access-Control-Request-Header頭發送的請求頭信息。
二�、CSRF保護過濾器CsrfPreventionFilter
org.apcache.catalina.filters.CsrfPreventionFilter為Web應用提供了基本的CSRF保護��。返回的客戶端的所有鏈接均通過HttpServletResponse.encodeRedirectURL(String)與HttpServletResponse.encodeURL(String)進行編碼,該過濾器生成一個隨機數并存儲到會話session中進行對比��,URL使用該隨機數進行編碼����。當接收到下一個請求時�,請求中隨機數與會話中的進行對比����,只有兩者相同時,請求才會被允許。
2.1���、配置示例
<filter>
<filter-name>CsrfPreventionFilter</filter-name>
<filter-class>org.apache.catalina.filters.CsrfPreventionFilter</filter-class>
<init-param>
<param-name>denyStatus</param-name>
<param-value>403</param-value>
</init-param>
<init-param>
<param-name>entryPoints</param-name>
<param-value>/html,/html/list</param-value>
</init-param>
<init-param>
<param-name>nonceCacheSize</param-name>
<param-value>5</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CsrfPreventionFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
2.2、參數說明
1、denyStatus:HTTP響應嗎��,用于駁回拒絕請求�,默認為403
2、entryPoints:以","為分隔的URL列表,這些列表將不會進行隨機數檢測(主要用于通過導航離開受保護應用,之后再返回)
if ("GET".equals(req.getMethod()) && this.entryPoints.contains(this.getRequestedPath(req))) {
skipNonceCheck = true;
}
3��、nonceCacheSize:隨機數緩存大小�����。先前發布的隨機數被緩存到一個LRU緩存中以支持并發請求�,有限的用于瀏覽器刷新等行為(可能導致隨機數不是當前的)�����,默認為5
private int nonceCacheSize = 5;
....
if (nonceCache == null) {
nonceCache = new CsrfPreventionFilter.LruCache(this.nonceCacheSize);
if (session == null) {
session = req.getSession(true);
}
session.setAttribute("org.apache.catalina.filters.CSRF_NONCE", nonceCache);
}
4����、randomClass:用于生成隨機數的類�,必須是java.util.Random實例��,如不設置默認為java.security.SecureRandom
三����、防止參數丟失過濾器FailedRequestFilter
org.apcache.catalina.filters.FailedRequestFilter用于觸發請求的參數解析�����,當參數解析失敗時��,將會拒絕請求,該Filter用于確?��?蛻舳颂峤坏膮敌畔⒉话l生丟失。該過濾器的原理是:先調用ServletRequest.getParameter(首次調用會觸發Tomcat服務器的請求參數解析����,如果參數解析失敗��,將結果放到請求屬性org.apache.catalina.parameter_parse_failed中),之后判斷屬性org.apache.catalina.parameter_parse_failed的值����,如果不為空則直接返回400�。
為了能正確解析參數����,需要該Filter之前設置字符集編碼過濾器SetCharacterEncodingFilter���。此外�����,該過濾器是不支持r初始化參數的
// 判斷是否為有效的請求:org.apache.catalina.parameter_parse_failed為null
private boolean isGoodRequest(ServletRequest request) {
request.getParameter("none");
return request.getAttribute("org.apache.catalina.parameter_parse_failed") == null;
}
四、獲取客戶端IP過濾器RemoteAddrFilter
org.apcache.catalina.filters.RemoteAddrFiler允許比較提交的客戶端IP地址(通過ServletRequest.getRemoteAddr獲?�。┦欠穹现付ㄕ齽t表達式�����。
4.1��、配置示例
<filter>
<filter-name>Remote Address Filter</filter-name>
<filter-class>org.apache.catalina.filters.RemoteAddrFilter</filter-class>
<init-param>
<param-name>allow</param-name>
<param-value>127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>Remote Address Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
4.2�����、參數說明
1、allow:指定允許訪問的客戶端IP地址
2�、deny:拒絕訪問的客戶端地址
3�、denyStatus:拒絕請求時返回的HTTP響應嗎��。
五�、獲取客戶端Host過濾器RemoteHostFilter
org.apcache.catalina.filters.RemoteHostFiler允許比較提交請求的客戶端主機名是否符合指定的正則表達式���,以確定是否允許繼續處理請求��。參數同RemoteAddrFilter
六���、獲取原始客戶端IP過濾器RemoteIpFilter
當客戶端通過HTTP代理或者負載均衡訪問服務器時���,對于服務器來說,請求直接源自前置的代理服務器,此時獲取到的遠程IP實際為代理服務器的IP地址。
6.1�����、如何獲得原始的客戶端的IP地址
HTTP協議通過X-Forwarded-For頭信息記錄了資客戶端到應用服務器前置代理的IP地址�,RemoteIpFilter通過解析該請求頭,將請求中的IP地址與主機名替換為客戶端真實的IP地址和主機信息,此外還可以通過X-Forwardred-Proto請求頭替換當前的協議名稱http/https���、服務器端口及request.secure��。
X-Forwarded-For的格式如下:
X-Forwarded-For: client, proxy1, proxy2
最左側client為最原始的客戶端IP��,如上示例中客戶端經過了proxy1����、proxy2�、proxy3三級代理(最后一層proxy3不顯示�����,通過ServletRquest.getRemoteAddr獲取)����。在負載均衡的情況下,RemoteAddrFilter和RemoteHostFilter需要與該過濾器配合使用�����,否則無法正確限制訪問客戶端。
通常我們獲取X-Forwarded-For使用如下Java代碼:
public static String getIp(HttpServletRequest request) {
String requestAddr = request.getHeader("x-forwarded-for");
if (requestAddr == null || requestAddr.length() == 0 || "unknown".equalsIgnoreCase(requestAddr)) {
requestAddr = request.getHeader("Proxy-Client-IP");
}
if (requestAddr == null || requestAddr.length() == 0 || "unknown".equalsIgnoreCase(requestAddr)) {
requestAddr = request.getHeader("WL-Proxy-Client-IP");
}
if (requestAddr == null || requestAddr.length() == 0 || "unknown".equalsIgnoreCase(requestAddr)) {
requestAddr = request.getRemoteAddr();
}
return requestAddr;
}
6.2����、配置示例
1)基本處理X-Forwarded-For頭的配置
<filter>
<filter-name>RemoteIpFilter</filter-name>
<filter-class>org.apache.catalina.filters.RemoteIpFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>RemoteIpFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
2)處理X-Forwarded-For與x-forwarded-proto頭部的配置
<filter>
<filter-name>RemoteIpFilter</filter-name>
<filter-class>org.apache.catalina.filters.RemoteIpFilter</filter-class>
<init-param>
<param-name>protocolHeader</param-name>
<param-value>x-forwarded-proto</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>RemoteIpFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
3)使用內部代理的高級配置
<filter>
<filter-name>RemoteIpFilter</filter-name>
<filter-class>org.apache.catalina.filters.RemoteIpFilter</filter-class>
<init-param>
<param-name>allowedInternalProxies</param-name>
<param-value>192\.168\.0\.10|192\.168\.0\.11</param-value>
</init-param>
<init-param>
<param-name>remoteIpHeader</param-name>
<param-value>x-forwarded-for</param-value>
</init-param>
<init-param>
<param-name>remoteIpProxiesHeader</param-name>
<param-value>x-forwarded-by</param-value>
</init-param>
<init-param>
<param-name>protocolHeader</param-name>
<param-value>x-forwarded-proto</param-value>
</init-param>
</filter>
4)使用可信任代理高級配置
<filter>
<filter-name>RemoteIpFilter</filter-name>
<filter-class>org.apache.catalina.filters.RemoteIpFilter</filter-class>
<init-param>
<param-name>allowedInternalProxies</param-name>
<param-value>192\.168\.0\.10|192\.168\.0\.11</param-value>
</init-param>
<init-param>
<param-name>remoteIpHeader</param-name>
<param-value>x-forwarded-for</param-value>
</init-param>
<init-param>
<param-name>remoteIpProxiesHeader</param-name>
<param-value>x-forwarded-by</param-value>
</init-param>
<init-param>
<param-name>trustedProxies</param-name>
<param-value>proxy1|proxy2</param-value>
</init-param>
</filter>
七�、字符集編碼過濾器SetCharacterEncodingFilter
提供了一種設置字符集編碼的方式,通常情況下默認ISO-8859-1編碼�����,但實際生產環境推薦使用UTF-8編碼,而請求中的編碼可以在未指定編碼時使用�����,也可以強制覆蓋��。
7.1����、配置示例
<filter>
<filter-name>SetCharacterEncodingFilter</filter-name>
<filter-class>org.apache.catalina.filters.SetCharacterEncodingFilter</filter-class>
<init-param>
<param-name>encoding</param-name>
<param-value>UTF-8</param-value>
</init-param>
<init-param>
<param-name>ignore</param-name>
<param-value>false</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>SetCharacterEncodingFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
7.2�、參數說明
1、encoding:指定的字符集編碼
2����、ignore:表示是否忽略客戶端請求設置的字符集編碼,如果為true那么都會將請求字符集編碼覆蓋����,如果為false�����,請求沒有指定字符集編碼時設置��。默認為false
以上就是詳解Tomcat常用的過濾器的詳細內容����,更多關于Tomcat過濾器的資料請關注腳本之家其它相關文章��!
