目錄
- 一、跨域過(guò)濾器CorsFilter
- 1.1���、配置示例
- 1.2�����、參數(shù)說(shuō)明
- 二����、CSRF保護(hù)過(guò)濾器CsrfPreventionFilter
- 2.1��、配置示例
- 2.2�����、參數(shù)說(shuō)明
- 三�、防止參數(shù)丟失過(guò)濾器FailedRequestFilter
- 四、獲取客戶(hù)端IP過(guò)濾器RemoteAddrFilter
- 4.1���、配置示例
- 4.2、參數(shù)說(shuō)明
- 五�����、獲取客戶(hù)端Host過(guò)濾器RemoteHostFilter
- 六、獲取原始客戶(hù)端IP過(guò)濾器RemoteIpFilter
- 6.1����、如何獲得原始的客戶(hù)端的IP地址
- 6.2、配置示例
- 七�、字符集編碼過(guò)濾器SetCharacterEncodingFilter
- 7.1、配置示例
- 7.2��、參數(shù)說(shuō)明
一���、跨域過(guò)濾器CorsFilter
org.apcache.catalina.filters.CorsFilter是跨域資源共享規(guī)范的一個(gè)實(shí)現(xiàn)�,常常用于前后端分離���,靜態(tài)資源與后端分離等情況���。它主要在HttpServletResponse中增加Access-Control-*頭,同時(shí)保護(hù)HTTP響應(yīng)避免拆分��,如果請(qǐng)求無(wú)效或者禁止訪問(wèn)���,則返回403響應(yīng)碼�����。
1.1�����、配置示例
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
<init-param>
<param-name>cors.allowed.origins</param-name>
<param-value>*</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.methods</param-name>
<param-value>GET,POST,HEAD,OPTIONS,PUT</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.headers</param-name>
<param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers</param-value>
</init-param>
<init-param>
<param-name>cors.exposed.headers</param-name>
<param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials</param-value>
</init-param>
<init-param>
<param-name>cors.support.credentials</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>cors.preflight.maxage</param-name>
<param-value>10</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
1.2��、參數(shù)說(shuō)明
1�����、cors.allowed.origins
允許訪問(wèn)的跨域資源列表��,"*"表示允許訪問(wèn)來(lái)自任何域的資源�����,多個(gè)域用逗號(hào)分隔�,默認(rèn)為"*"
2、cors.allowed.methods
可以用于訪問(wèn)資源的HTTP方法列表�,","分隔,用于跨域請(qǐng)求�。這些方法將出現(xiàn)在Prefligh(預(yù)檢請(qǐng)求)響應(yīng)頭Access-Control-Allow-Methods的一部分,t默認(rèn)為"GET, POST, HEAD, OPTIONS"
3��、cors.allowed.headers
構(gòu)造請(qǐng)求時(shí)可以使用的請(qǐng)求頭����,以","分隔,這些方法將出現(xiàn)在Prefligh(預(yù)檢請(qǐng)求)響應(yīng)頭Access-Control-Allow-Headers的一部分�����,默認(rèn)為Origin, Accept, X-Requested-With, Content-Type, Access-Control-Request-Method, Access-Control-Request-Headers
4��、cors.exposed.headers
瀏覽器允許訪問(wèn)的頭部信息列表��,","分隔��。這些方法將出現(xiàn)在Prefligh(預(yù)檢請(qǐng)求)響應(yīng)頭Access-Control-Allow-Headers的一部分��,默認(rèn)為空�。
5、cors.preflight.maxage
瀏覽器允許緩存的Preflght請(qǐng)求結(jié)果的時(shí)間��,單位為秒�。如果為負(fù)數(shù),則表示CorsFilter不會(huì)添加頭到Preflight響應(yīng)���,這些方法將出現(xiàn)在Prefligh(預(yù)檢請(qǐng)求)響應(yīng)頭Access-Control-Max-Age的一部分��,默認(rèn)為1800.
6����、cors.support.credentials
表示資源是否支持用戶(hù)證書(shū),這些方法將出現(xiàn)在Prefligh(預(yù)檢請(qǐng)求)響應(yīng)頭Access-Control-Allow-Credentials的一部分�,默認(rèn)為true
7、cors.request.decorate
Cors規(guī)范屬性是否已經(jīng)添加到HttpServletRequest���,默認(rèn)為true��。CorsFiter會(huì)為HttpServletRequest添加請(qǐng)求相關(guān)信息��,cors.request.decorate配置為true����,那么以下屬性將會(huì)被添加
1)cors.isCorsRequest:用于請(qǐng)求是否為Cors請(qǐng)求�。
2)cors.request.origin:源URL,請(qǐng)求源自的頁(yè)面URL��。
3)cors.request.type:Cors的請(qǐng)求類(lèi)型�����,如下:
SIMPLE:非Preflight請(qǐng)求為先導(dǎo)的請(qǐng)求�����。
ACTUAL:以Preflight請(qǐng)求為先導(dǎo)的請(qǐng)求。
PRE_FLIGHT:Preflight請(qǐng)求
NOT_CORS:正常同域請(qǐng)求
INVALID_CORS:無(wú)效的域請(qǐng)求
4)cors.request.headers:作為Preflight請(qǐng)求Access-Control-Request-Header頭發(fā)送的請(qǐng)求頭信息���。
二、CSRF保護(hù)過(guò)濾器CsrfPreventionFilter
org.apcache.catalina.filters.CsrfPreventionFilter為Web應(yīng)用提供了基本的CSRF保護(hù)��。返回的客戶(hù)端的所有鏈接均通過(guò)HttpServletResponse.encodeRedirectURL(String)與HttpServletResponse.encodeURL(String)進(jìn)行編碼�,該過(guò)濾器生成一個(gè)隨機(jī)數(shù)并存儲(chǔ)到會(huì)話(huà)session中進(jìn)行對(duì)比,URL使用該隨機(jī)數(shù)進(jìn)行編碼�����。當(dāng)接收到下一個(gè)請(qǐng)求時(shí)���,請(qǐng)求中隨機(jī)數(shù)與會(huì)話(huà)中的進(jìn)行對(duì)比�,只有兩者相同時(shí)����,請(qǐng)求才會(huì)被允許。
2.1����、配置示例
<filter>
<filter-name>CsrfPreventionFilter</filter-name>
<filter-class>org.apache.catalina.filters.CsrfPreventionFilter</filter-class>
<init-param>
<param-name>denyStatus</param-name>
<param-value>403</param-value>
</init-param>
<init-param>
<param-name>entryPoints</param-name>
<param-value>/html,/html/list</param-value>
</init-param>
<init-param>
<param-name>nonceCacheSize</param-name>
<param-value>5</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CsrfPreventionFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
2.2�����、參數(shù)說(shuō)明
1�、denyStatus:HTTP響應(yīng)嗎���,用于駁回拒絕請(qǐng)求���,默認(rèn)為403
2、entryPoints:以","為分隔的URL列表�,這些列表將不會(huì)進(jìn)行隨機(jī)數(shù)檢測(cè)(主要用于通過(guò)導(dǎo)航離開(kāi)受保護(hù)應(yīng)用,之后再返回)
if ("GET".equals(req.getMethod()) && this.entryPoints.contains(this.getRequestedPath(req))) {
skipNonceCheck = true;
}
3���、nonceCacheSize:隨機(jī)數(shù)緩存大小����。先前發(fā)布的隨機(jī)數(shù)被緩存到一個(gè)LRU緩存中以支持并發(fā)請(qǐng)求�,有限的用于瀏覽器刷新等行為(可能導(dǎo)致隨機(jī)數(shù)不是當(dāng)前的),默認(rèn)為5
private int nonceCacheSize = 5;
....
if (nonceCache == null) {
nonceCache = new CsrfPreventionFilter.LruCache(this.nonceCacheSize);
if (session == null) {
session = req.getSession(true);
}
session.setAttribute("org.apache.catalina.filters.CSRF_NONCE", nonceCache);
}
4����、randomClass:用于生成隨機(jī)數(shù)的類(lèi),必須是java.util.Random實(shí)例,如不設(shè)置默認(rèn)為java.security.SecureRandom
三��、防止參數(shù)丟失過(guò)濾器FailedRequestFilter
org.apcache.catalina.filters.FailedRequestFilter用于觸發(fā)請(qǐng)求的參數(shù)解析����,當(dāng)參數(shù)解析失敗時(shí),將會(huì)拒絕請(qǐng)求����,該Filter用于確保客戶(hù)端提交的參數(shù)信息不發(fā)生丟失��。該過(guò)濾器的原理是:先調(diào)用ServletRequest.getParameter(首次調(diào)用會(huì)觸發(fā)Tomcat服務(wù)器的請(qǐng)求參數(shù)解析���,如果參數(shù)解析失敗,將結(jié)果放到請(qǐng)求屬性org.apache.catalina.parameter_parse_failed中)���,之后判斷屬性org.apache.catalina.parameter_parse_failed的值����,如果不為空則直接返回400�����。
為了能正確解析參數(shù),需要該Filter之前設(shè)置字符集編碼過(guò)濾器SetCharacterEncodingFilter�。此外,該過(guò)濾器是不支持r初始化參數(shù)的
// 判斷是否為有效的請(qǐng)求:org.apache.catalina.parameter_parse_failed為null
private boolean isGoodRequest(ServletRequest request) {
request.getParameter("none");
return request.getAttribute("org.apache.catalina.parameter_parse_failed") == null;
}
四����、獲取客戶(hù)端IP過(guò)濾器RemoteAddrFilter
org.apcache.catalina.filters.RemoteAddrFiler允許比較提交的客戶(hù)端IP地址(通過(guò)ServletRequest.getRemoteAddr獲取)是否符合指定正則表達(dá)式��。
4.1��、配置示例
<filter>
<filter-name>Remote Address Filter</filter-name>
<filter-class>org.apache.catalina.filters.RemoteAddrFilter</filter-class>
<init-param>
<param-name>allow</param-name>
<param-value>127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>Remote Address Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
4.2�、參數(shù)說(shuō)明
1、allow:指定允許訪問(wèn)的客戶(hù)端IP地址
2��、deny:拒絕訪問(wèn)的客戶(hù)端地址
3����、denyStatus:拒絕請(qǐng)求時(shí)返回的HTTP響應(yīng)嗎。
五���、獲取客戶(hù)端Host過(guò)濾器RemoteHostFilter
org.apcache.catalina.filters.RemoteHostFiler允許比較提交請(qǐng)求的客戶(hù)端主機(jī)名是否符合指定的正則表達(dá)式�����,以確定是否允許繼續(xù)處理請(qǐng)求����。參數(shù)同RemoteAddrFilter
六、獲取原始客戶(hù)端IP過(guò)濾器RemoteIpFilter
當(dāng)客戶(hù)端通過(guò)HTTP代理或者負(fù)載均衡訪問(wèn)服務(wù)器時(shí)�,對(duì)于服務(wù)器來(lái)說(shuō),請(qǐng)求直接源自前置的代理服務(wù)器����,此時(shí)獲取到的遠(yuǎn)程IP實(shí)際為代理服務(wù)器的IP地址。
6.1�、如何獲得原始的客戶(hù)端的IP地址
HTTP協(xié)議通過(guò)X-Forwarded-For頭信息記錄了資客戶(hù)端到應(yīng)用服務(wù)器前置代理的IP地址,RemoteIpFilter通過(guò)解析該請(qǐng)求頭��,將請(qǐng)求中的IP地址與主機(jī)名替換為客戶(hù)端真實(shí)的IP地址和主機(jī)信息��,此外還可以通過(guò)X-Forwardred-Proto請(qǐng)求頭替換當(dāng)前的協(xié)議名稱(chēng)http/https����、服務(wù)器端口及request.secure��。
X-Forwarded-For的格式如下:
X-Forwarded-For: client, proxy1, proxy2
最左側(cè)client為最原始的客戶(hù)端IP�����,如上示例中客戶(hù)端經(jīng)過(guò)了proxy1�����、proxy2、proxy3三級(jí)代理(最后一層proxy3不顯示�����,通過(guò)ServletRquest.getRemoteAddr獲?�。?�。在負(fù)載均衡的情況下��,RemoteAddrFilter和RemoteHostFilter需要與該過(guò)濾器配合使用����,否則無(wú)法正確限制訪問(wèn)客戶(hù)端。
通常我們獲取X-Forwarded-For使用如下Java代碼:
public static String getIp(HttpServletRequest request) {
String requestAddr = request.getHeader("x-forwarded-for");
if (requestAddr == null || requestAddr.length() == 0 || "unknown".equalsIgnoreCase(requestAddr)) {
requestAddr = request.getHeader("Proxy-Client-IP");
}
if (requestAddr == null || requestAddr.length() == 0 || "unknown".equalsIgnoreCase(requestAddr)) {
requestAddr = request.getHeader("WL-Proxy-Client-IP");
}
if (requestAddr == null || requestAddr.length() == 0 || "unknown".equalsIgnoreCase(requestAddr)) {
requestAddr = request.getRemoteAddr();
}
return requestAddr;
}
6.2��、配置示例
1)基本處理X-Forwarded-For頭的配置
<filter>
<filter-name>RemoteIpFilter</filter-name>
<filter-class>org.apache.catalina.filters.RemoteIpFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>RemoteIpFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
2)處理X-Forwarded-For與x-forwarded-proto頭部的配置
<filter>
<filter-name>RemoteIpFilter</filter-name>
<filter-class>org.apache.catalina.filters.RemoteIpFilter</filter-class>
<init-param>
<param-name>protocolHeader</param-name>
<param-value>x-forwarded-proto</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>RemoteIpFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
3)使用內(nèi)部代理的高級(jí)配置
<filter>
<filter-name>RemoteIpFilter</filter-name>
<filter-class>org.apache.catalina.filters.RemoteIpFilter</filter-class>
<init-param>
<param-name>allowedInternalProxies</param-name>
<param-value>192\.168\.0\.10|192\.168\.0\.11</param-value>
</init-param>
<init-param>
<param-name>remoteIpHeader</param-name>
<param-value>x-forwarded-for</param-value>
</init-param>
<init-param>
<param-name>remoteIpProxiesHeader</param-name>
<param-value>x-forwarded-by</param-value>
</init-param>
<init-param>
<param-name>protocolHeader</param-name>
<param-value>x-forwarded-proto</param-value>
</init-param>
</filter>
4)使用可信任代理高級(jí)配置
<filter>
<filter-name>RemoteIpFilter</filter-name>
<filter-class>org.apache.catalina.filters.RemoteIpFilter</filter-class>
<init-param>
<param-name>allowedInternalProxies</param-name>
<param-value>192\.168\.0\.10|192\.168\.0\.11</param-value>
</init-param>
<init-param>
<param-name>remoteIpHeader</param-name>
<param-value>x-forwarded-for</param-value>
</init-param>
<init-param>
<param-name>remoteIpProxiesHeader</param-name>
<param-value>x-forwarded-by</param-value>
</init-param>
<init-param>
<param-name>trustedProxies</param-name>
<param-value>proxy1|proxy2</param-value>
</init-param>
</filter>
七�、字符集編碼過(guò)濾器SetCharacterEncodingFilter
提供了一種設(shè)置字符集編碼的方式,通常情況下默認(rèn)ISO-8859-1編碼�����,但實(shí)際生產(chǎn)環(huán)境推薦使用UTF-8編碼���,而請(qǐng)求中的編碼可以在未指定編碼時(shí)使用�����,也可以強(qiáng)制覆蓋����。
7.1、配置示例
<filter>
<filter-name>SetCharacterEncodingFilter</filter-name>
<filter-class>org.apache.catalina.filters.SetCharacterEncodingFilter</filter-class>
<init-param>
<param-name>encoding</param-name>
<param-value>UTF-8</param-value>
</init-param>
<init-param>
<param-name>ignore</param-name>
<param-value>false</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>SetCharacterEncodingFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
7.2���、參數(shù)說(shuō)明
1�����、encoding:指定的字符集編碼
2���、ignore:表示是否忽略客戶(hù)端請(qǐng)求設(shè)置的字符集編碼,如果為true那么都會(huì)將請(qǐng)求字符集編碼覆蓋�����,如果為false��,請(qǐng)求沒(méi)有指定字符集編碼時(shí)設(shè)置���。默認(rèn)為false
以上就是詳解Tomcat常用的過(guò)濾器的詳細(xì)內(nèi)容��,更多關(guān)于Tomcat過(guò)濾器的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章�����!
