预防CSRF之过滤或拦截器token验证
CSRF,跨站请求伪造,伪造受信用户发起请求,获取用户的隐私信息,不流行但极为致命的安全攻击行为,服务端需要增强此类防御
Struts2拦截器检测非法请求踢出登录
常规的WEB工程前后台都会设置相关校验规则,并且保持一致。因此服务端收到不符合校验的参数表示该请求存在恶意篡改行为,应当限制并踢出登录
listener、filter、servlet的加载次序
在web.xml中经常会看到listener,filter,servlet的相关标签配置,它们分别是监听器、过滤器、容器,都是在项目启动的时候就可以进行初始化的加载动作
JAVA服务端GET请求URL中文参数乱码
公司的老WEB项目的内部链接跳转时使用了GET请求并且携带参数进行传递,在绝大多数情况没问题,但携带中文参数时后台获取的内容会出现乱码的问题(事实上我们并不建议用GET请求传递太多参数)
通过HttpClient实现服务端收发HTTP请求
JAVA服务端实现HTTP请求的方式有很多种(比如常见的socket操作),本文介绍采用Apache Jakarta Common下的子项目HttpClient来实现,个人当时引入此工具包主要为实现单点登录能力
自定义filter过滤器拦截未登录(非法)请求
在JAVA的WEB工程中我们可以将JSP页面文件放在WEB-INFO中限制用户进行URL直接访问,但静态资源如js、css文件却是需要被外部直接访问的,直接对外暴露又不太安全,可以通过自定义过滤器处理