1

Spring Framework 3.1 を使用してアプリケーションを構築しています

IDを表すパス変数を含むURLにコントローラーをマップしています。しかし、ユーザーが URL を改ざんしてパス変数の値を手動で変更することは望ましくありません。私は彼らがそうするのを制限したい。

私はすでにShallowEtagHeaderFilterを使ってみました。しかし、想定どおりに機能していません。フィルターの構成を見逃したのか、まったく機能していないのかわかりません。

これは、ディスパッチャ サーブレットとフィルタを構成した web.xml です。

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/applicationContext.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <servlet>
        <servlet-name>dispatcher</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>

    <filter>
        <filter-name>encodingFilter</filter-name>
        <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
        <init-param>
            <param-name>encoding</param-name>
            <param-value>UTF-8</param-value>
        </init-param>
        <init-param>
            <param-name>forceEncoding</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>

    <filter>
        <filter-name>eTagFilter</filter-name>
        <filter-class>com.abc.config.EtagFilter</filter-class>
    </filter>


    <servlet-mapping>
        <servlet-name>dispatcher</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>

    <filter-mapping>
        <filter-name>encodingFilter</filter-name>
        <url-pattern>/</url-pattern>
    </filter-mapping>

    <filter-mapping>
        <filter-name>eTagFilter</filter-name>
        <servlet-name>dispatcher</servlet-name>
    </filter-mapping>

    <session-config>
        <session-timeout>
            30
        </session-timeout>
    </session-config>

</web-app>

これで私を助けてください。

前もって感謝します。

4

1 に答える 1

1

ShallowEtagHeaderFilter がこの図にどのように適合するかわかりません。その機能を誤解していると思います。ブラウザのキャッシュからページを取得することで、ネットワーク トラフィックを削減することになっています。それはあなたとはまったく異なるシナリオです。

基本的に: ユーザーに URL を改ざんさせたくない場合は、URL がアプリケーションによって作成されたことを確認する方法が必要です。通常は、推測が容易ではないアルゴリズムを使用した何らかのチェックサム パラメーターです。

たとえば/site/12/user/12345/aB、 whereaBは に基づいて計算され/site/12/user/12345ます。ここで、ユーザーが URL を/site/13/user/12345/aBチェックサムに変更すると、間違っているため、404 または 400、または送信したいエラーを送信できます。

おそらく、チェックサム チェックをフィルターとして実装し、プレーンな URL に基づいてチェックサムを使用して URL を作成するユーティリティ メソッドを作成します (JSP タグも必要になる可能性があります)。

于 2012-05-04T13:50:38.453 に答える