Tomcat經常使用的過濾器
前言
以前我很膚淺的覺得爲了實現某種請求過濾功能(好比圖片轉換、文件上傳、安全認證等),都須要本身去實現javax.servlet.Filter。以後在web.xml中配置便可。html
但事實上,Tomcat已經提供了部分相關的過濾器(本文只介紹經常使用的7個過濾器),只須要簡單配置就可使用。最近經過系統學習Tomcat架構以後,結合部分源碼記錄總結最經常使用的幾種過濾器。java
參考資料《Tomcat架構解析》(有須要PFD電子書的朋友能夠評論或者私信),Tomcat官方Filter配置(Tomcat 8爲例)web
1、跨域過濾器CorsFilter
org.apcache.catalina.filters.CorsFilter是跨域資源共享規範的一個實現,經常用於先後端分離,靜態資源與後端分離等狀況。它主要在HttpServletResponse中增長Access-Control-*頭,同時保護HTTP響應避免拆分,若是請求無效或者禁止訪問,則返回403響應碼。正則表達式
配置示例
<filter> <filter-name>CorsFilter</filter-name> <filter-class>org.apache.catalina.filters.CorsFilter</filter-class> <init-param> <param-name>cors.allowed.origins</param-name> <param-value>*</param-value> </init-param> <init-param> <param-name>cors.allowed.methods</param-name> <param-value>GET,POST,HEAD,OPTIONS,PUT</param-value> </init-param> <init-param> <param-name>cors.allowed.headers</param-name> <param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers</param-value> </init-param> <init-param> <param-name>cors.exposed.headers</param-name> <param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials</param-value> </init-param> <init-param> <param-name>cors.support.credentials</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>cors.preflight.maxage</param-name> <param-value>10</param-value> </init-param> </filter> <filter-mapping> <filter-name>CorsFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
參數說明
一、cors.allowed.origins
容許訪問的跨域資源列表,"*"表示容許訪問來自任何域的資源,多個域用逗號分隔,默認爲"*"apache
二、cors.allowed.methods
能夠用於訪問資源的HTTP方法列表,","分隔,用於跨域請求。這些方法將出如今Prefligh(預檢請求)響應頭Access-Control-Allow-Methods的一部分,t默認爲"GET, POST, HEAD, OPTIONS"後端
三、cors.allowed.headers
構造請求時可使用的請求頭,以","分隔,這些方法將出如今Prefligh(預檢請求)響應頭Access-Control-Allow-Headers的一部分,默認爲Origin, Accept, X-Requested-With, Content-Type, Access-Control-Request-Method, Access-Control-Request-Headers跨域
四、cors.exposed.headers
瀏覽器容許訪問的頭部信息列表,","分隔。這些方法將出如今Prefligh(預檢請求)響應頭Access-Control-Allow-Headers的一部分,默認爲空。瀏覽器
五、cors.preflight.maxage
瀏覽器容許緩存的Preflght請求結果的時間,單位爲秒。若是爲負數,則表示CorsFilter不會添加頭到Preflight響應,這些方法將出如今Prefligh(預檢請求)響應頭Access-Control-Max-Age的一部分,默認爲1800.緩存
六、cors.support.credentials
表示資源是否支持用戶證書,這些方法將出如今Prefligh(預檢請求)響應頭Access-Control-Allow-Credentials的一部分,默認爲truetomcat
七、cors.request.decorate
Cors規範屬性是否已經添加到HttpServletRequest,默認爲true。CorsFiter會爲HttpServletRequest添加請求相關信息,cors.request.decorate配置爲true,那麼如下屬性將會被添加
1)cors.isCorsRequest: 用於請求是否爲Cors請求。
2)cors.request.origin: 源URL,請求源自的頁面URL。
3)cors.request.type: Cors的請求類型,以下:
SIMPLE: 非Preflight請求爲先導的請求。
ACTUAL: 以Preflight請求爲先導的請求。
PRE_FLIGHT: Preflight請求
NOT_CORS: 正常同域請求
INVALID_CORS: 無效的域請求
4)cors.request.headers: 做爲Preflight請求Access-Control-Request-Header頭髮送的請求頭信息。
2、CSRF保護過濾器CsrfPreventionFilter
org.apcache.catalina.filters.CsrfPreventionFilter爲Web應用提供了基本的CSRF保護。返回的客戶端的全部連接均經過HttpServletResponse.encodeRedirectURL(String)與HttpServletResponse.encodeURL(String)進行編碼,該過濾器生成一個隨機數並存儲到會話session中進行對比,URL使用該隨機數進行編碼。當接收到下一個請求時,請求中隨機數與會話中的進行對比,只有二者相同時,請求才會被容許。
配置示例
<filter> <filter-name>CsrfPreventionFilter</filter-name> <filter-class>org.apache.catalina.filters.CsrfPreventionFilter</filter-class> <init-param> <param-name>denyStatus</param-name> <param-value>403</param-value> </init-param> <init-param> <param-name>entryPoints</param-name> <param-value>/html,/html/list</param-value> </init-param> <init-param> <param-name>nonceCacheSize</param-name> <param-value>5</param-value> </init-param> </filter> <filter-mapping> <filter-name>CsrfPreventionFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
參數說明
一、denyStatus:HTTP響應嗎,用於駁回拒絕請求,默認爲403
二、entryPoints:以","爲分隔的URL列表,這些列表將不會進行隨機數檢測(主要用於經過導航離開受保護應用,以後再返回)
if ("GET".equals(req.getMethod()) && this.entryPoints.contains(this.getRequestedPath(req))) { skipNonceCheck = true; }
三、nonceCacheSize:隨機數緩存大小。先前發佈的隨機數被緩存到一個LRU緩存中以支持併發請求,有限的用於瀏覽器刷新等行爲(可能致使隨機數不是當前的),默認爲5
private int nonceCacheSize = 5; .... if (nonceCache == null) { nonceCache = new CsrfPreventionFilter.LruCache(this.nonceCacheSize); if (session == null) { session = req.getSession(true); } session.setAttribute("org.apache.catalina.filters.CSRF_NONCE", nonceCache); }
四、randomClass:用於生成隨機數的類,必須是java.util.Random實例,如不設置默認爲java.security.SecureRandom
3、防止參數丟失過濾器FailedRequestFilter
org.apcache.catalina.filters.FailedRequestFilter用於觸發請求的參數解析,當參數解析失敗時,將會拒絕請求,該Filter用於確保客戶端提交的參數信息不發生丟失。該過濾器的原理是:先調用ServletRequest.getParameter(首次調用會觸發Tomcat服務器的請求參數解析,若是參數解析失敗,將結果放到請求屬性org.apache.catalina.parameter_parse_failed中),以後判斷屬性org.apache.catalina.parameter_parse_failed的值,若是不爲空則直接返回400。
爲了能正確解析參數,須要該Filter以前設置字符集編碼過濾器SetCharacterEncodingFilter。此外,該過濾器是不支持r初始化參數的
// 判斷是否爲有效的請求:org.apache.catalina.parameter_parse_failed爲null private boolean isGoodRequest(ServletRequest request) { request.getParameter("none"); return request.getAttribute("org.apache.catalina.parameter_parse_failed") == null; }
4、獲取客戶端IP過濾器RemoteAddrFilter
org.apcache.catalina.filters.RemoteAddrFiler容許比較提交的客戶端IP地址(經過ServletRequest.getRemoteAddr獲取)是否符合指定正則表達式。
配置示例
<filter> <filter-name>Remote Address Filter</filter-name> <filter-class>org.apache.catalina.filters.RemoteAddrFilter</filter-class> <init-param> <param-name>allow</param-name> <param-value>127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1</param-value> </init-param> </filter> <filter-mapping> <filter-name>Remote Address Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
參數說明
一、allow:指定容許訪問的客戶端IP地址
二、deny:拒絕訪問的客戶端地址
三、denyStatus:拒絕請求時返回的HTTP響應嗎。
5、獲取客戶端Host過濾器RemoteHostFilter
org.apcache.catalina.filters.RemoteHostFiler容許比較提交請求的客戶端主機名是否符合指定的正則表達式,以肯定是否容許繼續處理請求。參數同RemoteAddrFilter
6、獲取原始客戶端IP過濾器RemoteIpFilter
當客戶端經過HTTP代理或者負載均衡訪問服務器時,對於服務器來講,請求直接源自前置的代理服務器,此時獲取到的遠程IP實際爲代理服務器的IP地址。
這時候如何得到原始的客戶端的IP地址呢?
HTTP協議經過X-Forwarded-For頭信息記錄了資客戶端到應用服務器前置代理的IP地址,RemoteIpFilter經過解析該請求頭,將請求中的IP地址與主機名替換爲客戶端真實的IP地址和主機信息,此外還能夠經過X-Forwardred-Proto請求頭替換當前的協議名稱http/https、服務器端口及request.secure。
X-Forwarded-For的格式以下:
X-Forwarded-For: client, proxy1, proxy2
最左側client爲最原始的客戶端IP,如上示例中客戶端通過了proxy一、proxy二、proxy3三級代理(最後一層proxy3不顯示,經過ServletRquest.getRemoteAddr獲取)。在負載均衡的狀況下,RemoteAddrFilter和RemoteHostFilter須要與該過濾器配合使用,不然沒法正確限制訪問客戶端。
一般咱們獲取X-Forwarded-For使用以下Java代碼:
public static String getIp(HttpServletRequest request) { String requestAddr = request.getHeader("x-forwarded-for"); if (requestAddr == null || requestAddr.length() == 0 || "unknown".equalsIgnoreCase(requestAddr)) { requestAddr = request.getHeader("Proxy-Client-IP"); } if (requestAddr == null || requestAddr.length() == 0 || "unknown".equalsIgnoreCase(requestAddr)) { requestAddr = request.getHeader("WL-Proxy-Client-IP"); } if (requestAddr == null || requestAddr.length() == 0 || "unknown".equalsIgnoreCase(requestAddr)) { requestAddr = request.getRemoteAddr(); } return requestAddr; }
配置示例
1)基本處理X-Forwarded-For頭的配置
<filter> <filter-name>RemoteIpFilter</filter-name> <filter-class>org.apache.catalina.filters.RemoteIpFilter</filter-class> </filter> <filter-mapping> <filter-name>RemoteIpFilter</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping>
2)處理X-Forwarded-For與x-forwarded-proto頭部的配置
<filter> <filter-name>RemoteIpFilter</filter-name> <filter-class>org.apache.catalina.filters.RemoteIpFilter</filter-class> <init-param> <param-name>protocolHeader</param-name> <param-value>x-forwarded-proto</param-value> </init-param> </filter> <filter-mapping> <filter-name>RemoteIpFilter</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping>
3)使用內部代理的高級配置
<filter> <filter-name>RemoteIpFilter</filter-name> <filter-class>org.apache.catalina.filters.RemoteIpFilter</filter-class> <init-param> <param-name>allowedInternalProxies</param-name> <param-value>192\.168\.0\.10|192\.168\.0\.11</param-value> </init-param> <init-param> <param-name>remoteIpHeader</param-name> <param-value>x-forwarded-for</param-value> </init-param> <init-param> <param-name>remoteIpProxiesHeader</param-name> <param-value>x-forwarded-by</param-value> </init-param> <init-param> <param-name>protocolHeader</param-name> <param-value>x-forwarded-proto</param-value> </init-param> </filter>
4)使用可信任代理高級配置
<filter> <filter-name>RemoteIpFilter</filter-name> <filter-class>org.apache.catalina.filters.RemoteIpFilter</filter-class> <init-param> <param-name>allowedInternalProxies</param-name> <param-value>192\.168\.0\.10|192\.168\.0\.11</param-value> </init-param> <init-param> <param-name>remoteIpHeader</param-name> <param-value>x-forwarded-for</param-value> </init-param> <init-param> <param-name>remoteIpProxiesHeader</param-name> <param-value>x-forwarded-by</param-value> </init-param> <init-param> <param-name>trustedProxies</param-name> <param-value>proxy1|proxy2</param-value> </init-param> </filter>
7、字符集編碼過濾器SetCharacterEncodingFilter
提供了一種設置字符集編碼的方式,一般狀況下默認ISO-8859-1編碼,但實際生產環境推薦使用UTF-8編碼,而請求中的編碼能夠在未指定編碼時使用,也能夠強制覆蓋。
配置示例
<filter> <filter-name>SetCharacterEncodingFilter</filter-name> <filter-class>org.apache.catalina.filters.SetCharacterEncodingFilter</filter-class> <init-param> <param-name>encoding</param-name> <param-value>UTF-8</param-value> </init-param> <init-param> <param-name>ignore</param-name> <param-value>false</param-value> </init-param> </filter> <filter-mapping> <filter-name>SetCharacterEncodingFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
參數說明
一、encoding:指定的字符集編碼
二、ignore:表示是否忽略客戶端請求設置的字符集編碼,若是爲true那麼都會將請求字符集編碼覆蓋,若是爲false,請求沒有指定字符集編碼時設置。默認爲false
- 1. HBase–經常使用過濾器篇
- 2. 經常使用過濾器(filter)
- 3. WireShark經常使用過濾器
- 4. SpringSecurity經常使用過濾器介紹
- 5. angular過濾器filter經常使用方法,自定義過濾器
- 6. 幾種經常使用的濾波器
- 7. VUE——經常使用自定義過濾器定義與使用
- 8. MVC過濾器:自定義異常過濾器使用案例
- 9. wireshark經常使用包過濾規則
- 10. wireshark經常使用過濾條件
- 更多相關文章...
- • PHP 過濾器 - PHP教程
- • PHP FILTER_CALLBACK 過濾器 - PHP參考手冊
- • 常用的分佈式事務解決方案
- • Composer 安裝與使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。