防止用户从地址栏直接访问后台接口

时间:2022-12-23 17:10:22
我们可以通过判断拦截器、过滤器http请求头里的referer来实现,但是存在一定的问题
在拦截器的perHandle方法中判断httpServletRequest.getHeader("referer")是否为空,若为空则拦截来防止用户通过地址栏直接访问后台接口。



HTTP Referrer是header的一部分,当浏览器向web服务器发出请求的时候,一般会带上Referer,告诉服务器用户从哪个页面链接过来的,服务器藉此可以获得一些信息用于处理。
Referer的用处:除了用在防盗链,还可以用在统计当前流量的来源,即用户是从哪里的链接访问过来的。
Referer的缺点:Referer是不安全的,客户端可以通过设置改变Request中的值,所以我们在使用时尽量不要用在安全验证上。Referer容易丢失。

httpServletRequest.getHeader("referer");//获取请求来源页的地址,即该请求是从哪个页面链接过来的。

可以正常取到值的情况有:

1.<a href="">中的地址可以正常取到

2.get或者post提交的请求


若为null则可能存在以下几种情况:

1、页面从https跳转到http  从https的网站跳转到http的网站时,浏览器是不会发送referer的 2 、用户之间在浏览器中输入了要访问的目标URL 


3、从收藏夹访问   4、用js的window.open等方式打开   5.直接从鼠标拖出的新页面等。