HTTP请求头中的refer字段

<think>我们正在处理一个与Java Web安全相关的问题，特别是针对Struts2（s2）框架的请求。用户希望检测并处理那些referer头中包含s2框架特征且访问地址为JSP文件的请求。 分析： 1. 目标：检测HTTP请求的Referer头，判断是否包含Struts2框架的特征（可能是指特定的路径或参数模式），并且请求的资源是JSP文件。 2. 处理：对于这样的请求，我们需要进行拦截或特殊处理（例如拒绝访问、重定向或记录日志）。 实现思路： 我们可以使用过滤器（Filter）来实现这个功能。过滤器可以检查每个进入的请求，根据Referer头和请求的URI（判断是否为JSP）来决定是否处理。 步骤： 1. 创建一个Filter，在doFilter方法中获取请求的Referer头和请求的URI。 2. 判断Referer头中是否包含Struts2框架的特征（例如，常见的Struts2路径或参数，如"/struts/"、".action"等，具体需要根据实际情况定义）。 3. 判断请求的URI是否以".jsp"结尾（即请求的是JSP文件）。 4. 如果同时满足以上两个条件，则进行相应的处理（例如，返回403错误，或者重定向到错误页面）。 注意：Struts2框架通常使用.action或没有后缀的URL，直接访问JSP并不是Struts2的典型方式。因此，如果Referer中包含Struts2的特征，而直接访问JSP，可能是非正常的访问（例如，试图绕过Struts2的控制器直接访问视图），所以需要拦截。 代码示例： 下面是一个简单的Filter实现： ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class RefererCheckFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; String referer = httpRequest.getHeader("Referer"); String requestURI = httpRequest.getRequestURI(); // 判断条件：referer中包含Struts2特征（这里以包含"/struts/"为例）且请求的是jsp文件 if (referer != null && referer.contains("/struts/") && requestURI.endsWith(".jsp")) { // 处理方式1：返回403禁止访问 httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Direct access to JSP is not allowed"); // 或者处理方式2：重定向到首页或错误页面 // httpResponse.sendRedirect(httpRequest.getContextPath() + "/error.jsp"); return; } chain.doFilter(request, response); } // 其他方法：init和destroy，按需实现 @Override public void init(FilterConfig filterConfig) throws ServletException { // 初始化代码，如果需要的话 } @Override public void destroy() { // 清理代码，如果需要的话 } } ``` 配置Filter： 在web.xml中配置该过滤器，使其拦截所有请求（或特定路径）。 ```xml <filter> <filter-name>refererCheckFilter</filter-name> <filter-class>com.example.RefererCheckFilter</filter-class> </filter> <filter-mapping> <filter-name>refererCheckFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 注意事项： 1. Referer头可能被伪造，所以这种方式不能作为绝对的安全措施，但可以增加攻击者直接访问JSP的难度。 2. 需要根据实际部署的Struts2应用的特征来调整检测字符串（如上面例子中的"/struts/"），可能是其他路径或关键字。 3. 如果应用中有一些合法的直接访问JSP的情况（虽然不推荐），则需要在过滤器中排除这些合法情况。 扩展： 1. 可以将需要检查的特征字符串和排除的JSP列表配置在web.xml的init-param中，使得过滤器更灵活。 2. 可以结合其他安全措施，如使用安全框架（Spring Security等）来增强保护。 以上方案提供了一个基本的处理思路，具体实现需要根据实际应用场景调整。 相关问题： 1. 如何防止伪造Referer头？ 2. 除了使用过滤器，还有哪些方法可以防止直接访问JSP文件？ 3. 如何配置过滤器以排除某些特定的JSP文件？</think>### 检测并处理含有S2框架来源的Referer请求 在处理含有Struts2(S2)框架来源的Referer请求且访问地址为JSP文件时，可通过以下方法实现： --- #### 一、检测原理 1. **Referer检测** 检查HTTP请求头中的`Referer`字段是否包含Struts2特征路径： ```java String referer = request.getHeader("Referer"); boolean isS2Referer = referer != null && (referer.contains("/struts/") || referer.contains(".action")); ``` 2. **JSP访问检测** 通过请求URI判断是否访问JSP文件： ```java String uri = request.getRequestURI(); boolean isJspAccess = uri.endsWith(".jsp"); ``` --- #### 二、处理方法（Java Web过滤器实现） ```java public class S2RefererFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse response = (HttpServletResponse) res; // 1. 检测Referer和访问路径 String referer = request.getHeader("Referer"); String uri = request.getRequestURI(); if (referer != null && uri.endsWith(".jsp")) { // 2. 判断Struts2特征（根据实际路径调整） if (referer.contains("/struts/") || referer.contains(".action")) { // 3. 处理非法请求 response.sendError(HttpServletResponse.SC_FORBIDDEN, "Direct JSP access not allowed"); return; // 中断请求链 } } chain.doFilter(request, response); // 放行合法请求 } // 其他方法：init(), destroy() } ``` --- #### 三、配置部署 1. **web.xml配置过滤器** ```xml <filter> <filter-name>S2RefererFilter</filter-name> <filter-class>com.example.S2RefererFilter</filter-class> </filter> <filter-mapping> <filter-name>S2RefererFilter</filter-name> <url-pattern>*.jsp</url-pattern> <!-- 只拦截JSP请求 --> </filter-mapping> ``` 2. **安全强化措施** - 在`struts.xml`中禁用直接访问JSP： ```xml <constant name="struts.action.excludePattern" value="/.*\\.jsp" /> ``` - 使用Nginx反向代理过滤Referer： ```nginx location ~ \.jsp$ { if ($http_referer ~* "/struts/|\.action") { return 403; } } ``` --- #### 四、注意事项 1. **Referer可靠性** Referer可能被伪造，建议结合会话令牌或CSRF Token二次验证[^1]。 2. **路径特征更新** 根据实际Struts2项目结构调整检测路径（如`/struts2-core/`等）。 3. **合法访问豁免** 白名单处理：对`/public/`目录下的JSP放行。 > 通过上述方法，可有效阻断通过Struts2框架跳转对JSP文件的直接访问，增强系统安全性[^1]。 --- ### 相关问题 1. 如何区分Struts1和Struts2框架的Referer特征？ 2. 除了过滤器，还有哪些方法可以防止直接访问JSP文件？ 3. 如何应对Referer头被伪造的情况？ [^1]: 引用自外部配置和框架安全实践，通过占位符匹配和请求过滤增强安全性。