如何使 servlet 只处理来自特定网站的请求？

Question

我有一个 servlet 可以处理一些请求并相应地发出响应。

因此，如果我需要测试我的 servlet 是否运行良好，我只需直接在浏览器中输入 URL（如下）并检查响应。

http://localhost:8080/jnlpGenerator/create.htm?parameter1=someValue& ;parameter2=otherValue

这在测试期间没问题。

但是，我想阻止任何人直接从生产环境中的浏览器发送此网址。这可能吗？该网址仅适用于我的基于网络的项目。因此，当有人点击某个按钮时，它会发布上面的 url 来访问 servlet。

我怎样才能实现这个目标？

谢谢

Answer 1

考虑编写一个授权过滤器。

但是，无法确定该请求是手动浏览器请求还是按下按钮的结果。您可以编写一些 JavaScript 函数来创造差异。

Answer 2

可能的方法：

• 检查请求的Referer http标头，看看它是否来自某些源页面。
• 您的 servlet 仅处理 POST 方法，忽略 GET 方法（如果在浏览器中输入 URL，则直接发送）
• 在源页面中使用 captcha/random-code/token 并在中验证它 但是，您

不应该依赖前两种方式，因为许多客户端（wget/curl/flashget/...）可以伪造 Referer 标头或更改其请求方法，如下所示：

wget --referer http://srv/app/src-page --post-data xxx http://srv/app/servlet

Answer 3

您无法阻止 URL 请求的发出 - 您基本上必须改变互联网的工作方式才能做到这一点。但是，您可以通过禁止单个或多个 IP 地址的访问或确保用户获得授权来阻止 servlet 处理这些请求。

为了防止未经授权的访问，授权过滤器和 getRemoteAddress()（如其他地方提到的）都可能有用，但您必须首先意识到一些基本的事情：

• 您必须有某种方式来决定，哪些调用被授权，哪些调用未被授权。
• 您不能简单地阻止 IP 地址，除非您确切知道哪些 IP 地址将连接到您的网站。
• 您不能只检查引荐来源网址或阻止通过 GET 进行访问，因为任何能够跟踪 TCP/IP 消息的人都可以轻松欺骗整个 HTTP 请求。

话虽如此，如果您只有一个简单的 Web 表单或一些同样微不足道的功能，您可能会使用验证码或其他一些随机令牌来防止误用：您的服务器将在每次表单时创建一个由两部分组成的随机项被调用，其中一部分显示在浏览器中，例如图像或字符序列，并且仅当发送请求包含相应的第二部分时才会被处理。

然而，如果您的项目更复杂，或者授权是基于用户身份的，您将必须更深入地研究安全概念，并实现会话处理、身份验证、加密等。有无数种方法可以做到这一点 - 首先了解一般的 Web 应用程序安全性，然后查看 Java 安全框架。