渗透攻击,主要是弄一个白名单,filter过滤下

 

主要是两个要点吧:

1.继承OncePerRequestFilter,实现doFilterInternal方法,这个只一次判断,通过了才会在应用内部做链接跳转。

2.设置这个自定义filter的order,在未登录的情况下,springboot默认会先判断session,然后看下图,框架带的order是Integer.MIN_VALUE + 50,开始自己定义的order(-1),发现一直也进不去自己定义的类。自定义的filter弄成Integer.MIN_VALUE就好了。

host 头部攻击_白名单