阻止用户通过URL方式访问处理程序

本周密报卡遇到个问题，有人仅通过输入1位密报卡坐标和对应key，就可以解绑密报卡。

通过调查，我发现有用户通过ie查看源代码后，自己拼写链接地址，传递参数，将本来随机生成的3个坐标的值都设成了同一值，成功解绑。



考虑了一下，写了段程序，阻止用户通过URL方式访问处理程序（针对jsp和servlet）。





//forbid url attack start

//url's parameters

String strURL = request.getQueryString();

boolean flagURL = true;

//一般咱们的画面都是通过post方式提交的，因此request.getQueryString();的值应该为null，  用户拼链接是get方式提交，参数会被付在url中

if (strURL != null) flagURL = false;

//original jsp's url

strURL = request.getHeader("Referer");

if (strURL == null) {

    flagURL = false;

} else {

    String temp[] = strURL.split(".jsp");

    strURL = temp[0];

    String strAimURL = request.getRequestURL().toString();

    temp = strAimURL.split(".jsp");

    strAimURL = temp[0];

    int index = strAimURL.lastIndexOf("/");

    strAimURL = strAimURL.substring(0, index) + "/ClientRegister";

    //判断两个源画面地址是否相同，我这个画面的原画面是ClientRegister.jsp，因此我判断访问我当前这个画面的原画面是否是ClientRegister.jsp

    //之所以加上这个判断，是因为我担心有的捣乱者会在本地运行tomcat等服务器，写一个简单的jsp，通过post方式访问咱们的处理画面

    if (strURL.equals(strAimURL) == false) flagURL = false;

}

if (flagURL == false) {

    response.sendRedirect("ClientRegister.jsp?err=105");

    return;

}

//forbid url attack end