我用的是struts。。。。然后遇到一个问题。。。。如果让用户知道了请求url以及参数。他
完全可以直接用请求来访问,。。。当然,我已经过滤掉了所谓的get请求了。。。但问题来了
,如果用户自己写一个form表单来实现post请求。。。。这该怎么办。。。
都有机器人了。。。。
好比那些自动注册机,也是 post请求,获取验证码,这好像有点难防御的
判断请求的来源等来防止curl的模拟请求。。。。。。。。。。
你项目差一个过滤器,用过滤器把没有登录的过滤掉,只有用户登录过在session中有user,user不为空或者在登录的请求,可以访问,其他不能访问
http://blog.csdn.net/worldwsyw/article/details/47663857
我的博客上面这是用servlet写的,在web里面加个filter拦截所有请求
一个可以用Filter,web,xm;那儿配置一个Filter,过滤所有请求,只放行比如login register获取验证码图片的请求,其它全部干掉
还一个方法设置struts拦截器,定义一个默认包,其它所有包继承自这个包,这个包内自定义一个包含系统默认拦截器栈的拦截器来拦截所有请求,过滤掉非法的请求
把参数用加盐方式加密或者页面伪静态不让他知道url路径和参数,应该就好一点=。=
你在后台判断访问路径的来源,希望对你有帮助