使用User-Agent防止HttpClient发送http请求时403 Forbidden和安全拦截详解程序员

问题的抛出

今天有合作商户反映,批付交易完成后,在我方服务器以“服务器点对点通信”的方式通知请求对方服务器时,对方拦截了请求。并贴了一张截图。

使用User-Agent防止HttpClient发送http请求时403 Forbidden和安全拦截详解程序员
从截图可以看出来,对方拦截了我们的user-agent(Apache-HttpClient)。

 

什么是User-Agent?
通常我们用浏览器访问一个网页,当我们向服务器发送请求时,浏览器会将一些头信息附加上,然后发给服务器,其中就包括User-Agent。一些网站的网页,为了防止爬虫或恶意访问,会首先判断请求头的User-Agent,如果不是浏览器请求,则会直接拒绝请求。(https://blog.csdn.net/frankcheng5143/article/details/54096098里也提到,直接用HttpClient发起请求csdn时,会收到403 Forbidden)
不同版本的谷歌浏览器的User-Agent:
Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.87 Safari/537.36
Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)

使用User-Agent防止HttpClient发送http请求时403 Forbidden和安全拦截详解程序员

 

解决问题

通过分析httputil代码,发现我方并未设置请求头的user-agent属性。 原来,经模拟点对点请求的测试证明,如果不设置的话,它的值默认是:Apache-HttpClient。

技术支持同事为了照顾合作商户的感受,建议我方改一下。那么,自然是加上user-agent来模拟正常的浏览器请求客户服务器就可以了。
当然,单从技术角度来看,另一个同事的给的建议也许更好:因为这是个服务器点对点通信,所以若要从安全方面控制,应该通过诸如ip白名单的方式,而不是通过User-Agent判断是不是浏览器请求。

 

httputil代码(user-agent不区分大小写):

    String userAgent = "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.87 Safari/537.36"; 
    HttpGet httpGet = new HttpGet(url); 
    httpGet.setHeader("User-Agent",userAgent); 
    response = httpclient.execute(httpGet);

 

    CloseableHttpClient httpClient = getHttpClient(); 
    。。。。。 
    HttpPost post = new HttpPost(url); 
    post.setHeader("user-agent","Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"); 
    CloseableHttpResponse httpResponse = httpClient.execute(post);

 

    URL urls = new URL(url); 
    HttpURLConnection uc = (HttpURLConnection) urls.openConnection(); 
    uc.setRequestProperty("User-Agent", "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"); 
    。。。 
    uc.setRequestMethod("POST"); 
    。。。

 

原创文章,作者:Maggie-Hunter,如若转载,请注明出处:https://blog.ytso.com/1881.html

(0)
上一篇 2021年7月15日
下一篇 2021年7月15日

相关推荐

发表回复

登录后才能评论