host 头部攻击

渗透攻击，主要是弄一个白名单，filter过滤下

 

主要是两个要点吧：

1.继承OncePerRequestFilter，实现doFilterInternal方法，这个只一次判断，通过了才会在应用内部做链接跳转。

2.设置这个自定义filter的order，在未登录的情况下，springboot默认会先判断session，然后看下图，框架带的order是Integer.MIN_VALUE + 50，开始自己定义的order(-1)，发现一直也进不去自己定义的类。自定义的filter弄成Integer.MIN_VALUE就好了。