大家好，現在小編來為大家解答以上問題。Tomcat常用的過濾器詳解相信很多人還不知道，現在讓我們一起來看看吧！

一、跨域過濾器CorsFilter

org.apcache.catalina.filters.CorsFilter是跨域資源共享規范的一個實現，常常用于前后端分離，靜態資源與后端分離等情況。它主要在HttpServletResponse中增加Access-Control-*頭，同時保護HTTP響應避免拆分，如果請求無效或者禁止訪問，則返回403響應碼。

1.1、配置示例

1.2、參數說明

1、cors.allowed.origins

允許訪問的跨域資源列表，"*"表示允許訪問來自任何域的資源，多個域用逗號分隔，默認為"*"

2、cors.allowed.methods

可以用于訪問資源的HTTP方法列表，","分隔，用于跨域請求。這些方法將出現在Prefligh（預檢請求）響應頭Access-Control-Allow-Methods的一部分，t默認為"GET, POST, HEAD, OPTIONS"

3、cors.allowed.headers

構造請求時可以使用的請求頭，以","分隔，這些方法將出現在Prefligh（預檢請求）響應頭Access-Control-Allow-Headers的一部分，默認為Origin, Accept, X-Requested-With, Content-Type, Access-Control-Request-Method, Access-Control-Request-Headers

4、cors.exposed.headers

瀏覽器允許訪問的頭部信息列表，","分隔。這些方法將出現在Prefligh（預檢請求）響應頭Access-Control-Allow-Headers的一部分，默認為空。

5、cors.preflight.maxage

瀏覽器允許緩存的Preflght請求結果的時間，單位為秒。如果為負數，則表示CorsFilter不會添加頭到Preflight響應，這些方法將出現在Prefligh（預檢請求）響應頭Access-Control-Max-Age的一部分，默認為1800.

6、cors.support.credentials

表示資源是否支持用戶證書，這些方法將出現在Prefligh（預檢請求）響應頭Access-Control-Allow-Credentials的一部分，默認為true

7、cors.request.decorate

Cors規范屬性是否已經添加到HttpServletRequest，默認為true。CorsFiter會為HttpServletRequest添加請求相關信息，cors.request.decorate配置為true，那么以下屬性將會被添加

1）cors.isCorsRequest:用于請求是否為Cors請求。

2）cors.request.origin:源URL，請求源自的頁面URL。

3）cors.request.type:Cors的請求類型，如下：

SIMPLE:非Preflight請求為先導的請求。

ACTUAL:以Preflight請求為先導的請求。

PRE_FLIGHT:Preflight請求

NOT_CORS:正常同域請求

INVALID_CORS:無效的域請求

4）cors.request.headers:作為Preflight請求Access-Control-Request-Header頭發送的請求頭信息。

二、CSRF保護過濾器CsrfPreventionFilter

org.apcache.catalina.filters.CsrfPreventionFilter為Web應用提供了基本的CSRF保護。返回的客戶端的所有鏈接均通過HttpServletResponse.encodeRedirectURL(String)與HttpServletResponse.encodeURL(String)進行編碼，該過濾器生成一個隨機數并存儲到會話session中進行對比，URL使用該隨機數進行編碼。當接收到下一個請求時，請求中隨機數與會話中的進行對比，只有兩者相同時，請求才會被允許。

2.1、配置示例

2.2、參數說明

1、denyStatus：HTTP響應嗎，用于駁回拒絕請求，默認為403　　

2、entryPoints：以","為分隔的URL列表，這些列表將不會進行隨機數檢測（主要用于通過導航離開受保護應用，之后再返回）　

3、nonceCacheSize：隨機數緩存大小。先前發布的隨機數被緩存到一個LRU緩存中以支持并發請求，有限的用于瀏覽器刷新等行為（可能導致隨機數不是當前的），默認為5

4、randomClass：用于生成隨機數的類，必須是java.util.Random實例，如不設置默認為java.security.SecureRandom

三、防止參數丟失過濾器FailedRequestFilter

org.apcache.catalina.filters.FailedRequestFilter用于觸發請求的參數解析，當參數解析失敗時，將會拒絕請求，該Filter用于確保客戶端提交的參數信息不發生丟失。該過濾器的原理是：先調用ServletRequest.getParameter（首次調用會觸發Tomcat服務器的請求參數解析，如果參數解析失敗，將結果放到請求屬性org.apache.catalina.parameter_parse_failed中），之后判斷屬性org.apache.catalina.parameter_parse_failed的值，如果不為空則直接返回400。

為了能正確解析參數，需要該Filter之前設置字符集編碼過濾器SetCharacterEncodingFilter。此外，該過濾器是不支持r初始化參數的

四、獲取客戶端IP過濾器RemoteAddrFilter

org.apcache.catalina.filters.RemoteAddrFiler允許比較提交的客戶端IP地址（通過ServletRequest.getRemoteAddr獲取）是否符合指定正則表達式。

4.1、配置示例

4.2、參數說明　　

1、allow：指定允許訪問的客戶端IP地址　　

2、deny：拒絕訪問的客戶端地址　　

3、denyStatus：拒絕請求時返回的HTTP響應嗎。

五、獲取客戶端Host過濾器RemoteHostFilter

org.apcache.catalina.filters.RemoteHostFiler允許比較提交請求的客戶端主機名是否符合指定的正則表達式，以確定是否允許繼續處理請求。參數同RemoteAddrFilter

六、獲取原始客戶端IP過濾器RemoteIpFilter

 當客戶端通過HTTP代理或者負載均衡訪問服務器時，對于服務器來說，請求直接源自前置的代理服務器，此時獲取到的遠程IP實際為代理服務器的IP地址。

6.1、如何獲得原始的客戶端的IP地址

HTTP協議通過X-Forwarded-For頭信息記錄了資客戶端到應用服務器前置代理的IP地址，RemoteIpFilter通過解析該請求頭，將請求中的IP地址與主機名替換為客戶端真實的IP地址和主機信息，此外還可以通過X-Forwardred-Proto請求頭替換當前的協議名稱http/https、服務器端口及request.secure。

X-Forwarded-For的格式如下：

X-Forwarded-For: client, proxy1, proxy2

最左側client為最原始的客戶端IP，如上示例中客戶端經過了proxy1、proxy2、proxy3三級代理（最后一層proxy3不顯示，通過ServletRquest.getRemoteAddr獲取）。在負載均衡的情況下，RemoteAddrFilter和RemoteHostFilter需要與該過濾器配合使用，否則無法正確限制訪問客戶端。

通常我們獲取X-Forwarded-For使用如下Java代碼：

6.2、配置示例

1）基本處理X-Forwarded-For頭的配置

2）處理X-Forwarded-For與x-forwarded-proto頭部的配置

3）使用內部代理的高級配置

4）使用可信任代理高級配置

七、字符集編碼過濾器SetCharacterEncodingFilter

提供了一種設置字符集編碼的方式，通常情況下默認ISO-8859-1編碼，但實際生產環境推薦使用UTF-8編碼，而請求中的編碼可以在未指定編碼時使用，也可以強制覆蓋。

7.1、配置示例

7.2、參數說明　　

1、encoding：指定的字符集編碼　　　　

2、ignore：表示是否忽略客戶端請求設置的字符集編碼，如果為true那么都會將請求字符集編碼覆蓋，如果為false，請求沒有指定字符集編碼時設置。默認為false

以上Tomcat常用的過濾器詳解就是小編為大家收集整理的全部內容了，希望對大家有所幫助。如果您喜歡這篇文章，可以收藏或分享給您的小伙伴們吧！歡迎持續關注我們的后續更新。