CSRF攻击简单来说就是:
1.你可以通过A网站发送请求“转100块给小明”。
2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。
3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。
所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。
referer的验证原理简单来说就是:
比对HTTP请求发送的网站(referer字段)和
当前网站(request.getScheme())+”://”+request.getServerName())是不是一个网站。
java实现代码如下
HttpServletRequest request= (HttpServletRequest) request;
String referer = request.getHeader("referer");
StringBuffer stringBuffer = new StringBuffer();
stringBuffer.append(request.getScheme()).append("://").append(request.getServerName());
if(referer != null && !referer.equals("") ){
if(referer.lastIndexOf(String.valueOf(stringBuffer)) != 0){
return false; //验证失败
}
}
关于空Referer
首先,我们对空Referer的定义为,Referer 头部的内容为空,或者,一个HTTP请求中根本不包含Referer头部。
那么什么时候HTTP请求会不包含Referer字段呢?根据Referer的定义,它的作用是指示一个请求是从哪里链接过来,那么当一个请求并不是由链接触发产生的,那么自然也就不需要指定这个请求的链接来源。
比如,直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含Referer字段的,因为这是一个“凭空产生”的HTTP请求,并不是从一个地方链接过去的。
那么在防盗链设置中,允许空Referer和不允许空Referer有什么区别?
在防盗链的白名单设置中,如果指名白名单中包含空的Referer,那么通过浏览器地址栏直接访问该资源URL是可以访问到的;
但如果不指名需要包含空的Referer,那么通过浏览器直接访问也是被禁止的。
看到比较好的相关网页:
http://blog.csdn.net/dhweicheng/article/details/76996709
http://blog.csdn.net/u011217058/article/details/78331170
http://blog.csdn.net/stpeace/article/details/53512283
关于token实现的简易版
http://blog.csdn.net/huqingpeng321/article/details/52900550
实际大型项目中客户端token存于cookie,再加上加密算法,有兴趣可以看看JWT传递方法。