CSRF简单理解---HTTP Referer字段验证(Java实现)

最新推荐文章于 2024-04-23 12:35:36 发布
最新推荐文章于 2024-04-23 12:35:36 发布
阅读量1.4w 收藏 25
点赞数 3
分类专栏: 网络安全 java 文章标签: java csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/For_GG/article/details/79291178
版权

CSRF攻击简单来说就是:
1.你可以通过A网站发送请求“转100块给小明”。
2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。
3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。
所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。

referer的验证原理简单来说就是
比对HTTP请求发送的网站(referer字段)和
当前网站(request.getScheme())+”://”+request.getServerName())是不是一个网站。

java实现代码如下


    HttpServletRequest request= (HttpServletRequest) request;
    String referer = request.getHeader("referer");
    StringBuffer stringBuffer = new StringBuffer();
        stringBuffer.append(request.getScheme()).append("://").append(request.getServerName());
        if(referer != null && !referer.equals("") ){ 
            if(referer.lastIndexOf(String.valueOf(stringBuffer)) != 0){             
                return false; //验证失败            
            }
        }

关于空Referer

首先,我们对空Referer的定义为,Referer 头部的内容为空,或者,一个HTTP请求中根本不包含Referer头部。

那么什么时候HTTP请求会不包含Referer字段呢?根据Referer的定义,它的作用是指示一个请求是从哪里链接过来,那么当一个请求并不是由链接触发产生的,那么自然也就不需要指定这个请求的链接来源。

比如,直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含Referer字段的,因为这是一个“凭空产生”的HTTP请求,并不是从一个地方链接过去的。
那么在防盗链设置中,允许空Referer和不允许空Referer有什么区别?
在防盗链的白名单设置中,如果指名白名单中包含空的Referer,那么通过浏览器地址栏直接访问该资源URL是可以访问到的;

但如果不指名需要包含空的Referer,那么通过浏览器直接访问也是被禁止的。

看到比较好的相关网页:
http://blog.csdn.net/dhweicheng/article/details/76996709
http://blog.csdn.net/u011217058/article/details/78331170
http://blog.csdn.net/stpeace/article/details/53512283
关于token实现的简易版
http://blog.csdn.net/huqingpeng321/article/details/52900550
实际大型项目中客户端token存于cookie,再加上加密算法,有兴趣可以看看JWT传递方法。

澪月
关注
  • 3
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于JSP的Java Web项目的CSRF防御示例
01-07
1. **验证Referer字段**:虽然不是完全可靠,但检查HTTP头中的Referer字段可以作为CSRF防护的第一道防线。因为正常请求通常来自同一域名,而伪造请求的Referer通常不一致。 2. **令牌验证**:这是最常用的防御方法...
http referer 验证防御方法_技术干货 | CSRF攻击原理以及防御
weixin_39559333的博客
11-29 1785
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不...
通过验证Referer解决CSRF安全防御问题
向南
09-26 5340
一、背景 JAVAWEB 类项目处于客户验收阶段,在安全扫描处出现 CSRF 问题,通过多个博客中解决思路都无法解决。后来通过同事提醒 可以试试判断 Referer页面来源参数,最终使用该方法解决问题。 二、环境 服务器:Linux 前端:Angular 后端:Springboot Java 三、安全证书 四、解决方法 后端拦截器判断访问来源,其它地方不用修改。 @...
渗透测试-一文了解csrf漏洞
最新发布
lza20001103的博客
04-23 1330
渗透测试-一文了解csrf漏洞
跨站请求伪造CSRF防护方法
jijithin
08-22 866
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 一、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 ...
安全01-后台增加Referer校验防范CSRF跨站请求伪造
windows_apple的博客
12-01 3417
CSRF,中文名字,跨站请求伪造。攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。 防范方案: 1、验证HTTP Referer字段。 2、请求地址中添加token并验证(token不放在cookie中,放在http请求参数中,服务端对其进行验证) 3、将token加入http头属性中,避免了token出现在浏览器中,被泄露。 Referer验证方案: 根据HTTP协议,在HTTP头部中有一个Re
java referer伪造_通过判断请求Header中的Referer来防止伪造请求
weixin_35641153的博客
02-19 977
其实不会根本性的解决这个问题。解决方法:在web.xml中增加:refererFilterltd.miku.web.securityenhance.xss.RefererFilterrefererFilter/*REQUEST然后RefererFilter的内容是:import com.inspur.ssr.web.system.service.impl.ExpireSessionImpl;imp...
java springboot 通过Referer防止跨站点请求伪造
qq_44154912的博客
10-21 3992
防止跨站点请求伪造 获取 referer 为null, 无法获取 referer 导致过滤失败
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 2775
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
HTTPHeadModifer一款快速修改HTTP数据包头的BurpSuite插件
08-08
4. **跨站请求伪造(CSRF)测试**:添加或修改随机CSRF令牌,检查应用对CSRF攻击的防御能力。 文件名“c0ny1-HTTPHeadModifer-de5f509”表明这是一个特定版本的HTTPHeadModifier插件,版本号可能为“de5f509”,...
跨站请求伪造-CSRF防护方法
03-12
1. 验证HTTPReferer字段:根据HTTP协议,在HTTP头中有一个字段Referer,它记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限页面的请求必须来自于同一个网站。 2. 在请求地址中添加token并验证:攻击者...
Shiro开启CSRF表单防护
12-08
Shiro 开启 CSRF 表单防护 CSRF(Cross-Site Request Forgery,跨站点请求伪造)是一种常见的 web 攻击方式...总结:Shiro 开启 CSRF 表单防护可以有效地防御 CSRF 攻击,通过验证 Referer 字段来检查请求的合法性。
命令执行+CSRF
06-11
- 使用HTTP头部的Origin或Referer字段来检查请求的来源,但这并不能完全阻止CSRF,因为这些字段可以被伪造。 - 对GET请求的副作用进行限制,尽量避免通过GET执行修改操作。 以上内容涵盖了命令执行和CSRF的基本概念...
java http reffer_HTTP Referer二三事
weixin_39672396的博客
02-13 454
什么是HTTP Referer简言之,HTTPReferer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTPReferer中统计出每天有多少用户点击我主页上的链接访问他的网站。Referer其实应该是英文单词Referrer,不...
安全开发之CSRF(跨域请求伪造)
XZ85201的博客
05-20 1310
概念:CSRF(Cross Site Request Forgery)跨域请求伪造,顾名思义,是在跨域的基础上利用伪造请求而达成的一种攻击手段。
关于防盗链的方法之HTTPreferer检查
weixin_74085863的博客
11-15 878
本文专注讲解了防盗链的referer实现,快来学习吧
验证HTTP Referer字段
紫天专栏
06-25 1万+
1 、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。   1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未
Referer校验
热门推荐
luzhangtong的博客
08-24 1万+
Referer是http协议中定义的,Referer就是上一个页面的地址,这个是浏览器会在点击一个链接时自动添加到请求头中的   查看一个request信息: GET /adjs.php?n=348893119&what=zone:382&charset=utf-8&exclude=,&referer=http%3A//topic.csdn.net/u/20...
使用java方式处理跨站请求伪造(CSRF)
weixin_43977799的博客
09-17 6232
什么是CSRF 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任...
前端可以验证referer字段
07-14
前端无法直接验证 Referer 字段的值,因为 Referer 是由浏览器在发送请求时自动添加的请求头字段,前端代码无法直接控制或修改该字段验证 Referer 字段通常是在后端服务器进行的,通过检查请求头中的 Referer 字段来判断请求的来源是否合法。因此,在防止 CSRF 攻击方面,前端可以采取其他措施来增加安全性,如使用 CSRF 令牌。 前端可以在表单提交时生成一个随机的 CSRF 令牌,并将其加入请求的参数或请求头中。后端服务器在接收到请求时,验证令牌的有效性,以确保请求是合法的。这样可以防止攻击者通过伪造请求来绕过前端的验证。 同时,前端还可以采取其他安全措施,如使用 SameSite Cookie 属性、实现双重认证等来增加系统的安全性。综合使用这些措施可以有效地防止 CSRF 攻击,并提高应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值