记录前段做过的h5项目遇到的安全问题。web项目对请求referer校验,防止外链。
测试报告问题描述:服务端对请求的来源未做验证,无法区分是用户自己主动的请求行为还是用户未知的被动请求行为。导致攻击者可以通过用户的浏览器来产生额外的、用户未知的请求,从而借用用户的身份进行敏感操作。
个人理解为通过非生产环境域名的外部ip对生产环境接口进行访问请求。CSRF(Cross-site request forgery)跨站请求伪造,通过伪装成受信任用户的请求来利用受信任的网站。
解决的措施就是增加referer拦截器,对相关操作请求统一拦截并校验。代码如下:
/**
* referer拦截器
*/
public class RefererInterceptor extends HandlerInterceptorAdapter {
private AntPathMatcher matcher = new AntPathMatcher();
@Autowired
private RefererProperties properties;
@Override
public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object
handler) throws Exception {
String referer = req.getHeader("referer");
String host = req.getServerName();
// 只验证POST请求
if ("POST".equals(req.getMethod())) {
if (referer == null) {
// 状态置为404
resp.setStatus(HttpServletResponse.SC_NOT_FOUND);
return false;
}
java.net.URL url = null;
try {
url = new java.net.URL(referer);
} catch (MalformedURLException e) {
// URL解析异常,也置为404
resp.setStatus(HttpServletResponse.SC_NOT_FOUND);
return false;
}
// 首先判断请求域名和referer域名是否相同
if (!host.equals(url.getHost())) {
// 如果不等,判断是否在白名单中
if (properties.getRefererDomain() != null) {
for (String s : properties.getRefererDomain()) {
if (s.equals(url.getHost())) {
return true;
}
}
}
return false;
}
}
return true;
}
}
域名白名单,代码如下:
@Component
@ConfigurationProperties(prefix = "referer")
@Data
public class RefererProperties {
// 白名单域名
private List<String> refererDomain;
}
application.properties文件,添加白名单信息:
referer.refererDomain=192.168.1.116
然后进行拦截器注册,代码如下:
@EnableWebMvc
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Bean
public RefererInterceptor refererInterceptor() {
return new RefererInterceptor();
}
/**
* 注册拦截器
*/
@Override
public void addInterceptors(InterceptorRegistry registry) {
//referer拦截
registry.addInterceptor(refererInterceptor());
}
/**
* 为了测试时环境时进行swagger访问
*/
@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
registry.addResourceHandler("swagger-ui.html")
.addResourceLocations("classpath:/META-INF/resources/");
registry.addResourceHandler("/webjars/**")
.addResourceLocations("classpath:/META-INF/resources/webjars/");
}
}
这样便可以防止外链访问接口。
这么做又有一个问题,就是servlet的跳转出现问题:
原来的controller方式跳转都不行了,需要在webConfig配置中添加controller跳转配置,代码:
/**
* 添加重定向跳转
* @param registry
*/
@Override
public void addViewControllers(ViewControllerRegistry registry) {
registry.addRedirectViewController("swag","swagger-ui.html");
}
以上为例子,如此便可跳转。