H5项目中遇到的安全问题:CSRF-跨站伪造请求

最新推荐文章于 2022-11-05 22:47:25 发布
最新推荐文章于 2022-11-05 22:47:25 发布
阅读量689 收藏 1
点赞数
分类专栏: java技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/InSunshine_/article/details/99291887
版权

记录前段做过的h5项目遇到的安全问题。web项目对请求referer校验,防止外链。

测试报告问题描述:服务端对请求的来源未做验证,无法区分是用户自己主动的请求行为还是用户未知的被动请求行为。导致攻击者可以通过用户的浏览器来产生额外的、用户未知的请求,从而借用用户的身份进行敏感操作。

    个人理解为通过非生产环境域名的外部ip对生产环境接口进行访问请求。CSRF(Cross-site request forgery)跨站请求伪造,通过伪装成受信任用户的请求来利用受信任的网站。

    解决的措施就是增加referer拦截器,对相关操作请求统一拦截并校验。代码如下:

/**
 * referer拦截器
 */
public class RefererInterceptor extends HandlerInterceptorAdapter {
    private AntPathMatcher matcher = new AntPathMatcher();
    @Autowired
    private RefererProperties properties;

    @Override
    public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object 
    handler) throws Exception {
        String referer = req.getHeader("referer");
        String host = req.getServerName();
        // 只验证POST请求
        if ("POST".equals(req.getMethod())) {
            if (referer == null) {
                // 状态置为404
                resp.setStatus(HttpServletResponse.SC_NOT_FOUND);
                return false;
            }
            java.net.URL url = null;
            try {
                url = new java.net.URL(referer);
            } catch (MalformedURLException e) {
                // URL解析异常,也置为404
                resp.setStatus(HttpServletResponse.SC_NOT_FOUND);
                return false;
            }
            // 首先判断请求域名和referer域名是否相同
            if (!host.equals(url.getHost())) {
                // 如果不等,判断是否在白名单中
                if (properties.getRefererDomain() != null) {
                    for (String s : properties.getRefererDomain()) {
                        if (s.equals(url.getHost())) {
                            return true;
                        }
                    }
                }
                return false;
            }
        }
        return true;
    }
}

域名白名单,代码如下:

@Component
@ConfigurationProperties(prefix = "referer")
@Data
public class RefererProperties {
    // 白名单域名
    private List<String> refererDomain;
}

application.properties文件,添加白名单信息:

referer.refererDomain=192.168.1.116

然后进行拦截器注册,代码如下:

@EnableWebMvc
@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Bean
    public RefererInterceptor refererInterceptor() {
        return new RefererInterceptor();
    }

    /**
     * 注册拦截器
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //referer拦截
        registry.addInterceptor(refererInterceptor());
    }

    /**
     * 为了测试时环境时进行swagger访问
     */
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {

        registry.addResourceHandler("swagger-ui.html")
                .addResourceLocations("classpath:/META-INF/resources/");
        registry.addResourceHandler("/webjars/**")
                .addResourceLocations("classpath:/META-INF/resources/webjars/");

    }
}

这样便可以防止外链访问接口。

这么做又有一个问题,就是servlet的跳转出现问题:

原来的controller方式跳转都不行了,需要在webConfig配置中添加controller跳转配置,代码:

    /**
     * 添加重定向跳转
     * @param registry
     */
    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addRedirectViewController("swag","swagger-ui.html");
    }

以上为例子,如此便可跳转。

InSunshine_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
微信小程序和具有权限认证、CSRF机制的Django服务端交流
haifeng10001的博客
03-28 3164
本教程基于Django后端,在cookies的命名和csrftoken的接收上可能和其他语言框架的有所不同。 首先要知道一些基本知识:当微信小程序在会话时间内想要再次向服务端请求时,不需要再次登录,只需要把sessionid放进cookie传递过去就可以了,为了防止跨域请求,还要携带上csrftoken。微信小程序不像浏览器那样在二次请求时会自动携带cookies,cookies需要我们自...
hi-vote:微信H5投票系统,目前只包含API接口(jsonp)
05-29
- 对于敏感操作,如创建或修改投票,应考虑实施CSRF跨站请求伪造)防护。 5. 示例代码: ```javascript function handleData(data) { console.log('投票数据:', data); // 在此处处理返回的投票数据 } ...
Laravel 微信开发 csrf_token 验证问题
为了、梦想
08-10 1859
微信公众号开发时微信服务器发给我们的服务器的信息是没有csrf_token的,所以我们需要在laravel设置不验证。 下面的错误就是缺少csrf_token 的错误提示。 怎么办呢?很简单,打开根目录 \app\Http\Middleware\VerifyCsrfToken.php 文件,在文件的 $except 属性添加你的路由即可。 OK!...
Nextcloud报错:"Access forbidden CSRF check failed"
qq_42050903的博客
04-04 4609
### 重现步骤 1. 使用任何用户登录 2. 尝试退出 3. 发生错误 ### 预期的行为 用户应该注销。 Nextcloud报错:"Access forbidden CSRF check failed" Nextcloud配置Nginx跨区解决方案 ### 实际行为 用户单击注销,并提错误: "Access forbidden CSRF check faile...
当前端页面发送POST请求提交数据时,出现Forbidden (403) CSRF verification failed. Request aborted.的解决方法
Sunny_Boy0518的博客
03-25 4141
当前端页面发送POST请求提交数据时,出现Forbidden (403) CSRF verification failed. Request aborted.的解决方法
【漏洞】CSRF跨站请求伪造漏洞,springboot修复思路
a987212198的博客
02-15 3944
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。
php之基于H5的宿舍管理系统-论文.rar
最新发布
03-11
- **CSRF跨站请求伪造)防护**:通过令牌验证,确保请求来源合法性。 6. **性能优化**: - **缓存技术**:如Redis或Memcached,缓存常用数据,减少数据库查询次数。 - **代码优化**:避免冗余,合理使用索引,...
h5小游戏:暴打皮卡丘
10-09
10. 安全性:考虑防止XSS(跨站脚本)和CSRF跨站请求伪造)等安全问题,保护用户数据不被恶意篡改。 通过这个H5小游戏,开发者不仅可以学习到前端开发的基本技能,还能深入理解游戏开发的交互逻辑和性能优化...
信息安全_数据安全_案例:从Web到Cloud App.pdf
08-23
例如,对输入验证、错误处理和异常处理进行严格控制,以防止注入攻击、跨站脚本(XSS)和跨站请求伪造(CSRF)等常见威胁。 8. **金融安全与应急响应**:在涉及金融数据的云应用,必须遵循严格的合规性和监管要求,如...
生成图片_H5生成海报代码_
10-04
8. **安全考虑**:在处理用户上传的图片时,要注意防止XSS(跨站脚本攻击)和CSRF跨站请求伪造)等安全问题,对用户输入进行验证和过滤。 综上所述,"H5生成海报代码"涉及的技术点涵盖了H5的多种特性,包括Canvas...
微信支付-H5支付绕过ip地址
weixin_33924770的博客
05-11 1309
跟着上一篇的微信文章,上一章没有H5的支付。在这周工作种,主要是对H5支付功能进行代码编写,这篇文章算是一次总结,也让新手遇到我的问题,可以有个解决方案。微信H5支付的特殊要求:H5支付和JSAPI支付差不多,但是是在其他浏览器进入到微信端。微信团队为了做这个用户校验,要求添加一个字段spbill_create_ip终端IP,必须传正确的用户端IP,支持ipv4、ipv6格式。这个IP地址,安装微...
解决403 csrf forbidden
再努力一点吧
11-23 1539
解决这个问题的最直接办法 在你的html页面的form表单里添加下面一行代码 {% csrf_token %} &lt;!DOCTYPE html&gt; &lt;html lang="en"&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;title&gt;test&lt;/title&gt; &am
Django的CSRF保护引起的403 FORBIDDEN
热门推荐
ybdesire的专栏
09-03 1万+
用Django写了一个API,专门处理客户端发来的POST请求。结果每一次客户端JS发送POST请求,都得到403的Error。Google搜“django 403 forbidden ajax post”,在神奇的stackoverflow上发现了答案 。 原来是Django的CSRF保护机制导致的。CSRFCSRF跨站请求伪造,简单来说就是用户在访问受信任网站后,浏览器记录了受信任网站的co
SpringBoot
m0_46361249的博客
09-17 443
第一个SpringBoot 方法一:spring官网 ->project->SpringBoot->quickstart 下载 解压,配置 导入 方法二:直接创建
SpringBoot在使用Security和JWT时,应当怎么放行图片等静态资源#访问静态资源#静态资源放行#报错401
jingjiaohuan的博客
11-05 3343
springboot的文件上传总结,仅供学习
渗透技巧基于Swagger-UI的XSS
网安君的博客
08-25 8427
swagger-ui是一个允许 API 交互和可视化的库,Swagger-UI有一个特性它允许您向 API 规范提供URL一个yaml或json文件,它将被获取并显示给用户。该漏洞产生的原因是swagger-ui使用了一个过时的库DomPurify(DOMPurify是一个开源的基于DOM的快速XSS净化工具。输入HTML元素,然后通过DOM解析递归元素节点,进行净化,输出安全的HTML。),结合库的特性允许获得由查询参数控制的DOM型XSS。
SpringBoot Referer防盗链
weixin_44988811的博客
02-11 956
问题 测试修改了Referer信息后,再次发送请求,目前仍可返回结果。 解决 1、在application.yml配置文件添加需要过滤的白名单。 referer: refererDomain: - localhost - 127.0.0.1 - 192.168.XX.XX 2、新增配置模板 import lombok.Data; import org.springframework.boot.context.properties.ConfigurationProperties
理解CSRF伪造跨站请求安全威胁与测试方法
"这篇文档主要讨论了A-伪造跨站请求CSRF)的软件安全测试方法,并结合了网络安全事件和攻击手段的概述。" 在Web应用安全领域,CSRF(Cross-Site Request Forgery)是一种常见的攻击方式,它利用了用户已经登录并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值