Tomcat 7 中 CSRFPreventionFilter 的使用

最新推荐文章于 2024-09-16 16:45:51 发布
最新推荐文章于 2024-09-16 16:45:51 发布
阅读量483 收藏
点赞数
文章标签: tomcat servlet java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/125992147
版权
本文介绍了如何在Tomcat7中启用CSRFPreventionFilter以增强安全性。通过在web.xml中配置filter,指定不受CSRF检查的入口点如/index.jsp,/loginpage,/homepage,允许用户首次访问或重新进入应用。请注意,这些入口点仅限于HTTP GET请求,不应包含任何安全敏感操作。
摘要由CSDN通过智能技术生成

环境

  • JBoss 网络服务器 3.1
    • 雄猫 7.0.70

问题

  • Tomcat 7 中 CSRFPreventionFilter 的使用

解析度

  • CSRFPreventionFilter 在 JWS 3 Tomcat 7 中可用。它可以在 web.xml 中启用,如下所示:
<filter>
    <filter-name>CSRFPreventionFilter</filter-name>
    <filter-class>org.apache.catalina.filters.CsrfPreventionFilter</filter-class>
    <init-param>
        <param-name>entryPoints</param-name>
        <param-value>/index.jsp,/loginpage,/homepage</param-value>
    </init-param>
</filter>

<filter-mapping>
    <filter-name>CSRFPreventionFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
  • 自定义 entryPoints 并将其设置为一个逗号分隔的 URL 列表,这些 URL 不会被测试是否存在有效的 nonce。
  • 它们用于提供一种方法来首次导航到受保护的应用程序,或者在导航离开后返回到该应用程序。
  • 入口点将仅限于 HTTP GET 请求,不应触发任何安全敏感操作。
  • 这是设置客户在开始使用应用程序时首先访问的一些典型页面的最佳方式。
allway2
关注
tomcat 过滤器
weixin_43931625的博客
12-20 948
tomcat 过滤器
tomcat详解
Y_Prodigal的博客
09-28 791
tomcat详解
Tomcat常用的过滤器
weixin_30619101的博客
03-11 471
前言   之前我很肤浅的以为为了实现某种请求过滤功能(比如图片转换、文件上传、安全认证等),都需要自己去实现javax.servlet.Filter。之后在web.xml配置即可。   但事实上,Tomcat已经提供了部分相关的过滤器(本文只介绍常用的7个过滤器),只需要简单配置就可以使用。最近通过系统学习Tomcat架构之后,结合部分源码记录总结最常用的几种过滤器。   参考资料《T...
csrf-filter:用于处理 csrf 令牌的过滤器
06-18
关于 跨站点请求伪造 (csrf) - 是一种对网站的恶意利用,由此从网站信任的用户传输未经授权的命令。 有几种类型的如何防止此类攻击: 检查 http。 使用令牌 代码要求 csrf-filter 使用令牌方法。 它会自动处理此类令牌的验证和设置。 它引入了以下限制: 它只验证 POST 请求。 仅应使用 POST 方法更改数据状态 它添加了属性,该属性应该添加到所有 POST 请求(可以是 AJAX 或普通表单提交) 特征 在每个 GET 请求上生成并添加到 cookie 的令牌 它是无国籍的 如果未找到 cookie 或未找到请求参数或值不匹配,则将发送 Http 400 状态 可以配置令牌名称。 此名称将用作参数名称、cookie 名称和属性名称 它将属性添加到每个 !HttpServletRequest 。 与其他人相比 还有另一个 csrf 过滤器: : 这
Tomcat使用CSRFPreventionFilter阻止跨站请求伪造
allway2的博客
07-26 935
为解决跨站点请求伪造,在Tomcat启用CSRFPreventionFilter,如果使用文需要在CSRFPreventionFilter前增加Filter放置文乱码。之后在JSP和Servlet使用response.encodeURL()函数包裹所有连接。
Tomcat 阻止跨站请求伪造过滤器CsrfPreventionFilter.java源码
allway2的博客
07-28 330
代码】Tomcat阻止跨站请求伪造过滤器CsrfPreventionFilter.java源码。
创建Filter解决Tomcat CSRFPreventionFilter文乱码问题
allway2的博客
07-26 233
为解决跨站点请求伪造,在TomcatCSRFPreventionFilter文出现乱码问题,通过在CSRFPreventionFilter前增加Filter后,文不再乱码。
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat怎样防止跨站请求伪造(CSRF) 1
Tomcat无法加载css和js等静态资源文件的解决思路
09-15
首先,如果你的环境同时配置了Apache服务器和Tomcat,那么可能由于配置不当导致静态资源请求没有正确地转发到Tomcat处理。Apache可以通过mod_proxy模块将HTTP请求代理到Tomcat,使得静态资源请求能够被Tomcat正确...
Tomcat8性能优化
myy1066883508的博客
06-12 775
授人以鱼不如授人以渔 通过Tomcat性能优化可以提高网站的并发能力。Tomcat服务器在JavaEE项目使用率非常高,所以在生产环境对Tomcat的优化也变得非常重要了。 对于Tomcat的优化,主要是从2个方面入手,一是Tomcat自身的配置,另一个是Tomcat所运行的jvm虚拟机的调优。 本博客的不在于给出最佳配置,而是带领开发者,能够从实际情况出发,通过不断的调节tomcat和jvm参数,去发现吞吐量,平均响应时间和错误率等信息的变化,同时根据服务器的cpu和内存等信息,结合接口的业务逻辑,最好
Tomcat 的跨站点请求伪造防护过滤器
allway2的博客
07-25 971
由于对此处配置的URL的访问将是免费的(入口点URL将不受CSFR过滤器的保护),因此这些URL不执行任何安全关键操作非常重要。如果毫无戒心的用户使用此URL加载恶意网页,同时用户具有与www.mybank.com网站的活动会话,则此图像标签将能够在用户不知情的情况下从用户帐户转移资金。如果您使用CSRF预防过滤器,则必须通过单击连接页面的链接来访问所有页面,从入口点页面开始——您不能只在浏览器键入URL,因为您没有所需的随机数来传回到服务器!,并且也存储在会话。...
CSRF的攻击和防范
不如养猪!
09-21 1843
xss攻击原理 用户 使用浏览器访问可信的站点A进行业务,此时浏览器会保存站点A相关的cookie 用户 使用浏览器访问一个恶意的站点B,如果站点B的网页具有指向站点A的链接,攻击就有可能发生。有如下几种情况: a、站点B返回给用户的页面包含站点A的链接,点击这个链接就会跳转到站点A b、站点B返回给用户的页面包含,其XXX就是指向站点A的链接,这样用户只要访问站点B的页面
Tomcat怎样防止跨站请求伪造(CSRF)
Tomcat那些事儿
09-16 1028
对于CSRF,可能一些朋友比较陌生。我们下面先简单介绍下。什么是CSRF呢,我们看下Wikipedia的说明:Cross-site request forgery,即跨站请求伪造,也称为...
SpringSecurity原理解析(八):CSRF防御解析
最新发布
liang8999的博客
09-16 1165
在自定义SpringSecurity配置文件的configure方法,通过 HttpSecurity 先调用csrf()从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用程序,2)请求到来时,程序会从请求获取提交的csrfToken,同时会从HttpSession获取。之前存储的csrfToken进行比较,如果相同则认为是合法的请求,继续后面的操作,这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验,来检查 Referer字段。
tomcat报错 严重: Exception starting filter CSRF
weixin_43097622的博客
06-25 2068
tomcat报错 严重: Exception starting filter CSRF
java csrf过滤filter
走走停停的小码农的博客
05-18 7846
public class CsrfFilter implements Filter { private static final Logger logger = LogManager.getLogger(CsrfFilter.class); // 白名单 private List whiteUrls; private int _size = 0; public void init(
防止CSRF filter拦截验证
sinat_14871673的博客
02-19 1852
参考: https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ 0 拦截每个页面并为其设置sessionToken cookie  1 需要特殊拦截验证(涉及数据更新保存)哪些页面 在web.xml 配置  2 在拦截器 拦截 ajax 提交的header 进行对比 web.xml
Spring Security笔记:解决CsrfFilter与Rest服务Post方式的矛盾
weixin_34403693的博客
01-06 336
基于Spring Security+Spring MVC的web应用,为了防止跨站提交攻击,通常会配置csrf,即: 1 &lt;http ...&gt; 2 ... 3 &lt;csrf /&gt; 4 &lt;/http&gt; 如果应用有Post方式访问的Rest服务(参考下面的代码),会很不幸的发现,所有P...
java 防止xss攻击
笨鸟快飞的专栏
10-27 3447
关于xss的概念和解决方案网上很多,可以参考这个: http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 这里说下最近项目我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escap
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值