防盗链&CSRF&API接口幂等性设计

最新推荐文章于 2023-09-13 14:57:32 发布
最新推荐文章于 2023-09-13 14:57:32 发布
阅读量741 收藏
点赞数
分类专栏: 互联网安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/art_code/article/details/90509633
版权
本文介绍了互联网安全中的几个关键概念:防盗链技术通过检查Referer字段防止资源被盗用;CSRF攻击及其防范措施,包括使用Token和图形验证码;API接口幂等性设计,推荐使用Token机制防止重复提交,确保数据一致性。
摘要由CSDN通过智能技术生成

防盗链&CSRF&API接口幂等性设计

 防盗链技术

CSRF(模拟请求)

分析防止伪造Token请求攻击

互联网API接口幂等性设计

忘记密码漏洞分析

 

 

1.Http请求防盗链

什么是防盗链

比如A网站有一张图片,被B网站直接通过img标签属性引入,直接盗用A网站图片展示。

 如果别人的项目频繁引用我的图片的话 别人请求放访问的是我的 服务器  也会浪费我的宽带

如何实现防盗链

  判断http请求头Referer域中的记录来源的值,如果和当前访问的域名不一致的情况下,说明该图片可能被其他服务器盗用。

  Referer字段中记录了访问的来源(浏览器访问链接地址)

  http协议中: 请求头 请求体 请求 

  相当于限制资源(图片、文字) 只能在某个域名(限制某个服务器)来源进行访问

  在互联网本质通讯底层socket技术,socket技术里面二进制文件流传输,不论是图片还是视频都是玩的二进制文件流进行传输

     

 

补充如果看不到请求头:

从哪个访问地址过来的信息 如上图所示

 

A项目(服务器A):

maven:

  

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.0.0.RELEASE</version>
    </parent>
    <dependencies>
        <!-- SpringBoot 对lombok 支持 -->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>

        <!-- SpringBoot web 核心组件 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-tomcat</artifactId>
        </dependency>
        <!-- SpringBoot 外部tomcat支持 -->
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-jasper</artifactId>
        </dependency>

        <!-- springboot-log4j -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-log4j</artifactId>
            <version>1.3.8.RELEASE</version>
        </dependency>
        <!-- springboot-aop 技术 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>

    </dependencies>

 

 Controller:

@Controller
public class JspController {
    private static final Logger logger = LoggerFactory.getLogger(JspController.class);

    @RequestMapping("/jspIndex")
    public String jspIndex() {

        logger.info("springboot 集成logger 日志成功!!!");

        return "jspIndex";
    }

}

jsp:

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>

    <h1>我是A项目....</h1>
    <img alt="" src="http://toov5.test1.cc:8080/imgs/01.png">
</body>
</html>

可以看到 静态资源访问的路径:  

http://toov5.test1.cc:8080/imgs/01.png

 

最低0.47元/天 解锁文章
Art&Code
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
api存在csrf攻击吗_使用rest api防止单页应用上的csrf攻击
weixin_26741563的博客
09-30 1301
api存在csrf攻击吗tl;dr — If your SPA uses a private REST API, use CORS and a CSRF Token header. If your SPA uses a public REST API, use a SameSite Strict cookie for mutating operations (if you only support...
分布式环境下,互斥性与幂等性问题,分析与解决思路
uuqaz的博客
05-25 231
导语 随着互联网信息技术的飞速发展,数据量不断增大,业务逻辑也日趋复杂,对系统的高并发访问、海量数据处理的场景也越来越多。如何用较低成本实现系统的高可用、易伸缩、可扩展等目标就显得越发重要。 为了解决这一系列问题,系统架构也在不断演进。传统的集中式系统已经逐渐无法满足要求,分布式系统被使用在更多的场景中。 正文 分布式系统由独立的服务器通过网络松散耦合组成。在这个系统中每个服务器都是一**立的主机,服务器之间通过内部网络连接。分布式系统有以下几个特点: 可扩展性:可通过横向水平扩展提高系统的性
CSRF攻击与防御
稻草人技术博客
03-28 616
1、简介  CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)  CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对页面浏览器的信任,XSS则利用了系统对用户的信任。 2、CSRF攻击原理 下面为CSRF攻击原理图: 由上图分析我们可以知...
零号培训平台课程-4、 CSRF
Onlyone_1314的博客
07-10 1144
核心知识所谓CSRF漏洞,就是通过浏览器的cookie机制,通过诱骗用户点击包含恶意Javascript代码的HTML页面,在用户不知情的情况下,触发对关键接口的调用。CSRF漏洞的利用前提是:o用户已登录网站 o网站的关键API接口没有对CSRF防御 o用户点击访问了攻击者的网页CSRF漏洞的利用方式是:oGET请求:img标签src=属性; oPOST请求:form表单,配合Javascript代码自动提交表单CSRF漏洞的检测方式是:o检查请求中是否包含随机token内容 o修改token,检查接口
API安全(二):API安全设计原则
weixin_43923647的博客
06-10 949
很多API安全问题的产生的根源是缺少好的API安全设计API安全设计有利于提升API自身的安全性。这里将讲2条设计原则:5A原则和纵深防御原则。 一、5A原则
springboot+thymeleaf实现如何防御XSS、SQL注入、SCRF、防盗链攻击
qq_37894645的博客
12-30 1330
Web安全常见攻击手段 XSS、SQL注入、防盗链CSRF、上传漏洞 一、 XSS攻击 什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 表单提交数据 下面由 thymeleaf + spring Boot 2.2.4 代码实现: 1、省略创建maven工程步骤 2.、修改pom.xml <parent> <groupId>org.spr
常见Web安全漏洞及其防御
10-24 1443
常见Web安全漏洞及其防御 1.1 XSS攻击 1.1.1 什么是XSS攻击手段 XSS攻击其实就是使用Javascript脚本注入进行攻击,因为浏览器默认支持脚本语言执行,如果在表单提交的时候,提交一些脚本参数,浏览器可能就直接执行了 攻击常见与论坛的评论 例如“提交表单后,展示到另一个页面”这个功能,可能会受到XSS脚本注入,本地cookie被读取,远程发送给黑客服务器端,然后可以伪造来发起请...
大型网站技术架构——核心原理与案例分析,笔记思考【未完】
jjyy2333的博客
01-12 1453
1. 核心要素 性能 可用性 伸缩性 拓展性 安全性 五个要素能不能都要呢? 2. 性能 网站的性能是客观的指标,可以具体体现到响应时间、吞吐量等技术指标,同时也是主观感受。 用户视角的性能: ​ 就是用户在浏览器上直观感受到的网站响应速度快还是慢。 开发人员眼中的性能: 响应延迟 系统吞吐量 并发处理能力 系统稳定性等 相关的优化手段有: 缓存加速读取 使用集群提高吞吐能力 使用异步消息加快请求响应及实现削峰 使用代码手段优化 运维人员视角的性能主要是基础设施性能和资源利用率,包括: 网络运
Python学习,55道django面试题,来试试吧
sehun_sx的博客
03-22 9730
1. 对Django的认识? (1.Django是走大而全的方向,它最出名的是其全自动化的管理后台:只需要使用起ORM,简单的对象定义,它就能自动生成数据库结构、以及全功能的管理后台。 (2.Django内置的ORM跟框架内的其他模块耦合程度高。 应用程序必须使用Django内置的ORM,否则就不能享受到框架内提供的种种基于其ORM的便利; 理论上可以切换掉其ORM模块,但这就相当于要把装修完毕的房子拆除重新装修,倒不如一开始就去毛胚房全新的装修。 (3.Django的卖点是超高的开发效率,其性能扩展有
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以未授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API
API 接口安全整理
云满笔记
12-05 559
HTTP 接口是互联网各系统之间对接的重要方式之一, 使用 HTTP 接口, 开发和调用都很方便, 也是被大量采用的方式, 它可以让不同系统之间实现数据的交换和共享, 但由于 HTTP 接口开放在互联网上, 那么我们就需要有一定的安全措施来保证不能是随随便便就可以调用;一种是以支付宝等支付公司为代表的私钥公钥签名验证机制;-一种是大量互联网企业都常采用的参数签名验证机制;
浅谈API安全的应用
Candour_0的博客
02-16 437
浅谈API安全的应用
常见的API接口漏洞总结
summer_fish的专栏
05-01 3977
熟悉这些漏洞非常重要,这样您就可以轻松识别它们,在参与渗透测试期间利用它们,并将其报告给组织,以防止犯罪分子将您的客户拖入头条新闻。现在您已经熟悉了 Web 应用程序、API 及其弱点。
API接口漏洞利用及防御
最新发布
MachineGunJoe666
09-13 453
未经身份验证和授权访问:API接口没有进行适当的身份验证和授权验证,导致攻击者可以直接访问敏感数据或执行未经授权的操作。这种漏洞可能是由于弱密码、缺少访问令牌或缺乏强制访问控制机制导致的。不正确的访问控制:API接口未正确实施访问控制机制,允许攻击者越权访问受限资源。这可能包括缺少角色验证、错误配置的权限策略或漏洞的访问控制列表(ACL)配置。敏感信息泄露:API接口在响应中返回了敏感信息,如数据库连接字符串、用户凭据、私钥等。攻击者可以利用这些信息进行进一步的攻击,例如数据库注入、身份盗窃等。
API 渗透测试之漏洞发现
CSDN_224022的博客
06-20 536
API 渗透测试中,因为 API 的特殊性,如果前期信息收集不全(比如 API 列表不全遗漏了影子 API),自动化扫描过程中会无法检测到相应 API 的漏洞,这时通常需要手工挖掘。漏洞发现是利用收集到的信息,发现应用程序的缺陷或漏洞的过程。在常规的渗透测试中,这种漏洞发现的范围非常广,包含了信息系统的方方面面,比如网络层协议配置错误、主机补丁没有及时升级、应用层权限配置错误等。在实际工作中,往往两种方式混合使用,比如先使用自动化检测工具全量扫描一次,再针对高风险业务场景,进行人工渗透或复核。
Android 应用之安全开发
Android_SE的博客
09-16 1517
大佬:“这个 APP 破解下,可以兼容客户已出货的产品” 我:“这个不合适吧” 大佬:“这个客户对我们很重要” 我:“好吧” 然后,就是通过反编译某 APP ,分析蓝牙交互协议,在新的 APP 中去兼容已出货的设备,达到无缝对接。 –这种场景在开发中还是比较经常碰到的。 一、引言 随着移动互联网向社会生活的各个领域渗透,APP 的使用越来越广泛。但 Android 系统由于其开源的属性,市场...
API接口服务漏洞发现与修复思路
永远是少年
01-02 2013
今天继续给大家介绍渗透测试相关知识,本文主要内容是API接口服务漏洞发现与修复思路。 一、端口服务漏洞发现与修复思路 二、API接口服务漏洞发现与修复思路 三、补充:信息收集小技巧
网络安全之XSS、CSRFAPI接口攻击
lentoo的博客
05-06 2151
前言对于网站开发,我们不得不面对各种网络攻击。而网络攻击的方式千姿百态,这次我们就将学习下常见的三种方式 —— XSS、CSRFAPI接口攻击。XSS介绍维基百科: 跨...
Nginx跨域配置与防盗链策略详解
Nginx跨域访问场景配置与防盗链...Nginx的跨域访问控制和防盗链功能强大且灵活,可以根据实际应用场景调整配置,确保Web服务的安全性和性能。在部署时,理解并正确配置这些特性对于保护网站免受攻击和滥用至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值