防盗链&CSRF&API接口幂等性设计
防盗链技术
CSRF(模拟请求)
分析防止伪造Token请求攻击
互联网API接口幂等性设计
忘记密码漏洞分析
1.Http请求防盗链
什么是防盗链
比如A网站有一张图片,被B网站直接通过img标签属性引入,直接盗用A网站图片展示。
如果别人的项目频繁引用我的图片的话 别人请求放访问的是我的 服务器 也会浪费我的宽带
如何实现防盗链
判断http请求头Referer域中的记录来源的值,如果和当前访问的域名不一致的情况下,说明该图片可能被其他服务器盗用。
Referer字段中记录了访问的来源(浏览器访问链接地址)
http协议中: 请求头 请求体 请求
相当于限制资源(图片、文字) 只能在某个域名(限制某个服务器)来源进行访问
在互联网本质通讯底层socket技术,socket技术里面二进制文件流传输,不论是图片还是视频都是玩的二进制文件流进行传输
补充如果看不到请求头:
从哪个访问地址过来的信息 如上图所示
A项目(服务器A):
maven:
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.0.0.RELEASE</version>
</parent>
<dependencies>
<!-- SpringBoot 对lombok 支持 -->
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
</dependency>
<!-- SpringBoot web 核心组件 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-tomcat</artifactId>
</dependency>
<!-- SpringBoot 外部tomcat支持 -->
<dependency>
<groupId>org.apache.tomcat.embed</groupId>
<artifactId>tomcat-embed-jasper</artifactId>
</dependency>
<!-- springboot-log4j -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-log4j</artifactId>
<version>1.3.8.RELEASE</version>
</dependency>
<!-- springboot-aop 技术 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-aop</artifactId>
</dependency>
</dependencies>
Controller:
@Controller
public class JspController {
private static final Logger logger = LoggerFactory.getLogger(JspController.class);
@RequestMapping("/jspIndex")
public String jspIndex() {
logger.info("springboot 集成logger 日志成功!!!");
return "jspIndex";
}
}
jsp:
<%@ page language="java" contentType="text/html; charset=UTF-8"
pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
<h1>我是A项目....</h1>
<img alt="" src="http://toov5.test1.cc:8080/imgs/01.png">
</body>
</html>
可以看到 静态资源访问的路径:
http://toov5.test1.cc:8080/imgs/01.png