springboot跨站拦截器

已于 2022-01-19 17:53:10 修改
阅读量357 收藏
点赞数
分类专栏: spring boot java 文章标签: spring boot java 跨站
于 2022-01-19 17:28:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aw277866304/article/details/122585673
版权

对于有安全需求的系统来说,或者项目安全测试啥的一般都会对跨站请求进行验证,跨站拦截应该算是用得比较多的安全验证方式。

具体攻击细节及防护措施,请点击查看跨站请求伪造_百度百科

其中,检查Referer字段方式可以通过自定义一个跨站拦截器进行有效拦截

package cn.xxx.rdc.fi.filter;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.context.annotation.Configuration;

import com.alibaba.fastjson.JSON;

import cn.trasen.BootComm.Contants;
import lombok.extern.slf4j.Slf4j;

/**
 * Referer拦截器
 * 
 * @author xxx
 * @date: 2021-04-07 16:07:09
 * @Copyright: Copyright (c) 2006 - 2021
 * @Company: xxx
 * @Version: V1.0
 */
@Slf4j
@Configuration
@ConditionalOnProperty(prefix = "referer.filter", name = "enabled", matchIfMissing = true, havingValue = "true")
public class RefererFilter implements Filter {

    @Value("${request.url.prefix}")
    private String requestUrlPrefix;

    /**
     * 验证Referer
     * 
     * @author: xxx
     * @date: 2021-04-07 16:11:08
     * @param request
     * @param response
     * @param chain
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {

        log.info("RefererFilter doFilter start");

        HttpServletRequest req = (HttpServletRequest)request;
        HttpServletResponse res = (HttpServletResponse)response;

        String referer = req.getHeader("Referer");

        log.info("RefererFilter doFilter refere:" + referer);

        // 验证请求地址
        if ((referer != null) && (referer.trim().startsWith(requestUrlPrefix))) {
            chain.doFilter(request, response);
        } else {
            Map<String, Object> result = new HashMap<String, Object>();
            result.put("statusCode", Contants.NO_AUTHENTICATION);
            result.put("message", "不允许跨站请求!");
            result.put("object", null);
            res.setContentType("application/json;charset=UTF-8");
            PrintWriter writer = res.getWriter();
            writer.write(JSON.toJSONString(result));
            writer.flush();
            writer.close();
            res.flushBuffer();
        }

        log.info("RefererFilter doFilter end");

    }

    @Override
    public void destroy() {
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {
        log.info("============RefererFilter 拦截器启动============");
    }

}

Contants.NO_AUTHENTICATION为自定义常量,本系统为消息码

// 未授权
public static final Integer NO_AUTHENTICATION = 21000;

配置项

# 请求地址前缀
request.url.prefix=http://192.168.18.28:7070/
# 是否开启跨站拦截:不配置或true为开启
referer.filter.enabled=false
CS_草祭先生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java springboot 通过Referer防止点请求伪造
qq_44154912的博客
10-21 4012
防止点请求伪造 获取 referer 为null, 无法获取 referer 导致过滤失败
springboot 拦截
weixin_44251024的博客
03-26 198
1.编写一个拦截 import java.io.PrintWriter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.web.servlet.ModelAndView; import org.spr...
xss攻击和csrf攻击的定义及区别
weixin_33841503的博客
04-22 355
1.CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2.CSRF的攻击原理 用户是网A的注册用户,且登录进去,于是网A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网A,并在本地生成Coo...
点请求伪造 - SpringBoot配置CSRF过滤
C3Stones
09-20 5528
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
springboot实现文件防盗链设计
最新发布
shigen的博客
05-12 972
`shigen`,一位专注于Java、Python、Vue和Shell的博主,分享成长和技术。近期将探讨SpringBoot实现图片防盗链,通过限制`Referer`防止资源被盗用。基础版通过`WebMvcConfigurer`配置静态资源,升级版添加拦截检查`Referer`,确保请求来源合法性。详细代码实现和案例可在文中链接找到。一起学习,每天进步!
Springboot域配置及拦截设置
互联网编程爱好者
03-14 1447
域配置 @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { /* * 添加域访问映射路径 */ @Override public voi...
防盗链之基于springboot过滤实现
Lengff
11-11 1553
文章目录防盗链之基于springboot过滤实现什么是盗链防盗链的原理防盗链实现实现代码总结 防盗链之基于springboot过滤实现 什么是盗链 内容不在自己的服务上,通过技术手段将其他网的内容(图片,音乐,软件等) 放置在自己的网中,通过这种方式盗取其他网的空间和流量,减轻自己服务的负担。 举个例子我们服务上有一个播放视频的地址,其他的网用户就可以将我们的视频地址引用到他们的网上,他们服务实际没有任何开销,却能以此吸引用户! 防盗链的原理 根本原理是基于HTTP协议中的Refer
springboot----拦截
Adela0916的博客
06-22 108
拦截步骤 编写一个拦截实现HandlerInterceptor接口。 package com.fzl.web05admin.interceptor; import lombok.extern.slf4j.Slf4j; import lombok.val; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import jav
spring boot拦截的使用场景示例详解
08-19
Spring Boot 拦截是基于Spring MVC的拦截机制,用于在请求处理之前、之后以及发生异常时执行特定的业务逻辑。它们是实现应用程序级切面关注点(如日志、安全性、性能监控)的有效工具。在本文中,我们将深入...
SpringBoot集成SpringMVC例子.docx
12-03
`WebMvcConfigurer`接口提供了许多方法来定制SpringMVC的行为,例如配置拦截、CORS(源资源共享)规则、静态资源映射等。以下是一些常用配置示例: - **拦截**:可以通过`addInterceptors`方法注册拦截,...
springboot整合流行框架Demo
02-27
SpringBoot整合Shiro,可以通过定义ShiroFilterFactoryBean并配置Shiro的路径拦截规则。同时,需要创建自定义的Shiro Realm,实现用户身份验证和权限校验。Shiro Realm连接到你的数据源,如数据库,从中获取用户信息...
springboot拦截实现拦截 权限校验,登录demo
11-14
不知道为啥不能设置0。这个是demo,有时间博主吧git整理下 链接发出来
springboot实现拦截之验证登录示例
08-31
本篇文章主要介绍了springboot实现拦截之验证登录示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot-security.zip
08-24
5. **启用CSRF保护**:SpringSecurity默认开启CSRF(请求伪造)防护,但某些API可能不需要,可以通过配置关闭或定制。 在提供的压缩包`springboot-security.zip`中,应包含了一个完整的SpringBoot整合Spring...
springboot基于redis防止接口恶意刷新和暴力请求
01-17
在提供的压缩包文件`springboot-redisIpUrlLimit`中,可能包含了实现这一功能的示例代码,包括配置文件、拦截类、以及相关的Redis操作方法。通过研究这些代码,读者可以更直观地了解如何在Spring Boot项目中实践这...
超详细! springboot整合Filter_拦截_注解+aop的方式实现token校验
Think_and_work的博客
02-09 1769
超详细! springboot整合Filter_拦截_注解+aop的方式实现token校验
SpringBoot添加Referer拦截最详细实例
爱java的小蓝的博客
09-28 3474
背景:项目进行了安全漏洞扫描,扫描中风险提示需要验证“Referer”头的值。 application-referer.yml配置可访问referer地址 application-referer: refererDomain: - http://42.228.55.222 - https://42.228.55.222 - http://59.207.61.21 加载application-referer.yml文件获取referer list package ..
SpringBoot安全验证之Referer拦截
热门推荐
跟派大星学编程
04-11 1万+
自定义Referer拦截 public class RefererInterceptor extends HandlerInterceptorAdapter { // URL匹配 private AntPathMatcher matcher = new AntPathMatcher(); @Autowired private RefererProperties ...
springsecurity与springboot拦截有什么区别
06-08
虽然 Spring Security 和 Spring Boot 拦截都可以用于保护你的应用程序的安全性,但它们的作用略有不同。Spring Security 主要用于保护应用程序免受各种恶意攻击,而 Spring Boot 拦截主要用于对请求进行处理。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值