Tomcat怎样防止跨站请求伪造(CSRF)

最新推荐文章于 2023-05-07 00:17:08 发布
最新推荐文章于 2023-05-07 00:17:08 发布
阅读量980 收藏
点赞数
文章标签: java python js linux 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chainhou/article/details/112686855
版权

对于CSRF,可能一些朋友比较陌生。我们下面先简单介绍下。

什么是CSRF呢,我们看下Wikipedia的说明:

Cross-site request forgery,即跨站请求伪造,也称为 "One Click Attach" 或者"Session Riding",常缩写成CSRF。是通过伪装来自受信任用户的请求来利用受信任的网站

其中,说起CSRF,经常会举的一个例子,是这样的:

用户A在访问网上银行,在银行网站里进行了一些操作后。

之后点击了一个陌生的链接。而这个链接,是用户B提供的一个恶意网页W,网页W内也包含访问和用户A相同银行信息的链接,可能是转帐,也可能是修改密码。

此时如果A的认证信息还未过期,就会被直接利用,成功帮助W进行了银行网站的对应操作,而这一切,都是在A不知情的情况下进行的。

为了防范CSRF,常见的方式有:

  • 请求中包含随机token信息

  • Cookie中包含csrf token信息

  • 其他的验证请求头Refer等...

在Tomcat中,默认提供了一个防范CSRF的好工具: CSRF Prevention Filter

Tomcat默认提供了各类的Filter,处理不同的场景和需求。像我们前面介绍过的处理编码的Tomcat自带的设置编码Filter,还有进行跨域处理的Tomcat与跨域问题等等。今天介绍的CSRF Prevention Filter也是其中的一个。

整个Filter的工作流程可以概括成以下内容:

该Filter为Web应用提供了基本的CSRF 保护。它的filter mapping对应到/*

并且所有返回到页面上的链接,都通过调用HttpServletResponse#encodeRedirectURL(String) 或者 HttpServletResponse#encodeURL(String)进行编码。实现机制是生成一个token并且将其保存到session中,URL的encode也使用同样的token,当请求到达时,会比较请求中的token和session中的token是否一致,只有相同的才允许继续执行。

我们通过一个例子,深入源码,来了解下内部的实现细节。

还是使用Tomcat自带的Manager应用来看下。

在其web.xml中,有这样的配置:


下面的内容是CsrfPreventionFilter的doFilter方法,


我们注意到前面的配置里包含一个entryPoints,对照代码,马上就能明白,这项配置用来做类似于exclude的功能,在配置中的映射,可以跳过检查。

而如果没有在entryPoints中,同时在session存在,但不包含对应的Nonce,就会直接返回403(SC_FORBIDDEN)。

如果session不存在,就会在doFilter中走到下面的内容:


做为初次请求,会在session中保存对应的Attribute,同时添加到一个LruCache中。这里的重点在于,使用了HttpServletResponseWrapper的子类CsrfResponseWrapper替换了它做为response传入后续的流程。

所以,后面所有调用encodeUrl的地方,其实实际调用到的是这个:

public String encodeURL(String url) {

            return addNonce(super.encodeURL(url));

}

addNonce对应的,是在传入URL后面增加csrf token或者是nonce的标识,用于后续请求时的识别。


页面具体的编码操作,则是对response的encodeURL的使用,也就是我们上面addNonce的使用:

对应到Manager应用,它的页面是通过Servlet输出的,所以具体的逻辑在Java文件中,我们在页面上的连接观察到,此时获取应用列表的请求URL变成了这样:

http://localhost:8080/manager/html/list?org.apache.catalina.filters.CSRF_NONCE=6BC061DD606D7BA1BDEF7F40657F0C47

每个不在entryPoints中的请求,都会加上org.apache.catalina.filters.CSRF_NONCE=6BC061DD606D7BA1BDEF7F40657F0C47

这种形式的URL输出,就是在页面上调用encodeURL的结果,对应的Manager中的代码是这个样子:



以上,就是CSRF Prevetion Filter实现的原理和细节。当然,上面返回403的地方,以及生成nonce的地方,都可以通过Filter提供的参数来进行配置,分别对应到denyStatus和randomClass。后者需要提供一个Random的实现。

相关阅读:

深入Tomcat的Manager应用

如何避免Manager应用被人利用

Tomcat自带的设置编码Filter

和Tomcat学设计模式 | 责任链模式及Filter的工作原理

扫描或长按下方二维码,即可关注,发现更多精彩文章!

chainhou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat怎样防止请求伪造(CSRF) 1
08-08
Tomcat怎样防止请求伪造(CSRF) 1
Tomcat 访问管理页面出现:403 Access Denied
Kunaly
08-23 2078
403 Access Denied You are not authorized to view this page. By default the Manager is only accessible from a browser running on the same machine as Tomcat. If you wish to modify this restriction, yo...
Tomcat域访问(CROS)
萧曳丶
10-29 2852
文章目录第二步:在tomcat服务器下webapps/ROOT目录下创建如下两个xml文件1. clientaccesspolicy.xml2. crossdomain.xml第三步:修改Tomcat服务器下conf/web.xml,或者项目WEB-INF/web.xml, 项目场景: 两个项目 ,同一域名不同端口 分别跑在同一台机器的两个tomcat中,构成域。 首先需要进行cros配置,...
Tomcat中使用CSRFPreventionFilter阻止请求伪造
allway2的博客
07-26 842
为解决请求伪造,在Tomcat中启用CSRFPreventionFilter,如果使用中文需要在CSRFPreventionFilter前增加中文Filter放置中文乱码。之后在JSP和Servlet中使用response.encodeURL()函数包裹所有连接。
Tomcat 中的请求伪造防护过滤器
allway2的博客
07-25 837
由于对此处配置的URL的访问将是免费的(入口点URL将不受CSFR过滤器的保护),因此这些URL不执行任何安全关键操作非常重要。如果毫无戒心的用户使用此URL加载恶意网页,同时用户具有与www.mybank.com网的活动会话,则此图像标签将能够在用户不知情的情况下从用户帐户中转移资金。如果您使用CSRF预防过滤器,则必须通过单击连接页面的链接来访问所有页面,从入口点页面开始——您不能只在浏览器中键入URL,因为您没有所需的随机数来传回到服务器!,并且也存储在会话中。...
网络安全原理与应用:请求伪造CSRF简介.pptx
05-16
请求伪造CSRF简介 第7章 Web应用安全 目标 Objectives 要求 了解请求伪造CSRF的基本概念; 了解请求伪造CSRF的攻击原理; 请求伪造CSRF简介 一、请求伪造CSRF简介 请求伪造(Cross-site ...
浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法
10-18
下面小编就为大家分享一篇浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
CSRF请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
Django CSRF请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网A,浏览器就会保存网A...
Apache Tomcat Csrf 令牌泄露漏洞
allway2的博客
07-25 676
Host标头的目的是包含请求的目标来源。但是,如果您的应用程序部署在许多不同的地方,例如,开发、测试、QA、生产和可能的多个生产实例,这可能会导致维护问题。例如,如果您的网是“site.com”,请确保“site.com.attacker.com”没有通过您的来源检查(即,匹配来源之后的尾随/以确保您与整个起源)。一旦您确定了源来源(来自Origin或Referer标头),并且您已经确定了目标来源,但是您选择这样做,那么您可以简单地比较这两个值,如果它们与您不匹配知道你有一个请求。...
from表单的安全措施,csrf_token
weixin_43641304的博客
12-28 1601
表单验证,防止攻击 {% csrf_token %}  {#  随机生成一个  value  的值,值为字符串,用于表单验证,防止攻击(生成默认隐藏,不显示在页面上,只显示在结构里)   #} 生成效果 ...
漏洞扫描常见修复方案
CVJASBPTR的博客
12-15 2131
1、Apache JServ protocol service 描述: 问题出在Tomcat的8009端口,错误的提示是8009端口上运行着tcp协议。 修复方案: 解决办法: 只能是通过关闭8009端口来实现 Apache JServ protocol = AJP 解决方案:修改tomcat 的service.xml配置文件 将 <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> 这一行注释掉 2、Slow
CSRF token为什么可以保护表单提交?底层原理是什么?
长风破浪会有时的博客
05-07 543
CSRF token 是一种用于防范 CSRF 攻击的机制,其底层原理是在表单提交或链接跳转等操作中添加一个随机的 token 字段,这个 token 字段由服务器生成并附加在表单中或者链接的 URL 参数中。当用户提交表单或者点击链接时,浏览器会将 token 字段一同发送到服务器端,服务器会校验 token 的合法性,只有当 token 与服务器预期的一致时,请求才会被处理。如果一致,则处理请求,否则拒绝请求。用户访问页面时,服务器会在后端生成一个随机的 token,并将 token 返回给前端页面。
Tomcat 7 新特性学习之一 - 防止CSRF攻击
iteye_5555的博客
11-08 1753
Tomcat 7 Beta版本出来已经有段时间了,看了JavaEye上的朋友,还是有几个非常勤奋每天都在学习的朋友,他们能够每天学习,坚持下来,实属不易,他们非常的年轻,有几个,我还见过面,小伙子们的好学精神实在让人敬佩。这个社会很浮躁,我自己也是这样,尤其在杭州这种城市里生活,会有一定的压力,毕竟人总是想要更好的生活:想买大大的房子,买个自己喜欢的车子,自己的小孩上学不用着急她的学费。做人的乐趣...
请求伪造CSRF
onion的博客
09-07 725
是什么?   CSRF攻击指诱使用户访问伪造的页面,然后以该用户身份在第三方点执行一次操作,CSRF攻击是利用用户身份操作用户账户的一种攻击方式。 怎么办? 验证码:CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求。验证码则强制用户必须与应用进行交互,才能完成最终请求。因此在通常情况下,验证码能够很好地遏制CSRF攻击,但该防御方式用户体验较差; Referer Check防盗链:可...
CSRF的攻击和防范
不如养猪!
09-21 1817
xss攻击原理 用户 使用浏览器访问可信的点A进行业务,此时浏览器会保存点A相关的cookie 用户 使用浏览器访问一个恶意的点B,如果点B中的网页具有指向点A的链接,攻击就有可能发生。有如下几种情况: a、点B返回给用户的页面包含点A的链接,点击这个链接就会跳转到点A b、点B返回给用户的页面包含,其中XXX就是指向点A的链接,这样用户只要访问点B的页面
Docker Tomcat 部署War, Manager 管理员账号和密码设置,org.apache.catalina.filters.CSRF_NONCE
faceqq的博客
07-07 878
docs examples host-manager manager 2. pull拉取镜像 3. 直接运行镜像版本如果本地没有会自动拉取,可以忽略2 –rm 容器停止的时候自动删除,这里我们不加–rm 参数如果有配置需要修改需要提交容器,则不能让容器在停止的时候删除。 –name 指定容器的名称 -p 8080:8080 映射宿主机8080 到容器8080 此时是不能访问manager的,根据上面的提示在conf的 tomcat-user.xml下配置访问用户 5. 进入容器修改t
Tomcat 怎样防止请求伪造CSRF
weixin_33720956的博客
10-09 1112
为什么80%的码农都做不了架构师?>>> ...
Tomcat7.0+ web.xml问题
Sunny的专栏
05-25 677
Tomcat7+版本的web.xml都加上     webAppRootKey    项目名(唯一)
请求伪造 CSRF的原理与应用
最新发布
05-13
CSRF(Cross-Site Request Forgery)请求伪造是一种网络攻击方式,攻击者通过某些手段欺骗用户在受信任的网上执行非预期的操作,从而实现攻击目的。 攻击原理: 攻击者在受害者的浏览器中注入一个恶意代码,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值