HttpReferrer验证

最新推荐文章于 2023-11-15 19:25:21 发布
最新推荐文章于 2023-11-15 19:25:21 发布
阅读量583 收藏
点赞数
分类专栏: MVC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dxm809/article/details/104649982
版权

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace Chapter7
{
    public class IsPostedFromThisSiteAttribute:AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            if (filterContext.HttpContext!=null)
            {
                if (filterContext.HttpContext.Request.UrlReferrer==null)
                {
                    throw new System.Web.HttpException("Invalid submission");
                }

                if (filterContext.HttpContext.Request.UrlReferrer.Host!="localhost")
                {
                    throw new System.Web.HttpException("This form wasnot submitted from this site");
                }
            }
            //base.OnAuthorization(filterContext);
        }
    }
}

dxm809
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javascript document.referrer 用法
12-09
- **本地文件**:如果你直接在本地文件系统中打开这两个文件,比如从文件夹中双击 `b.html`,浏览器不会记录来源,因为没有实际的 HTTP 请求,所以 `document.referrer` 会返回空字符串。 - **直接输入 URL 或使用...
java cn.itcast.gjp.dao
dxm809的博客
08-16 232
package cn.itcast.gjp.dao; /* * 实现对数据表 gjp_zhangwu 数据增删改查操作 * dbuils工具类完成,类成员创建QueryRunner对象,指定数据源 */ import java.sql.SQLException; import java.util.List; import org.apache.commons.dbutils.QueryRunner; import org.apache.commons.dbutils.handlers.Bea.
跨站请求伪造CSRF防护方法
jijithin
08-22 866
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 一、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 ...
App登录
dxm809的博客
05-16 415
activity_login.xml <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" android:layout_width="match_parent" android:layout_height="match_parent" android:focusable="true" android:focusableInTouchMode="true" andr.
关于防盗链的方法之HTTP的referer检查
最新发布
weixin_74085863的博客
11-15 881
本文专注讲解了防盗链的referer实现,快来学习吧
http referer 验证防御方法_CSRF漏洞的原理与防御
weixin_39713686的博客
11-29 2160
本文转载于SegmentFault社区作者:MshuCSRF 全称:Cross Site Request Forgery,译:跨站请求伪造场景点击一个链接之后发现:账号被盗,钱被转走,或者莫名发表某些评论等一切自己不知情的操作。CSRF是什么csrf 是一个可以发送http请求的脚本。可以伪装受害者向网站发送请求,达到修改网站数据的目的。原理当你在浏览器上登录某网站后,cookie会保存...
JavaScript中的document.referrer在各种浏览器测试结果
10-25
然而,`document.referrer`的行为在不同浏览器之间可能存在差异,尤其是在涉及到跨协议(如从HTTPS跳转到HTTP)或者特定的用户交互操作时。 首先,当用户从一个HTTPS页面跳转到HTTP页面时,由于安全原因,`document....
http协议头简介
10-16
ETag(实体标记)头部字段提供了一个资源的唯一标识符,通常是一个哈希值,用于验证资源的完整性。 **示例:** ``` ETag: "1a2b3c4d5e6f" ``` #### Expires **定义:** Expires头部字段指定了资源何时过期,过期后...
HTTP安全必备(最佳实践).zip
03-10
4. **HTTP头部安全设置**:例如,禁用不安全的HTTP头如`X-Powered-By`,设置`X-Content-Type-Options`为`nosniff`防止类型嗅探攻击,使用`Referrer-Policy`控制referrer信息的发送。 5. **安全的cookie策略**:设置...
HTTP_Header_详解.doc
12-10
HTTP Header 可以帮助优化通信效率,实现缓存、身份验证、内容编码等重要功能。 1. **Request Headers**: - `Accept`: 定义客户端能够处理的数据格式,如 `text/plain` 或 `text/html`。 - `Accept-Charset`: ...
Referer校验
luzhangtong的博客
08-24 1万+
Referer是http协议中定义的,Referer就是上一个页面的地址,这个是浏览器会在点击一个链接时自动添加到请求头中的   查看一个request信息: GET /adjs.php?n=348893119&amp;what=zone:382&amp;charset=utf-8&amp;exclude=,&amp;referer=http%3A//topic.csdn.net/u/20...
跨站请求伪造学习笔记
0xdawn的博客
01-30 395
0x00 前言 跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 0x0...
验证HTTP Referer字段
紫天专栏
06-25 1万+
1 、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。   1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未
http referer 验证防御方法_http协议首部---referer,标明请求来源
weixin_39678426的博客
11-29 531
1、referer 的作用http请求头里,有一个referer首部,这个首部可以告知服务端,当前的请求的来源。比如此刻,你在浏览这篇文章,假设这篇文章的地址是A,在我的文章里,有一篇CSDN的文章链接,链接地址是B,如果你点击链接B,那么浏览器在想CSDN发出请求时,就会在请求头里将referer设置为A,这样,当CSDN收到请求后,就知道,这次的流量是从知乎来的。这对于数据分析来说,是非常重要...
CSRF攻击防御---验证HTTP Referer
dhweicheng的博客
08-09 2万+
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,会带上Referer,通过验证Referer,可以判断请求的合法性,如果Referer是其他网站的话,就有可能是CSRF攻击,则拒绝该请求。 /** * @author Cheng.Wei * @ClassName ReferrerInterceptor * @Description CSRF攻击处理
CSRF简单理解---HTTP Referer字段验证(Java实现)
澪月
02-08 1万+
CSRF攻击简单来说就是: 1.你可以通过A网站发送请求“转100块给小明”。 2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。 3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。 所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。 referer的验证原理简单来说就是: 比对HTTP请求发送的网站(re...
HTTP_REFERER的用法及伪造
热门推荐
且行且吟
11-13 10万+
引言在php中,可以使用$_SERVER[‘HTTP_REFERER’]来获取HTTP_REFERER信息,关于HTTP_REFERER,php文档中的描述如下: “引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改 HTTP_REFERER 的功能。简言之,该值并不可信。 ” 在百度百科中,对于该参数的描
安全01-后台增加Referer校验防范CSRF跨站请求伪造
windows_apple的博客
12-01 3428
CSRF,中文名字,跨站请求伪造。攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。 防范方案: 1、验证HTTP Referer字段。 2、请求地址中添加token并验证(token不放在cookie中,放在http请求参数中,服务端对其进行验证) 3、将token加入http头属性中,避免了token出现在浏览器中,被泄露。 Referer验证方案: 根据HTTP协议,在HTTP头部中有一个Re
http referer 验证防御方法_渗透测试 跨站攻击防御与安全检测手法剖析
weixin_39614521的博客
11-29 601
上一节讲到了渗透测试中xss跨站攻击检测方法和防护,这一节也是关于跨站攻击的另一个手法CSRF,很多客户找到我们想要了解更多的跨站攻击检测方法以及防御此类攻击的办法,想要让网站的安全性更加坚固,对此提醒大家渗透测试网站必须要拿到授权才能测试哦!3.3.1. 简介CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Sessio...
HTTP Cookie:Web浏览中的身份与状态管理工具
HTTP头部中的其他关键元素如ETag用于缓存验证Referrer指示请求来源,Location则用于重定向。HTTP状态码如301(永久移动)、302(找到)、303(查看其他)、403(禁止)和404(未找到)提供了服务器对请求的响应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值