Java web解决CSRF攻击漏洞

最新推荐文章于 2023-09-28 22:29:23 发布
最新推荐文章于 2023-09-28 22:29:23 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: 服务开发 文章标签: java web csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goodmentc/article/details/111040127
版权

一、概述

简单介绍一下csrf攻击漏洞。就是你的网站cookie和session信息可以被其他网站盗用,用于非法请求。
应用开发环境:IDEA+JDK1.8
开发框架:Spring boot +thymeleaf+shiro
测试:第三方安全公司渗透测试。

二、解决方法

这里只讲主动防御方法。
总体思路是:用户登录时,服务端分配一个随机token,存储到session里。用户进行其他请求时,从session里取出这个token放到请求头headers里,服务端收到请求时,从请求头里取出token,和session里面的token进行校验,相同则表示是合法请求,不同则拒绝该请求。

bootraptable

三、关键代码

3.1 前端

前端http请求没有统一,需要根据实际情况来配置。

  1. 需要在相关页面加上隐藏token字段,代码参考:
<input type="hidden" id="csrf_token" class="hidden" th:value="${session.csrf_token}"/>

特别要注意多级子页面,对于上述token的初始化和获取。

  1. ajax请求,需要加如下方法,将token加在请求头中:
 beforeSend: function(XMLHttpRequest) {
        XMLHttpRequest.setRequestHeader("csrf_token",      $("#csrf_token",parent.document).val());
    }
  1. 统一的http请求:
/** 设置全局ajax处理 */
$.ajaxSetup({
    complete: function(XMLHttpRequest, textStatus) {
        if (textStatus == 'timeout') {
            $.modal.alertWarning("服务器超时,请稍后再试!");
            $.modal.enable();
            $.modal.closeLoading();
        } else if (textStatus == "parsererror" || textStatus == "error") {
            $.modal.alertWarning("服务器错误,请联系管理员!");
            $.modal.enable();
            $.modal.closeLoading();
        }
    },
    beforeSend: function(XMLHttpRequest) {
        XMLHttpRequest.setRequestHeader("csrf_token",      $("#csrf_token",parent.document).val());
    }
});

注意事项:
1.bootraptable封装了自己的http请求,如果上述全局配置不生效,需要修改该插件源码:

 $('#' + options.id).bootstrapTable({
					id: options.id,
                    url: options.url,  
                    ajaxOption: {
					"headers": options.csrf_token
                   }

通过ajaxOption将token加入headers中。

3.2 后端

登录接口:

 getRequest().getSession().setAttribute(JWTConst.CONN_CSRF_TOKEN_HEADER, UUID.randomUUID().toString());

编写一个过滤器或者拦截器,我这里是拦截器,区别是过滤器会过滤所有请求包括页面,拦截器只能拦截请求。

 String csrfTokenOld = request.getSession().getAttribute(JWTConst.CONN_CSRF_TOKEN_HEADER).toString();
String csrfToken = request.getHeader(JWTConst.CONN_CSRF_TOKEN_HEADER);

 if (csrfToken == null || "".equals(csrfToken) || !csrfToken.equals(csrfTokenOld)) {
       logger.error(JwtErrEnums.TOKEN_INEXISTENCE.getMsg());
      throw new AuthException(JwtErrEnums.TOKEN_INEXISTENCE);
   }

一般情况下,我们只需要拦截POST请求,我们在设计请求时,包含重要敏感信息的请求建议使用POST方式。

  • 如果系统有自动登录功能,还需要在自动登录时,创建一个csrf_token放入session中:
HttpServletRequest req = (HttpServletRequest)request;
        if(req.getSession().getAttribute(Constants.CONN_CSRF_TOKEN_HEADER) == null) {
            req.getSession().setAttribute(Constants.CONN_CSRF_TOKEN_HEADER, UUID.randomUUID().toString());
        }

四、其他方法

还可以使用spring security框架。下次再介绍。

oyezitan
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
不安全的http方法、CSRF漏洞修复问题
01-07
不安全的http方法、CSRF漏洞修复问题
Java-如何防范CSRF攻击
了解➔熟悉➔掌握➔精通
01-02 4113
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造,也被称为:one click attack / session riding,缩写为:CSRF/XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。 XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的
Java解决CSRF问题
椰汁菠萝
01-17 2482
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚...
csrf java随机数_前后端分离架构下CSRF防御机制
weixin_36454202的博客
02-25 244
背景1、什么是CSRF攻击?这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章:如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后,便立刻收到了短信:你的银行里的钱已经转移到这个人的帐户了。2、有哪些防御方案?上面这个例子当然有点危言耸...
Spring官方提供【CSRF攻击解决方案
qq_35040959的博客
01-16 1643
·Spring官方提供【CSRF攻击解决方案
CSRF攻击原理和防护措施讲解
dzqxwzoe的博客
01-09 213
跨站请求伪造。
CSRF 攻击的三种解决方案
热门推荐
willie_chen的专栏
08-23 1万+
验证 HTTP Referer 字段 Referer  是  HTTP  请求header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含  Referer  , Referer 值会记录下用户的访问来源,有些用户认为这样会侵犯到他们自己的隐私权,特别是有些组织担心 Referer 值会把组织内网中的某些信息泄露到外网中。因此,用户自己可以设置浏览器使其在发...
基于JSP的Java Web项目的CSRF防御示例
01-07
在基于JSP的Java Web项目中,了解如何防御CSRF攻击至关重要,因为这可以保护用户的敏感数据和应用的完整性。 **CSRF攻击原理** CSRF攻击通常发生在用户已登录一个网站并保持会话的情况下,攻击者通过构造恶意链接...
webcsrf攻击的应对之道
02-03
### CSRF攻击的应对之道 #### 一、CSRF攻击概述 **CSRF(Cross-Site Request Forgery,跨站请求伪造)**是一种网络攻击手段,它利用用户在浏览器中的认证状态,通过伪造用户请求的方式对目标网站进行非法操作。...
一个基于java开发的漏洞测试环境,其中包括了sql注入,csrf,任意文件上传,越权等等.zip
最新发布
03-24
**CSRF(跨站请求伪造)**是另一种常见的Web攻击攻击者利用受害者在某个网站上的已登录状态,诱导受害者执行非授权操作。比如,当用户在银行网站上进行转账操作时,攻击者通过一封带有恶意链接的邮件或消息,诱使...
java web ch15
07-02
在"ch15_safe"这部分内容中,可能重点讲解了安全相关的主题,如防止SQL注入、XSS攻击(跨站脚本攻击)和CSRF(跨站请求伪造)等。开发者需要确保Web应用的安全性,避免恶意用户利用漏洞对系统造成破坏。 SQL注入...
CSRF跨站请求伪造漏洞修复
折腾java的博客
06-09 3084
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
Java Web 安全:防御 XSS, CSRF 与 SQL 注入的最佳策略
m0_57781768的博客
09-28 672
在我们探讨解决方案之前,首先了解一下常见的 Web 攻击有哪些是非常重要的。Web 攻击通常是指攻击者试图在 Web 应用程序中执行未授权的行为的行动。常见的 Web 攻击有:XSS(跨站脚本攻击)、CSRF(跨站请求伪造)和 SQL 注入。
Java 关于爬取网站数据遇到csrf-token的分析与解决
DOBEONE玉苑的博客
03-24 6506
问题描述 在爬取某网站的时候遇到了问题,因为网站的避免CSRF攻击机制,无法获取到目标页面数据,而是跳转到一个默认页面。 关于CSRF 1、CSRF tokens是如何工作(详情请点击查引用源站点) 1、服务器发送给客户端一个token。 2、客户端提交的表单中带着这个token。 3、如果这个token不合法,那么服务器拒绝这个请求。 2、java 站点应对CS...
CSRF安全漏洞修复
snumous的博客
01-09 1923
CSRF安全漏洞修复
CSRF攻击防御,JAVA程序利用token前后端验证每一次请求进行防御
生活没有圈的博客
09-02 3223
整体思路是:访问页面就生成token,保存到session,并且前端将token放进header或者追加到请求地址最后面。后端拿到header或者请求中的token后比对session与herder或者请求中的token是否一致,一致测是同一次请求。有效的防止了,攻击者不从规定页面请求接口进行篡改利用。 每次请求,地址或者header携带TOKEN到服务端验证,防止CSRF攻击 下面是JAVA后端工具类 package com.invoice.util; import java.io.IOException
CSRF漏洞三种解决方案
慕白Lee的博客
07-09 4193
三种解决方案: 一.验证HTTPReferer(拦截器方法) (相等或者包含的时候拦截) 二.在请求地址中添加token并验证 wait... 三.在HTTP头中自定义属性并验证
CSRF跨站请求伪造 漏洞修复
HelloKittyTom的博客
08-25 1037
CSRF跨站请求伪造 漏洞修复 CSRF: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 修复思想: 可以在前端修复也可以在后端修复,一般前端和后端
Spring MVC中的CSRF攻击防御
Sunny的专栏
08-05 3880
原文地址:http://moon-walker.iteye.com/blog/2397907,https://www.oschina.net/code/snippet_1029551_27153#45401 此文仅作为当时解决此问题记录 CSRF攻击 CSRF攻击全称为:Cross-site request forgery,直接翻译为:跨站请求伪造。直接看名称还是有点难以理解,容易跟XSS攻...
java如何通过过滤器解决CSRF问题
08-21
### 回答1: CSRF(Cross-Site Request Forgery)跨站请求伪造是一种常见的Web攻击方式,通过这种攻击方式,攻击者可以利用受害者的登录态发起一些恶意请求,例如在用户不知情的情况下转账、修改个人信息等。Java Web应用可以通过过滤器(Filter)来解决CSRF问题。 在Java Web应用中,我们可以通过在Web.xml配置文件中配置一个过滤器,该过滤器可以对所有请求进行过滤,并在请求中添加CSRF Token信息。CSRF Token是一段随机生成的字符串,用于验证请求的合法性。 在Java中,我们可以通过以下步骤来实现基于过滤器的CSRF防护: 1. 创建一个过滤器类,实现javax.servlet.Filter接口,重写doFilter方法,在该方法中添加CSRF Token信息,并验证Token的合法性。 2. 在Web.xml配置文件中配置该过滤器,并设置过滤器的拦截路径。 3. 在需要防护的请求中添加CSRF Token信息,并在服务端验证Token的合法性。 通过以上步骤,我们可以在Java Web应用中实现基于过滤器的CSRF防护,保障应用的安全性。 ### 回答2: CSRF(跨站请求伪造)是一种常见的Web应用程序安全漏洞攻击者利用受害者已经在其他网站上进行过身份验证的事实,欺骗受害者在未经意识的情况下执行恶意操作。 Java通过过滤器可以有效地解决CSRF问题。 在Java中,可以通过自定义过滤器来实现对CSRF攻击的防护。以下是一种可能的实现方式: 1. 在应用程序的web.xml文件中配置过滤器,以便拦截所有请求。例如: ```xml <filter> <filter-name>CSRFFilter</filter-name> <filter-class>com.example.CSRFFilter</filter-class> </filter> <filter-mapping> <filter-name>CSRFFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 2. 创建一个实现了javax.servlet.Filter接口的过滤器类。在过滤器中,可以实现一些有效的CSRF防护措施,例如: - 在用户会话中生成一个CSRF令牌,并将其存储在会话中。 - 将CSRF令牌添加到每个表单或非GET请求的请求参数中。 - 在每个响应中将CSRF令牌作为Cookie发送到客户端。 ```java public class CSRFFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; // 检查CSRF令牌的有效性 String csrfToken = (String) httpRequest.getSession().getAttribute("csrfToken"); String requestCsrfToken = httpRequest.getParameter("csrfToken"); if (csrfToken != null && requestCsrfToken != null && csrfToken.equals(requestCsrfToken)) { // CSRF令牌有效,继续处理请求 chain.doFilter(request, response); } else { // CSRF令牌无效,返回错误页面或重定向到其他页面 httpResponse.sendRedirect("/error"); } } // 其他Filter接口方法的实现... } ``` 3. 在应用程序的表单或其他请求中,将CSRF令牌添加到请求参数中。例如,在生成HTML表单时,可以通过以下方式添加CSRF令牌: ```html <form action="/submit" method="post"> <input type="hidden" name="csrfToken" value="${sessionScope.csrfToken}" /> <!-- 其他表单字段... --> <input type="submit" value="提交" /> </form> ``` 通过上述步骤,当用户提交表单或其他非GET请求时,过滤器将检查CSRF令牌的有效性,如果令牌无效,则可以采取适当的措施,例如拒绝请求或重定向到错误页面,从而有效地防止CSRF攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oyezitan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值