CSRF TOKEN

最新推荐文章于 2024-05-19 17:05:33 发布
最新推荐文章于 2024-05-19 17:05:33 发布
阅读量196 收藏
点赞数
分类专栏: spring 文章标签: 测试 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hck341204/article/details/84702168
版权 
package com.uncle5.pubrub.web.common;

import java.util.UUID;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

public final class CsrfTokenManager {

    // 隐藏域参数名称
    static final String CSRF_PARAM_NAME = "CSRFToken";

    // session中csrfToken参数名称
    public static final String CSRF_TOKEN_FOR_SESSION_ATTR_NAME = CsrfTokenManager.class
            .getName() + ".tokenval";

    private CsrfTokenManager() {
    };

    // 在session中创建csrfToken
    public static String createTokenForSession(HttpSession session) {
        String token = null;

        synchronized (session) {
            token = (String) session
                    .getAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME);
            if (null == token) {
                token = UUID.randomUUID().toString();
                session.setAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME, token);
            }
        }
        return token;
    }

    public static String getTokenFromRequest(HttpServletRequest request) {
        return request.getParameter(CSRF_PARAM_NAME);
    }
}




package com.uncle5.pubrub.web.common;

import java.util.Map;

import javax.servlet.http.HttpServletRequest;

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.support.RequestDataValueProcessor;

import com.google.common.collect.Maps;

@Component("requestDataValueProcessor")
public class CsrfRequestDataValueProcessor implements RequestDataValueProcessor {

    @Override
    public String processAction(HttpServletRequest request, String action) {
        // TODO 暂时原样返回action
        return action;
    }

    @Override
    public String processFormFieldValue(HttpServletRequest request,
            String name, String value, String type) {
        // TODO 暂时原样返回value
        return value;
    }

    @Override
    public Map<String, String> getExtraHiddenFields(HttpServletRequest request) {
        //此处是当使用spring的taglib标签<form:form>创建表单时候,增加的隐藏域参数
        Map<String, String> hiddenFields = Maps.newHashMap();
        hiddenFields.put(CsrfTokenManager.CSRF_PARAM_NAME,
                CsrfTokenManager.createTokenForSession(request.getSession()));

        return hiddenFields;
    }

    @Override
    public String processUrl(HttpServletRequest request, String url) {
        // TODO 暂时原样返回url
        return url;
    }

}



package com.uncle5.pubrub.web.security;

import java.net.URLEncoder;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.uncle5.pubrub.web.common.CsrfTokenManager;
import com.uncle5.pubrub.web.common.WebUser;

public class CsrfInterceptor extends HandlerInterceptorAdapter {

    private static final Logger logger = LoggerFactory
            .getLogger(CsrfInterceptor.class);

    @Autowired
    WebUser webUser;

    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {

        if ("POST".equalsIgnoreCase(request.getMethod())) {
            String CsrfToken = CsrfTokenManager.getTokenFromRequest(request);
            if (CsrfToken == null
                    || !CsrfToken.equals(request.getSession().getAttribute(
                            CsrfTokenManager.CSRF_TOKEN_FOR_SESSION_ATTR_NAME))) {
                String reLoginUrl = "/login?backurl="
                        + URLEncoder.encode(getCurrentUrl(request), "utf-8");

                response.sendRedirect(reLoginUrl);
                return false;
            }
        }

        return true;
    }

    private String getCurrentUrl(HttpServletRequest request) {
        String currentUrl = request.getRequestURL().toString();
        if (!StringUtils.isEmpty(request.getQueryString())) {
            currentUrl += "?" + request.getQueryString();
        }

        return currentUrl;
    }
}




<!-- 安全拦截用的 -->
    <mvc:interceptors>
        <mvc:interceptor>
            <mvc:mapping path="/forum/post" />
            <mvc:mapping path="/forum/reply/*" />
            <bean class="com.uncle5.pubrub.web.security.CsrfInterceptor" />
        </mvc:interceptor>        
    </mvc:interceptors>


<%@ taglib prefix="form" uri="http://www.springframework.org/tags/form"%> 

<div style="margin: 0 auto; border: 1px solid orange; width: 80%; height: 400px;">
        <form:form action="/forum/post" method="post">
            <span>标题:</span><input type="text" name="title" id="title">
            <textarea name="content" id="content" rows="30" cols="40"></textarea>
            <input type="submit" name="submit" value="submit">
        </form:form>
</div>


<div style="margin: 0 auto; border: 1px solid orange; width: 80%; height: 400px;">
        <form id="command" action="/forum/post" method="post">
            <span>标题:</span><input type="text" name="title" id="title">
            <textarea name="content" id="content" rows="30" cols="40"></textarea>           
            <input type="submit" name="submit" value="submit">
        <input type="hidden" name="CSRFToken" value="35afec82-da7b-449e-9ae9-b38664b5af63" />
</form>
    </div>



1.只有当使用spring的form标签时候,才会在渲染jsp页面时候触发
org.springframework.web.servlet.tags.form.FormTag 类中的

@Override
public int doEndTag() throws JspException {
RequestDataValueProcessor processor = getRequestContext().getRequestDataValueProcessor();
ServletRequest request = this.pageContext.getRequest();
if ((processor != null) && (request instanceof HttpServletRequest)) {
writeHiddenFields(processor.getExtraHiddenFields((HttpServletRequest) request));
}
this.tagWriter.endTag();
return EVAL_PAGE;
}
该方法会调用上文中所说的CsrfRequestDataValueProcessor中的创建隐藏域的方法getExtraHiddenFields来创建csrfToken隐藏域。

2.对相关需要进行防范csrf攻击的post请求地址进行拦截,此处是依赖springMVC中提供的拦截器机制来操作的
<mvc:interceptors>
<mvc:interceptor>
<mvc:mapping path="/forum/post" />
<mvc:mapping path="/forum/reply/*" />
<bean class="com.uncle5.pubrub.web.security.CsrfInterceptor" />
</mvc:interceptor>
</mvc:interceptors>
当用户访问"/forum/post"这个请求时候,会直接进入CsrfInterceptor的preHandle方法,此处针对post请求进行了判断,如果从request中获取的csrfToken不存在或者与session中的csrfToken不相匹配,那么可以不进行后续流程,至于返回404还是返回到登录页面,就随便作者了。


转载地址:http://www.oschina.net/code/piece_full?code=27153#45408
MOVING
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
CSRF token missing or incorrect 具体报错页面如下: 2、有道词典翻译后如下: 通常,当存在真正的跨站点请求伪造时,或者Django的CSRF机制没有被正确使用时,就会出现这种情况。至于邮递表格,你须确保: 您的...
csrf 生成java,一种在SpirngMVC3中防御CSRF攻击的实现
weixin_39593718的博客
03-12 216
关于CSRF是什么东西,请参见我的博文:《浅析CSRF》。本文将给出一种在 SpringMVC3+Velocity 的框架下防御CSRF攻击的解决方案。主要思想参考 EYAL LUPU[1] 的解决方案,但使用Velocity宏来进行Token值的传递,而不是使用spring form标签。一、方案概要在服务器端生成私有的会话级token,使用Velocity的宏命令在客户端的Form表单中插入这...
csrf漏洞java防御,Spring3.x通过配置来防范csrf攻击
weixin_32620265的博客
03-12 241
CsrfTokenManager 用于管理csrfToken相关package com.web.common;import java.util.UUID;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpSession;public final class CsrfTokenManager {// ...
CSRF 攻击实验:Token 不与 Session 绑定绕过验证
最新发布
Flag少侠的博客
05-19 3949
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
CSRF攻击及防止
zhangmoyan9527的博客
08-14 1042
  CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。   CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证   防止 CSRF 攻...
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 2万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
CSRF 攻击的应对之道
sarck3的专栏
02-12 1052
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
在django中使用post方法时,需要增加csrftoken的例子
09-17
在Django框架中,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求时添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器中利用已登录用户的权限...
superagent-django-csrf:修补程序,将cookie中的`csrftoken`作为X-CSRFToken`标头添加到每个超级代理的请求中
05-02
补丁加csrftoken从饼干作为X-CSRFToken头球每个SuperAgent的要求。 用法 // Just require patch require ( 'superagent-django-csrf' ) ; 安装 npm install superagent-django-csrf 执照 麻省理工学院:copyright:
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
qq_46106285的博客
03-19 7775
注意CSRF-Token可能也在响应头中,以及requests请求的时候要用Session,不然就会过期。
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5834
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
security-csrf:Security CSRF(跨站点请求伪造)组件提供了一个CsrfTokenManager类,用于生成和验证CSRF令牌
02-05
安全组件-CSRF 安全CSRF(跨站点请求伪造)组件提供了一个CsrfTokenManager类,用于生成和验证CSRF令牌。 资源资源 并在
csrf-tokenservice:无状态CSRF(跨站请求伪造)令牌服务
04-28
CSRF \ TokenService 无状态CSRF(跨站请求伪造)令牌服务 :meat_on_bone: 安装 $ composer require schnittstabil/csrf-tokenservice 用法 <?php require __DIR__. '/vendor/autoload.php' ; use Schnittstabil \ Csrf \ TokenService \ TokenService ; // Shared secret key used for generating and validating token signatures: $ key = 'This key is not so secret - change it!' ; // Time to Live in seconds; default is 1440 seconds === 24 minutes: $
CSRF Token为什么写在Cookie中?CSRF漏洞分析
CSDN1csdn1的博客
10-21 793
CSRF或XSRF,跨站请求伪造。简单地说,就是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。这里最最关键的因素是令牌。用户在网站A登陆成功后,服务端颁发令牌并存储到浏览器中。
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 9499
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
通俗易懂的csrf漏洞(token为什么能放cookie)
qq_39739740的博客
09-07 970
csrf漏洞即跨站请求伪造,通俗来说即攻击者通过发送第三方网站(乱七八糟的网站)给你,然而这个网站中隐藏了对你已经登陆过的网站的一些请求,也就是含有你的身份认证信息,从而可以假扮你去操作一些事情。假设微博的关注功能存在csrf漏洞那么这就表示给用户小明点了个关注。。注意:实际http请求中是携带了你cookie(即身份信息)的,总不能还没登陆微博就能点关注吧这时,如果有人给你发了一个恶意链接****这个网站里头有一个很吸引你的图或者什么话题,然而这个话题或图的链接。
一文带你了解CSRF、Cookie、Session和token,JWT之间的关系
大河之犬的博客
09-15 1047
所以存在被盗用的风险。比如在银行里转账,银行页面上的转账请求链接,是银行服务器那边生成的链接,所以那边是可以在请求里面就加上你客户端的token的,但是钓鱼网站无法得到你的token,钓鱼网站仿造的转账请求链接是无法把token写入的,所以就无法生效。意思是,客户端打开了钓鱼网站,却在不知情的情况下,发送了一个请求给淘宝,这个请求有可能是转账,付款等等,因为是客户端发出的请求,所以客户端会带上自己的cookie,这样就可以请求成功。基于token的验证是无状态的,这也许是它相对cookie来说最大的优点。
关于获取csrf-token前端技巧思考
weixin_50464560的博客
08-17 2439
https://xz.aliyun.com/t/7084 前言 如果说一个产品RCE漏洞相对描述是“一语中的”、“一发入魂”的杀气,想必各大厂商在对杀气感知和处理上总是最快最灵敏的,从各大专有SRC对报告的反映速度、修复速度、挖掘难易程度来说,也很好的佐证了这一点。log里保存着任何服务器接收到的数据原文随时溯源当场处理爱憎分明、系统环境在被攻击时的奇怪变化一看便知,一个好的RCE确实是无敌的,至少在被受攻击者审计出来前,高效便捷准确有效。但它一旦被使用,变会在厂商眼皮下留
一起学习Django框架(十)Django中间件;浅谈CSRF_TOKEN
Simple子夜
04-18 1379
目录Django中间件(MiddleWare)一、什么是中间件二、中间件的作用三、自定义中间件3.1 process_request与process_response方法3.2 process_view方法3.3 process_exception3.4 process_template_responseCSRF_TOKEN一、CSRF是什么二、CSRF攻击原理三、CSRF攻击防范 Django中间件(MiddleWare) 中间件本身是一个很大的范围,比如:数据库中间件、服务器中间件、消息队列中间件等等
csrf token流程
06-12
CSRF token 的工作流程一般如下: 1. 用户访问网站并登录,服务器为该用户创建一个会话,并在该会话中生成一个唯一的 CSRF token,将其存储在服务器端。 2. 当用户访问包含表单或其他敏感操作的页面时,服务器将该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值