CSRF 原理以及 Struts2 令牌校验防御攻略解析

                struts2 token 不仅能够有效防止表单重复提交,而且还可以进行 CSRF 验证
CSRF 攻击原理如下图:

CSRF攻击原理图
CSRF 攻击原理图


事实上,B 可能也是一个良性网站,只是被黑客 XSS 劫持了而已。用户实在冤枉啊:我没有上乱七八糟的网站,怎么还是中招了呢?
struts2 token 校验原理如图所示:

Struts2 token验证原理图
Struts2 token 验证原理图


对照 CSRF 攻击原理图,可以看到,虽然 a.jsp 将这个令牌值返回给浏览器,但是 B 是无法拿到这个令牌的具体值的,或者说 B 只能够通过去请求 A 才能拿到一个令牌,但这样就失去了伪造用户请求的目的,因为 session 不一致了。所以 b.action 也就不再处理这个伪造的请求,截断了 CSRF 的流程如下图所示:

Struts2 token截断了CSRF攻击原理图
Struts2 token截断了CSRF攻击原理图


了解了原理,那就干活吧。结果发现很多非 form 表单提交的请求都被成功拦截了,比如原有的 ajax 请求(js / jQuery / DWR)、页面的 href 请求都无法正常工作了——把这些请求的 action 的 token 验证去掉就能正常工作,但却这给黑客带来了可趁之机。
那么怎么样才可以让 form 表单之外的其他请求传递 struts2 token 呢?
我们继续来深入了解一下 struts2 token 验证的原理。

以最新版的 2.3.20 为例。我们在 struts.xml 对某 action 加 <interceptor-ref name="token"></interceptor-ref> 标签,事实上是配置了 org.apache.struts2.interceptor.TokenInterceptor 拦截器。查看其 doIntercept 源码:

 protected String doIntercept(ActionInvocation invocation) throws Exception {  if (log.isDebugEnabled()) {   log.debug("Intercepting invocation to check for valid transaction token.");  }    //see WW-2902: we need to use the real HttpSession here, as opposed to the map  //that wraps the session, because a new wrap is created on every request  HttpSession session = ServletActionContext.getRequest().getSession(true);    synchronized (session) {   if (!TokenHelper.validToken()) {    return handleInvalidToken(invocation);   }  }  return handleValidToken(invocation); }

它调用了 org.apache.struts2.util.TokenHelper 的 validToken 方法,其源码:
 public static boolean validToken() {  String tokenName = getTokenName();    if (tokenName == null) {   if (LOG.isDebugEnabled()) {    LOG.debug("no token name found -> Invalid token ");   }   return false;  }    String token = getToken(tokenName);    if (token == null) {   if (LOG.isDebugEnabled()) {    LOG.debug("no token found for token name "+tokenName+" -> Invalid token ");   }   return false;  }    Map session = ActionContext.getContext().getSession();  String sessionToken = (String) session.get(tokenName);    if (!token.equals(sessionToken)) {   if (LOG.isWarnEnabled()) {    LOG.warn(LocalizedTextUtil.findText(TokenHelper.class, "struts.internal.invalid.token", ActionContext.getContext().getLocale(), "Form token {0} does not match the session token {1}.", new Object[]{token, sessionToken}));   }      return false;  }    // remove the token so it won't be used again  session.remove(tokenName);    return true; }

它先调用自己的 getTokenName() 拿到 tokenName 值,然后根据这个值使用自己的 getToken(tokenName) 拿到客户端请求过来的 token 参数的值,最后跟 session 中保存的值进行比较。
查看 getTokenName() 源码:
 public static String getTokenName() {  Map params = ActionContext.getContext().getParameters();    if (!params.containsKey(TOKEN_NAME_FIELD)) {   if (LOG.isWarnEnabled()) {    LOG.warn("Could not find token name in params.");   }      return null;  }    String[] tokenNames = (String[]) params.get(TOKEN_NAME_FIELD);  String tokenName;    if ((tokenNames == null) || (tokenNames.length < 1)) {   if (LOG.isWarnEnabled()) {    LOG.warn("Got a null or empty token name.");   }      return null;  }    tokenName = tokenNames[0];    return tokenName; }

TOKEN_NAME_FIELD 是 org.apache.struts2.util.TokenHelper 的静态变量,值为 "struts.token.name",getTokenName 方法的作用就是拿到客户端传过来的 struts.token.name 参数的值。validToken 拿到这个值以后,根据这个值继续调用 getToken,getToken 源码:
 public static String getToken(String tokenName) {  if (tokenName == null ) {   return null;  }  Map params = ActionContext.getContext().getParameters();  String[] tokens = (String[]) params.get(tokenName);  String token;    if ((tokens == null) || (tokens.length < 1)) {   if (LOG.isWarnEnabled()) {    LOG.warn("Could not find token mapped to token name " + tokenName);   }   return null;  }    token = tokens[0];    return token; }

它根据  struts.token.name 参数的值,比如为 "token"(这个值可以在 jsp 的 token 标签中进行配置,比如 <s:token name="token"/>,默认值是 token),拿到客户端传来的 token 参数的值,最后返回给 validToken 方法。
使用 chrome 的开发者工具截取到的带有 token 验证的 struts action 印证了上面的说法:

截取到的struts.token.name的值
截取到的struts.token.name的值


原理都了解了,接下来的事情似乎就顺理成章了。
$.ajax 调用支持 struts2 token:
<script>var strutsToken = "<s:property value="#session['struts.tokens.token']" />";var token = {  "struts.token.name": "token""token": strutsToken};$.ajax({  url: '/endpoint'data: token,  dataType: 'jsonp'cache: truesuccess: function() { console.log('success'); },  error: function() { console.log('failure'); }});</script>

页面 href 请求支持 struts2 token:
<td> <a href="findSigleDetail.action?TransId=${value.transid}&struts.token.name=token&token=  <s:property value="#session['struts.tokens.token']" />" title="Edit Meta"><img src="frame/image/pencil.png"  alt="Edit Meta" />查看详细</a></td>



参考资料
           

再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow

  • 0
    点赞
  • 0
    评论
  • 1
    收藏
  • 打赏
    打赏
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页

打赏作者

还有绿色的布

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值