Struts2 过滤CSRF攻击的一种解决方案

最新推荐文章于 2023-01-16 08:20:56 发布
最新推荐文章于 2023-01-16 08:20:56 发布
阅读量6k 收藏 2
点赞数
分类专栏: JavaWeb 文章标签: struts csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huplion/article/details/49641409
版权
CSRF攻击是一种针对网站的恶意利用,与XSS攻击不同,它通过伪装受信任用户的请求来利用受信任的网站。防御措施包括检查referer、限制cookie生命周期、验证码和使用token。在Struts2中,s:token标签可以生成一次性token,配合自定义拦截器,只拦截POST请求,从而有效防止CSRF攻击。在配置文件中设置拦截器并指定token验证失败后的处理策略。
摘要由CSDN通过智能技术生成

CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站?的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

它的防御方案包括如下四种:

1.检查http referer是否来自同一个域
2.限制session cookie的生命周期
3.验证码
4.使用token

在struts下自带了许多标签库
其中就有 s:token ,这个可以生成一次性token,把这个标签放在 s:form 里面可以在提交的时候自动带上token值;

<s:form action="login.action">
        <s:token name="token"></s:token>
        <s:fielderror name="errorInfo"></s:fielderror>
最低0.47元/天 解锁文章
胡大炮的妖孽人生
关注
专栏目录
CSRF 原理以及 Struts2 令牌校验防御攻略解析
Defonds 的专栏
01-06 1万+
struts2 token 不仅能够有效防止表单重复提交,而且还可以进行 CSRF 验证。CSRF 攻击原理如下图:CSRF 攻击原理图事实上,B 可能也是一个良性网站,只是被黑客 XSS 劫持了而已。用户实在冤枉啊:我没有上乱七八糟的网站,怎么也中招了呢?struts2 token 校验原理如图所示:Struts2 token 验证原理图对照 CSRF 攻击原理图,可以看到,虽然 a.jsp 将
csrf-filter:用于处理 csrf 令牌的过滤
06-18
关于 跨站点请求伪造 (csrf) - 是一种对网站的恶意利用,由此从网站信任的用户传输未经授权的命令。 有几种类型的如何防止此类攻击: 检查 http。 使用令牌 代码要求 csrf-filter 使用令牌方法。 它会自动处理此类令牌的验证和设置。 它引入了以下限制: 它只验证 POST 请求。 仅应使用 POST 方法更改数据状态 它添加了属性,该属性应该添加到所有 POST 请求中(可以是 AJAX 或普通表单提交) 特征 在每个 GET 请求上生成并添加到 cookie 中的令牌 它是无国籍的 如果未找到 cookie 或未找到请求参数或值不匹配,则将发送 Http 400 状态 可以配置令牌名称。 此名称将用作参数名称、cookie 名称和属性名称 它将属性添加到每个 !HttpServletRequest 中。 与其他人相比 还有另一个 csrf 过滤器: : 这
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1799
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
Strut2 采用token机制防御CSRF同时也可以防止表单重复提交
weixin_30660027的博客
11-18 117
一 未配置Struts2 token的情况下测试 1.从表单提交数据,可以从下图看出,快速点击保存按钮,请求提交了两次 2.检查post提交的数据中未含有token参数 3.查看数据列表,有重复数据 4.将刚才的请求由post请求转换为get请求(CSRF攻击),从下图可以看出请求成功 二 配置Struts2 token值后再次测试 1. 在工程中的Struts文...
解决struts2过滤器冲突的简单方法
隔壁小王同学的程序人生
03-02 590
struts2使用FilterDispatcher进行url过滤,默认是所有的url都过滤,但是项目中有些url是不想用struts2进行过滤的,网上搜了不少方法   1.修改web.xml文件。        struts2        *.action    只让过滤器对加有.action后缀的路径有效,如果需要拦截.jsp,加上*.jsp就行了。 但是这样如果有无后缀名
基于struts2+mysql做的社区医院远程挂号系统
10-01
《基于Struts2+MySQL的社区医院远程...它不仅解决了社区居民看病难的问题,也为医疗机构的信息化管理提供了一种实用的解决方案。开发者可以通过学习和研究这个源码,进一步提升自己的Web开发能力和对医疗信息化的理解。
struts2的文档
06-03
开发过程中,需要注意的Struts2问题包括:安全性问题,如XSS、CSRF攻击,这些问题需要通过配置过滤器或使用特定拦截器来防范;性能优化,如避免过多的Action跳转,合理使用缓存;以及错误处理和日志记录,确保系统在...
Struts2权威指南(完整版)
11-21
在安全性方面,Struts2提供了多种安全机制,如防止XSS和CSRF攻击过滤器,以及基于角色的访问控制。然而,也需要注意Struts2的安全漏洞,例如著名的Struts2 S2-045漏洞,开发者需要时刻关注官方的安全更新,确保...
SpringSecurity - 启动流程分析(八)- CsrfFilter 过滤
业精于勤荒于嬉
08-19 1210
SpringSecurity - 启动流程分析(八)- CsrfFilter 过滤
【第八篇】SpringSecurity核心过滤器-CsrfFilter
波波烤鸭的博客
05-12 3298
SpringSecurity核心过滤器-CsrfFilter   Spring Security除了认证授权外功能外,还提供了安全防护功能。本文我们来介绍下SpringSecurity中是如何阻止CSRF攻击的。 一、什么是CSRF攻击   跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击
struts-csrf-cracker:用于预测 Struts2 CSRF Token < 2.3.20 的概念代码证明
07-06
用于预测 Struts CSRF 令牌的概念代码证明。 [ ] 完整的解释可以阅读: 执行预览: == Initial token H6P3Y3GHIC2865ASZVQ913NR93QZO7BR == Initial token in hex (easier evaluation) 14b08fcbf6523eecd7dd7d3e89cf97d6f478db5617 Guessing part.. == bytes representation (reconstructed byte array) 14b08fcb f6523eec d7dd7d3e 89cf97d6 f478db56 Seed found: 259752424024079 == following int .. (should match the initial token last part) d7dd
Spring Security CsrfFilter过滤器用法实例
08-25
主要介绍了Spring Security CsrfFilter过滤器用法实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Struts2 拦截器 手动验证 或 自动验证 后台登录验证 源码
10-28
想学习Struts2拦截器 验证机制(比如Login拦截)的小伙伴可以参考一下,里面有最浅显易懂的案例,欢迎交流吐槽
Spring官方提供【CSRF攻击解决方案
最新发布
qq_35040959的博客
01-16 1720
·Spring官方提供【CSRF攻击解决方案
xss和csrf其实就是一个过滤器和一个拦截器而已:放屁
u010287873的博客
06-22 2693
CSRF攻击原理及防御:https://www.cnblogs.com/shytong/p/5308667.html  CSRF 攻击的应对之道:https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/   拦截器可以获取IOC容器中的各个bean,而过滤器就不行,这点很重要,在拦截器里注入一个service,可以调用业务逻...
Struts网站基于Filter的XSS漏洞修复
乔布斯基的博客
06-25 2106
1,关于XSS漏洞的知识,网上有很多文档,例如点击打开链接 2,关于XSS漏洞修复的知识也有很多,本文对本人修复XSS做下记录 3,Spring 中 XSS漏洞修复的可以参考 点击打开链接 4,但是以上方法仅仅适用于Spring 的修复,Struct有自己的拦截包装机制,完整的 Struct 中 Xss 漏洞修复,可以参考 点击打开链接 5,但是以上对Struct中Xss漏洞修复的代码有点
Play 2.6 抵御CSRF
java scala
01-11 1198
抵御跨站伪造请求 https://playframework.com/documentation/2.6.x/JavaCsrf CSRF是一个安全漏洞,攻击者通过受害者的浏览器在会话期间发起一个请求。由于每一个请求都会带有session token,如果攻击者能够迫使被害者浏览器以自己的身份发出请求,那么也能以用户的名义发出请求。 建议你了解以下CSRF,了解一下什么是攻击向量什么不是,可以
Web安全之CSRF攻击
weixin_34221775的博客
03-01 336
CSRF是什么? CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 举个例子 简单版: 假如博客园有个加关注的GET接口,blogUserGuid参数很明显是关注人Id,如下: htt...
Django的MTV分布讲解----模板templates
qq_42181333的博客
10-16 217
Django使用自带模板 1 配置 在工程中创建模板目录templates。 在settings.py配置文件中修改TEMPLATES配置项的DIRS值: TEMPLATES = [ { 'BACKEND': 'django.template.backends.django.DjangoTemplates', 'DIRS': [os.path.join(BASE_DIR, 'templates')], # 此处修改 'APP_DIRS': True,
Struts 2 过滤器详解与应用
6. 令牌过滤:防止跨站请求伪造(CSRF攻击,验证请求的合法性。 五、过滤器接口的实现 1. `init(FilterConfig)`:初始化过滤器,Servlet 容器调用此方法设置过滤器配置,如读取`web.xml`中的初始化参数。 2. `...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值