SpringBoot安全验证之Referer拦截器

最新推荐文章于 2024-08-26 14:11:20 发布
最新推荐文章于 2024-08-26 14:11:20 发布
阅读量1w 收藏 10
点赞数 2
分类专栏: springboot 文章标签: referer sprintboot 安全验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/junmoxi/article/details/89208311
版权

自定义Referer拦截器

public class RefererInterceptor extends HandlerInterceptorAdapter {
    // URL匹配器
    private AntPathMatcher matcher = new AntPathMatcher();
    @Autowired
    private RefererProperties properties;
    @Override
    public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {
        String referer = req.getHeader("referer");
        String host = req.getServerName();
        // 只验证POST请求
        if ("POST".equals(req.getMethod())) {
            if (referer == null) {
                // 状态置为404
                resp.setStatus(HttpServletResponse.SC_NOT_FOUND);
                return false;
            } 
            java.net.URL url = null;
            try {
                url = new java.net.URL(referer);
            } catch (MalformedURLException e) {
                // URL解析异常,也置为404
                resp.setStatus(HttpServletResponse.SC_NOT_FOUND);
                return false;
            }
            // 首先判断请求域名和referer域名是否相同
            if (!host.equals(url.getHost())) {
                // 如果不等,判断是否在白名单中
                if (properties.getRefererDomain() != null) {
                    for (String s : properties.getRefererDomain()) {
                        if (s.equals(url.getHost())) {
                            return true;
                        }
                    }
                }
                return false;
           }
        }
      return true;
   }
}

配置白名单Referer域名

@Component
@ConfigurationProperties(prefix = "referer")
public class RefererProperties {
	// 白名单域名
    private List<String> refererDomain;
	//setter,getter方法
}

yml配置

referer:
	refererDomain:
	  - baidu.com
	  - pibigstar.com
	  - mxspvip.cn
跟派大星学编程
关注
专栏目录
Spring Boot拦截器精讲
洛卡JAVA架构师每日分享Java架构师知识
06-02 2010
我们对拦截器并不陌生,无论是 Struts 2 还是 Spring MVC 中都提供了拦截器功能,它可以根据 URL 对请求进行拦截,主要应用于登陆校验、权限验证、乱码解决、性能监控和异常处理等功能上。Spring Boot 同样提供了拦截器功能。在 Spring Boot 项目中,使用拦截器功能通常需要以下 3 步: 定义拦截器; 注册拦截器; 指定拦截规则(如果是拦截所有,静态资源也会被拦截)。 定义拦截器 在 Spring Boot 中定义拦截器十分的简单,只需要创建一个拦截器类,并实现 Handle
java springboot 通过Referer防止跨站点请求伪造
qq_44154912的博客
10-21 4194
防止跨站点请求伪造 获取 referer 为null, 无法获取 referer 导致过滤失败
springboot拦截器实现拦截器 权限校验,登录demo
11-14
不知道为啥不能设置0。这个是demo,有时间博主吧git整理下 链接发出来
SpringBoot 通过拦截器验证Referer 防御CSRF攻击
热门推荐
哎幽的成长
10-10 1万+
问题: **CSRF概念:**CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为...
漏洞挖掘 | 记一次Spring横向渗透
最新发布
2301_80115097的博客
08-26 1068
这篇文章给师傅们分享下,前段时间的一个渗透测试的一个项目,开始也是先通过各种的手段和手法利用一些工具啊包括空间引擎等站点对该目标公司进行一个渗透测试。前面找的突破口很少,不太好搞,但是后面找到了spring全家桶的相关漏洞,然后打了spring的很多漏洞,然后也是交了蛮多的漏洞报告的。
SpringBoot 添加Referer拦截器
cai454692590的博客
05-24 4991
SpringBoot 添加Referer拦截器 拦截器代码 /** * Referer拦截器 */ public class RefererInterceptor extends HandlerInterceptorAdapter { private final static Logger logger = LoggerFactory.getLogger(RefererInterce...
拦截器Interceptor】springboot拦截器的使用和原理
weixin_44823875的博客
04-15 1936
拦截器就是用来拦截指定的请求,在请求前、请求处理后做一些响应的业务逻辑处理,或者在请求完成之后做一些资源释放。拦截器最常用的使用场景就是认证,在请求开始之前,对当前请求进行权限校验,如果当前请求用户具备操作当前请求的权限,就对当前请求放行,允许执行业务逻辑;否则拦截当前请求,直接返回。拦截器的功能通过网关也都是可以实现的,但是一些单体架构还是需要使用拦截器。要在SpringBoot中实现拦截器,首先需要创建一个类并实现HandlerInterceptor接口。
拦截器后台安全验证
weixin_33985507的博客
06-19 144
package com.huiminSys.web;import java.util.Date;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpSession;import org.apache.struts2.ServletActionContext;import com.huiminSys.d...
SpringBoot添加Referer拦截器最详细实例
爱java的小蓝的博客
09-28 3625
背景:项目进行了安全漏洞扫描,扫描中风险提示需要验证Referer”头的值。 application-referer.yml配置可访问referer地址 application-referer: refererDomain: - http://42.228.55.222 - https://42.228.55.222 - http://59.207.61.21 加载application-referer.yml文件获取referer list package ..
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5664
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
springboot实现拦截器验证登录示例
08-31
本篇文章主要介绍了springboot实现拦截器验证登录示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
通过验证Referer解决CSRF安全防御问题
向南
09-26 5480
一、背景 JAVAWEB 类项目处于客户验收阶段,在安全扫描处出现 CSRF 问题,通过多个博客中解决思路都无法解决。后来通过同事提醒 可以试试判断 Referer页面来源参数,最终使用该方法解决问题。 二、环境 服务器:Linux 前端:Angular 后端:Springboot Java 三、安全证书 四、解决方法 后端拦截器判断访问来源,其它地方不用修改。 @...
SpringBoot对WebSocket添加拦截器——自定义注解
weixin_52707625的博客
06-20 1411
对WebSocket添加拦截器,并自定义注解
Springboot之登录模块探索(含Token,验证码,网络安全等知识)
q1472750149的博客
01-19 496
简介 登录模块很简单,前端发送账号密码的表单,后端接收验证后即可~ 淦!可是我想多了,于是有了以下几个问题(里面还包含网络安全问题): 1.登录时的验证码 2.自动登录的实现 3.怎么维护前后端登录状态 在这和大家分享下我实现此功能的过程,包括一些技术和心得 1.登录时的验证码 为什么要验证码,原因很简单,防止脚本无限次重复登录,来暴力破解用户密码或者攻击服务器 验证码的出现,使得每次登录都有个动态变量需要输入,无法用脚本写死代码 具体可以参考:滑动验证码的设计和理解:www.cnblo
SpringBoot拦截器
浩泽学编程的博客
09-26 277
SpringBoot拦截器讲解(原理、源码讲解)
Springboot实现拦截器功能
weixin_44675056的博客
03-15 634
这里很简单,先引入spring-boot-starter-parent,parent 是父模块,由父模块统一进行 spring-boot 版本管理,dependencies 中与 spring-boot 启动绑定的包不需要再指定版本。(我这里是为了测试,接口参数str的值是否包含admin,如果包含就返回该接口的数据,否则跳转到登录接口)注解,不然拦截器不会生效。类,并且在该类上添加。注入到该类中,然后在。
SpringBoot Referer防盗链
weixin_44988811的博客
02-11 1066
问题 测试修改了Referer信息后,再次发送请求,目前仍可返回结果。 解决 1、在application.yml配置文件中添加需要过滤的白名单。 referer: refererDomain: - localhost - 127.0.0.1 - 192.168.XX.XX 2、新增配置模板 import lombok.Data; import org.springframework.boot.context.properties.ConfigurationProperties
springboot跨站拦截器
aw277866304的博客
01-19 369
对于有安全需求的系统来说,或者项目安全测试啥的一般都会对跨站请求进行验证,跨站拦截应该算是用得比较多的安全验证方式。 具体攻击细节及防护措施,请点击查看跨站请求伪造_百度百科 其中,检查Referer字段方式可以通过自定义一个跨站拦截器进行有效拦截 package cn.xxx.rdc.fi.filter; import java.io.IOException; import java.io.PrintWriter; import java.util.HashMap; import java.ut
springboot安全漏洞CSRF
08-16
4. 验证请求来源:在服务器端验证请求的来源是否合法,可以通过检查 Referer 头部或 Origin 头部来验证请求来源是否为可信任的域名。 5. 使用双重提交保护:使用双重提交保护机制,即在表单中嵌入一个随机生成的 ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值