校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器

最新推荐文章于 2024-03-30 00:00:19 发布
最新推荐文章于 2024-03-30 00:00:19 发布
阅读量4k 收藏 2
点赞数
分类专栏: spring struts 文章标签: 校验Referer 防范CSRF攻击的拦截器 跨站请求伪造

 

 

	public final static	String domainName = "192.168.2.123";

 

 

package com.web.interceptors;

import org.apache.log4j.Logger;
import org.apache.struts2.ServletActionContext;

import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;
import com.trace.web.utils.Constants;

/**
 * 对管理员操作,校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器
 * @author admin
 */
public class AuthInterceptor extends AbstractInterceptor {

	private static final long serialVersionUID = -2154056039548254482L;
	
	private static Logger log = Logger.getLogger(AuthInterceptor.class);

	@Override
	public String intercept(ActionInvocation invocation) throws Exception {
		String referer = ServletActionContext.getRequest().getHeader("Referer");
		if((referer!=null) && (referer.trim().startsWith(Constants.HTTP + Constants.domainName))){
			return invocation.invoke();
		}
		log.info("referer : " + referer);
		return "error";
	}

}

 

 

 

 

 

 

 

 

 

 

 

 

 

捐助开发者

在兴趣的驱动下,写一个免费的东西,有欣喜,也还有汗水,希望你喜欢我的作品,同时也能支持一下。 当然,有钱捧个钱场(右上角的爱心标志,支持支付宝和PayPal捐助),没钱捧个人场,谢谢各位。



 
 
 谢谢您的赞助,我会做的更好!

 

 

 

curiousby
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过验证Referer解决CSRF安全防御问题
向南
09-26 5310
一、背景 JAVAWEB 类项目处于客户验收阶段,在安全扫描处出现 CSRF 问题,通过多个博客中解决思路都无法解决。后来通过同事提醒 可以试试判断 Referer页面来源参数,最终使用该方法解决问题。 二、环境 服务器:Linux 前端:Angular 后端:Springboot Java 三、安全证书 四、解决方法 后端拦截器判断访问来源,其它地方不用修改。 @...
跨站请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5414
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
Day56:WEB攻防-CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除
最新发布
qq_61553520的博客
03-30 634
小迪安全-Day56:WEB攻防-CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除
CSRF 攻击的应对之道
java旅程
09-06 480
转载自:http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 **CSRF 攻击实例**
AppScan安全扫描:CSRF 攻击 将可能干扰 CSRF 攻击的 HTTP 除去,并使用伪造的 URL 设置 Referer
爱兰河少
01-30 1701
如果一个网站是从其他网站点击后跳转过来,则会在当前的请求中带上Referer信息,该信息指示的是跳转前网页的地址信息,而AppScan安全扫描则会报CSRF 攻击;解决方法:通过拦截器,获取请求中的Referer信息,对Referer信息做过滤处理 1、拦截器信息 可用过csrf-ignore-uri配置白单信息,指定相应的URI信息不做拦截 package cn.com.zwjp.fr...
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。...在跨站请求伪造CSRF攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面
php漏洞之跨网站请求伪造与防止伪造方法
10-26
跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种网络安全漏洞,攻击者通过诱导用户在未经许可的情况下执行非预期的操作,从而达到恶意目的。在PHP开发中,了解并防止这种攻击至关重要。 首先,我们...
东南大学网络空间安全实验基础——跨站请求伪造攻击实验
07-07
本实验报告主要讲述了跨站请求伪造攻击CSRF)的原理和防御方法。CSRF 攻击是一种常见的网络攻击方式,攻击者可以通过欺骗用户来访问恶意网站,从而达到攻击目的。 一、实验内容 Task 1:观察 HTTP 请求使用...
跨站请求伪造-CSRF防护方法
03-12
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者可以欺骗用户浏览器,发出恶意请求,危害用户的安全。因此,防御CSRF攻击非常重要。下面将对CSRF攻击原理和防御方法进行详细的...
验证HTTP Referer字段
紫天专栏
06-25 1万+
1 、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。   1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未
主机验证:用于“主机”和“ Referer”标验证的Express.js中间件,可防止DNS重新绑定攻击
02-04
主机验证 Express.js中间件,可通过验证传入请求中的Host和Referer [sic]标保护Node.js服务器免受攻击。 如果请求不包含列入白名单的Host / Referer标,则host-validation将以403 Forbidden HTTP错误响应。 DNS重新绑定是一个精明的漏洞利用,多年来一直没有得到应有的重视。 因此,由于开发人员缺乏有关攻击的知识,或者仅仅是疏忽和漠不关心该攻击,因此大量的服务容易受到攻击。 别做那个人。 入门 # install using npm npm install host-validation const express
java 跨站伪造请求,通过“ Referer”标防止跨站请求伪造
weixin_39860732的博客
02-12 917
We recently received result from IBM AppScan DAST and some of the result don't make much senses.2.Medium -- Cross-Site Request ForgeryRisk(s): It may be possible to steal or manipulate customer sessio...
Referer校验
luzhangtong的博客
08-24 1万+
Referer是http协议中定义的,Referer就是上一个页面的地址,这个是浏览器会在点击一个链接时自动添加到请求中的   查看一个request信息: GET /adjs.php?n=348893119&amp;what=zone:382&amp;charset=utf-8&amp;exclude=,&amp;referer=http%3A//topic.csdn.net/u/20...
CSRF简单理解---HTTP Referer字段验证(Java实现)
热门推荐
澪月
02-08 1万+
CSRF攻击简单来说就是: 1.你可以通过A网站发送请求“转100块给小明”。 2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。 3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。 所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。 referer的验证原理简单来说就是: 比对HTTP请求发送的网站(re...
http referer 验证防御方法_技术干货 | CSRF攻击原理以及防御
weixin_39559333的博客
11-29 1766
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不...
2.http请求Referer的作用与伪造
wjiaman
10-22 1万+
文章目录一、Referer1.作用2.空Refer二、Referer的伪造1.伪造为ip地址2.伪造为URL 一、Referer Referer是HTTP请求header中的一部分,其表示请求当前资源的客户端来源,当浏览器(或模拟浏览器行为)向web服务器发送请求的时候,部信息里会携带Referer。 例如:在 www.google.com 里有一个 www.baidu.com 超链接,当点击...
CSRF跨站请求伪造漏洞
12-06
CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发CSRF攻击攻击者可以通过这种方式窃取用户的个人信息、账号密码等敏感信息,或者进行一些非法操作,比如在用户不知情的情况下转账、购买商品等。 CSRF攻击的过程一般包括以下几个步骤: 1. 攻击者在第三方网站上设置陷阱,比如在网页中插入一个图片或者链接。 2. 用户在浏览器中访问第三方网站,触发了陷阱,浏览器会自动向被攻击网站发送请求。 3. 被攻击网站接收到请求后,会认为这是用户的合法请求,从而执行相应的操作,比如转账、购买商品等。 防御CSRF攻击的方法包括: 1. 在表单中添加随机的token,防止攻击伪造请求。 2. 检查Referer部,确保请求来源于合法的网站。 3. 在cookie中添加SameSite属性,限制cookie只能在同站点请求中发送,从而防止跨站请求伪造攻击。 --相关问题--: 1. 什么是XSS漏洞? 2. 如何防御XSS攻击? 3

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值