项目开发中安全问题及解决方法----请求头中信息仅供参考

最新推荐文章于 2024-08-18 21:36:31 发布
最新推荐文章于 2024-08-18 21:36:31 发布
阅读量338 收藏 7
点赞数 8
分类专栏: 分布式项目调优 文章标签: java servlet 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71507863/article/details/135681876
版权

有下面案例:

@Slf4j
@RequestMapping("trustclientip")
@RestController
public class TrustClientIpController {
 HashSet<String> activityLimit = new HashSet<>();
 @GetMapping("test")
 public String test(HttpServletRequest request) {
 String ip = getClientIp(request);
 if (activityLimit.contains(ip)) {
 return "您已经领取过奖品";
 } else {
 activityLimit.add(ip);
 return "奖品领取成功";
 }
 }
 private String getClientIp(HttpServletRequest request) {
 String xff = request.getHeader("X-Forwarded-For");
 if (xff == null) {
 return request.getRemoteAddr();
 } else {
 return xff.contains(",") ? xff.split(",")[0] : xff;
 }
 }
}

 上面代码中的意思是:通过一个 HashSet 模拟已发放过奖品的 IP 名单,每次领取奖品后把 IP 地址加入这个名单中。IP 地址的获取方式是:优先通过 X-Forwarded-For 请求头来获 取,如果没有的话再通过 HttpServletRequest 的 getRemoteAddr 方法来获取。通常我们的应用之前都部署了反向代理或负载均衡器,remoteAddr 获得的只 能是代理的 IP 地址,而不是访问用户实际的 IP。这不符合我们的需求,因为反向代理在转发请求时,通常会把用户真实 IP 放入 X-Forwarded-For 这个请求 头中。这种过于依赖 X-Forwarded-For 请求头来判断用户唯一性的实现方式,是有问题的。

首先我们来看一个正常请求的curl

curl "https://eva2.csdn.net/v3/06981375190026432f77c01bfca33e32/lts/groups/dadde766-b087-42da-8e67-d2499a520ee7/streams/ea448b34-0491-4546-87aa-059120b54c53/logs" ^
  -H "Accept: */*" ^
  -H "Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6" ^
  -H "Connection: keep-alive" ^
  -H "Content-Type: application/json" ^
  -H "Lts-Sdk-Request-Id: c51a99cf2f5a4e56beaca85c3369bdcd" ^
  -H "Lts-Sdk-Version: 1.0.15" ^
  -H "Origin: https://www.csdn.net" ^
  -H "Referer: https://www.csdn.net/" ^
  -H "Sec-Fetch-Dest: empty" ^
  -H "Sec-Fetch-Mode: cors" ^
  -H "Sec-Fetch-Site: same-site" ^
  -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Edg/120.0.0.0" ^
  -H "X-Sdk-date: 20240118T105943Z" ^
  -H "sec-ch-ua: ^\^"Not_A Brand^\^";v=^\^"8^\^", ^\^"Chromium^\^";v=^\^"120^\^", ^\^"Microsoft Edge^\^";v=^\^"120^\^"" ^
  -H "sec-ch-ua-mobile: ?0" ^
  -H "sec-ch-ua-platform: ^\^"Windows^\^"" ^
  --data-raw "^{^\^"labels^\^":^{^},^\^"logs^\^":^[^{^\^"contents^\^":^[^{^\^"pid^\^":^\^"www^\^",^\^"ref^\^":^\^"^\^",^\^"curl^\^":^\^"https://www.csdn.net/^\^",^\^"dest^\^":^\^"^\^",^\^"spm^\^":^\^"1000.2115.3001.9884^\^",^\^"t^\^":^\^"1705575583^\^",^\^"eleTop^\^":^\^"0^\^",^\^"cCookie^\^":^\^"c_dl_fref=https://so.csdn.net/so/search;c_dl_um=-;c_dl_prid=1704627495151_519907;c_dl_rid=1705496562373_273536;c_dl_fpage=/download/wodegeCSDN/87669666;c_session_id=10_1705573255584.316953;c_first_ref=default;c_first_page=https^%^3A//www.csdn.net/;c_dsid=11_1705573256310.252504;c_segment=10;c_sid=2235fa0f9f87f6dc41b3037269be4faa;c_pref=https^%^3A//blog.csdn.net/m0_71507863^%^3Fspm^%^3D1010.2135.3001.5343;c_ref=https^%^3A//i.csdn.net/;c_page_id=default;^\^",^\^"__time__^\^":1705575583,^\^"urn^\^":^\^"1705575583388-b300c1b4-17a9-48e5-a3bf-0d36f2eda604^\^",^\^"pv_urn^\^":^\^"1705573256315-c10403b4-98bf-45a8-a3af-5a4e9665d37c^\^",^\^"log_id^\^":^\^"31871^\^",^\^"userAgent^\^":^\^"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Edg/120.0.0.0^\^",^\^"cid^\^":^\^"11_77968357048-1649990083180-682266^\^",^\^"uid^\^":^\^"m0_71507863^\^",^\^"sid^\^":^\^"10_1705573255584.316953^\^",^\^"dc_sid^\^":^\^"^\^",^\^"did^\^":^\^"11_77968357048-1649990083180-682266^\^",^\^"utm^\^":^\^"^\^",^\^"platform^\^":^\^"PC^\^",^\^"__client_time__^\^":1705575583389^}^]^},^{^\^"contents^\^":^[^{^\^"pid^\^":^\^"www^\^",^\^"ref^\^":^\^"^\^",^\^"curl^\^":^\^"https://www.csdn.net/^\^",^\^"dest^\^":^\^"^\^",^\^"spm^\^":^\^"1000.2115.3001.9884^\^",^\^"t^\^":^\^"1705575583^\^",^\^"eleTop^\^":^\^"0^\^",^\^"cCookie^\^":^\^"c_dl_fref=https://so.csdn.net/so/search;c_dl_um=-;c_dl_prid=1704627495151_519907;c_dl_rid=1705496562373_273536;c_dl_fpage=/download/wodegeCSDN/87669666;c_session_id=10_1705573255584.316953;c_first_ref=default;c_first_page=https^%^3A//www.csdn.net/;c_dsid=11_1705573256310.252504;c_segment=10;c_sid=2235fa0f9f87f6dc41b3037269be4faa;c_pref=https^%^3A//blog.csdn.net/m0_71507863^%^3Fspm^%^3D1010.2135.3001.5343;c_ref=https^%^3A//i.csdn.net/;c_page_id=default;c_tos=s7gejc;^\^",^\^"__time__^\^":1705575583,^\^"urn^\^":^\^"1705575583390-0cc0348d-29b6-4b60-96d3-f8eba6d5f6f4^\^",^\^"pv_urn^\^":^\^"1705573256315-c10403b4-98bf-45a8-a3af-5a4e9665d37c^\^",^\^"log_id^\^":^\^"31872^\^",^\^"userAgent^\^":^\^"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Edg/120.0.0.0^\^",^\^"cid^\^":^\^"11_77968357048-1649990083180-682266^\^",^\^"uid^\^":^\^"m0_71507863^\^",^\^"sid^\^":^\^"10_1705573255584.316953^\^",^\^"dc_sid^\^":^\^"^\^",^\^"did^\^":^\^"11_77968357048-1649990083180-682266^\^",^\^"utm^\^":^\^"^\^",^\^"platform^\^":^\^"PC^\^",^\^"__client_time__^\^":1705575583391^}^]^}^]^}" ^

我们是完全可以更改它的请求头的,比如我们可以通过模拟发送下面的请求头信息来影响业务: curl http://localhost:45678/trustclientip/test -H "X-Forwarded-For:183.84.18.71, 10.253.15.1"

因此,IP 地址或者说请求头里的任何信息,包括 Cookie 中的信息、Referer,只能用作参考,不能用作重要逻辑判断的依据。而对于类似这个案例唯一性的 判断需求,更好的做法是,让用户进行登录或三方授权登录(比如微信),拿到用户标识来做唯一性判断。 

ADRU
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 9137
springboot 整合 SA-Token 使用详解
2023年网络安全最新面试题,70多道面试官最常问的问题,建议收藏!
资深程序员,曾自学JAVA,C#,如今从业于网安行业
12-20 1999
鱼叉攻击:指利用木马程序作为电子邮件的附件,发送到目标电脑上,诱导受害者去打开附件来感染木马水坑攻击:分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,将网站攻破并植入恶意程序,等待目标访问利用虚拟机软件或者虚拟机运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的网安入门到进阶资源在同一个局域网,通过拦截正常的网络通信数据,并进行数据篡改和嗅探在主机绑定网关MAC与IP地址为静态在网关绑定主机MAC与IP地址使用ARP防火墙。
常见前端的安全问题
diwang_718的博客
03-12 260
一般前端常见的网络攻击方式有两种: 一:CSRF(跨站请求伪造) CSRF攻击的全称是跨站请求伪造( cross site request forgery),是一种对网站的恶意利用,攻击者盗用了你的身份,以你的名义给第三方网站发送恶意的请求。它可以做到的事情有利用你的身份发邮件、发短信、进行交易转账、盗取你的账号等,可能会导致,个人隐私泄漏以及财产安全。 CSRF的原理: 如上图所示,完成一次C...
Http请求头安全策略
weixin_30663471的博客
09-27 449
今天在网上浪了许久,只是为了找一个很简单的配置,却奈何怎么都找不到。 好不容易找到了,我觉得还是记录下来的好,或许省得许多人像我一样浪费时间。 1.X-Frame-Options 如果网站可以嵌入到IFRAME元素,则攻击者可以在社交场合设计一种情况,即受害者被指向攻击者控制的网站,该网站构成目标网站的框架。然后攻击者可以操纵受害者在目标网站上不知不觉地执行操作。即使有跨站点请求伪造保护,...
vue 使用 worker-loader 及遇到的问题
Amy的博客
08-05 1万+
Web Worker 使用教程 Worker - Web API 接口参考 | MDN 版本 Vue CLI 3 webpack 4 worker-loader 3 vue-cli3 依赖的 webpack 版本是 "webpack": "^4.0.0",而 "worker-loader": "^3.0.0" 要求的 webpack 版本是 4 | 5。 使用前要检查下各个依赖对应版本,不然会引发一些错误。 不同版本配置文件会有所不同,后面介绍。 使用 参考:vue使用web worker webp
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 2874
现场的为小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其,Coyote作为Tomcat的。
STM32F103+RFID-RC522模块 实现简单读卡写卡demo
热门推荐
Love丶伊卡洛斯
04-21 4万+
目录前言代码下载:功能介绍:接线STM32STM32F1开发指南(精英版)-库函数版本_V1.2STM32文参考手册RFID-RC522RFID射频模块电路原理图使用图+效果图一、先用手机软件NFC Writer读取空卡看看内容1、打开软件和NFC(ps:我的手机是小米10)2、将空卡贴于手机背部,弹出提示发现新卡,点击“好的”3、上面的新卡片左滑到新卡片1,单击这个卡片4、进入卡片信息详细页面钥匙扣卡M1空白卡二、编译、烧写程序三、将钥匙扣卡发在模块上,打开串口,开始测试核心代码main.crc522.
https请求报错block:mixed-content问题解决办法
2301_79779756的博客
04-25 2480
本文将深入探讨HTTPS请求出现的block:mixed-content错误,解释这一错误的含义、产生原因,并给出相应的解决方法。通过本文,读者将能够了解如何有效地处理这一常见的网页安全问题
SSM 项目 --------- 小米商城后台管理系统
在森林里麋了鹿
02-27 3万+
目录一、项目名称二、使用技术三、开发步骤四、具体实现1、创建数据库表2、项目结构3、配置文件 一、项目名称 名称 :小米商城后台管理系统 本项目主要目的是使学员更深层的了解IT企业的文化和岗位需求、模拟企业的工作场景,分享研制成果,增加学员对今后工作岗位及计算机应用开发对客观世界影响的感性认识,使学员对技术有更深入的理解,在今后工作能有更明确的目标和方向。并能为日后职业规划提供很好的指导作用。 二、使用技术 服务端:Spring+SpringMVC+MyBatis框架整合 数据库:MySql8.0
uni-app超详细的api接口调用方法(Vue3)
qq_72675091的博客
04-21 3872
一篇非常详细的uni-app接口调用方法(vue3)
clubhouse-py:适用于Python的Clubhouse API。 仅供参考和教育目的
02-15
适用于Python的Clubhouse API 仅供参考和教育用途。 不提供任何形式的担保。 clubhouse-py最初是出于互操作性而开发的。 当前,音频相关功能(agora.io / pubnub)尚未实现。 请注意,您可能会被永久禁止发送无效的...
spring-mvc 小小demo,仅供参考
12-21
Spring MVC 是一个强大的Java Web开发框架,由Spring IO团队维护,它简化了构建基于MVC(Model-View-Controller)架构的Web应用的过程。在这个"spring-mvc 小小demo",我们可以深入理解Spring MVC的基本概念、核心...
(未经测试-仅供参考)javaweb-exam-demo.zip
06-04
【描述】:由于描述提到“未经测试-仅供参考”,这表明提供的代码或项目可能没有经过实际运行验证,使用者需要自行检查和调试。它可能包含了源代码、配置文件、资源文件等,旨在帮助用户理解如何构建和运行一个...
小天才博客--仅供参考
04-05
【小天才博客--仅供参考】是一个基于JavaScript和Node.js原生编写的个人博客系统。这个项目旨在展示如何使用这两种技术来构建一个功能完善的博客平台。在深入探讨之前,我们需要明确JavaScript作为客户端脚本语言,...
ASP网络教学评判系统-仅供参考
06-02
在"ASP网络教学评判系统-仅供参考"这个项目,我们可以推测这是一个基于ASP技术构建的教学评估平台,允许教师、学生以及管理员进行在线评分、反馈和数据分析。 首先,我们需要了解ASP的基本概念。ASP运行在IIS...
手撕快排——三种实现方法(附动图及源码)
jsjs1346的博客
08-16 918
🤖💻👨‍💻👩‍💻🌟🚀🤖🌟👨‍💻👩‍💻👨‍💻👩‍💻🚀是一种高效的排序算法,广泛应用于各种场景。它采用策略,将一个数组分成两个子数组,然后递归地对这两个子数组进行排序。本文将介绍三种快速排序的实现方法,并附上相应的源码。⚙️一、快速排序的基本原理一个基准元素(pivot)分成两个子数组递归合并O(n log n)O(n log n)O(n^2)后文我们将给出优化方案O(log n)📚三、实现霍尔方法是快速排序原始版本使用的分区方法
【Spring框架】
最新发布
m0_71941456的博客
08-18 845
Spring框架的功能远不止于此,它还包括Spring MVC、Spring Data、Spring Security等多个模块,每个模块都有其独特的应用场景。
网上商品订单转手系统bootpf
weixin_43213064的博客
08-18 478
【代码】springboot网上商品订单转手系统bootpf
总结常见报错信息
m0_68903702的博客
08-16 348
在@Controller注解,返回的是字符串或者是字符串匹配的模板名称,即直接渲染视图,与html页面配合使用的,java后端的代码要结合html的情况进行渲染,使用model对象(或者modelandview)的数据将填充user视图的相关属性,然后展示到浏览器;而在@RestController,返回的应该是一个对象,即return一个user对象,这时,在没有页面的情况下,也能看到返回的是一个user对象对应的json字符串。情形一:若前端传入Json格式,后端使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ADRU

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值