OWASP(CsrfGuard)源码解析05----JavaScriptServlet分析

最新推荐文章于 2024-04-23 18:52:22 发布
最新推荐文章于 2024-04-23 18:52:22 发布
阅读量288 收藏
点赞数
分类专栏: OWASP-CSRF Guard 文章标签: JavaScriptServl OWASP csrf csrfguard java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mamamalululu00000000/article/details/112677180
版权

JavaScriptServlet分析

一、介绍

前面已经 介绍了 listener 、 filter , 整个jar 包后端就剩下一个 JavaScriptServlet 了
在这里插入图片描述

二、JavaScriptServlet分析

JavaScriptServlet 继承了 HttpServlet 类, 主要重写了 init(), doGet() , doPost() 方法,下面主要分析这3个方法:

2.1 init() 方法

主要就是赋值, 并打印log

	@Override
	public void init(ServletConfig theServletConfig) {
	  servletConfig = theServletConfig;
	  //打印log
	  CsrfGuardServletContextListener.printConfigIfConfigured(servletConfig.getServletContext(),
			  "Printing properties after Javascript servlet, note, the javascript properties have now been initialized: ");
	}

2.2 doGet() 方法

方法 doGet() 的主要流程就是:

  1. 先获取 请求 转过来的url , 并和 配置的url 进行正则匹配, 如果 不同,那就报错
  2. 接着 比较域名, 如果域名不同也报错, 这里的domain 设置的值, 从 context-parm -> config 配置-> default value 顺序获取
  3. 将 请求url 后缀 加到 白名单
  4. 返回 csrfguard.js 内容
@Override
	public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException {
	    // 获取来访者的地址
		String refererHeader = request.getHeader("referer");
		boolean hasError = false;
		// 从配置文件里面获取 org.owasp.csrfguard.JavascriptServlet.refererPattern 对应的 来访者匹配的正则
		Pattern javascriptRefererPattern = CsrfGuard.getInstance().getJavascriptRefererPattern();
		// 如果 refererHeader  不为null 并且 和设置的不匹配,那就 打印log ,设置response 的状态为 404 
		if(refererHeader != null && !javascriptRefererPattern.matcher(refererHeader).matches()) {
			CsrfGuard.getInstance().getLogger().log(LogLevel.Error, "Referer domain " + refererHeader + " does not match regex: " + javascriptRefererPattern.pattern());
			response.sendError(404);
			hasError = true;
		}
		
		// 如果	refererHeader  不为null,并且 需要匹配 domain
		// 这里的domain 设置的值, 从 context-parm -> config 配置-> default value 顺序获取
		if (refererHeader != null && CsrfGuard.getInstance().isJavascriptRefererMatchDomain()) {
			//this is something like http://something.com/path or https://something.com/path
			String url = request.getRequestURL().toString();
			// 对两个url 从 第8位开始截取, 并比较,如果不相同那就 设置 状态404 
			String requestProtocolAndDomain = CsrfGuardUtils.httpProtocolAndDomain(url);
			String refererProtocolAndDomain = CsrfGuardUtils.httpProtocolAndDomain(refererHeader);
			if (!refererProtocolAndDomain.equals(requestProtocolAndDomain)) {
				CsrfGuard.getInstance().getLogger().log(LogLevel.Error, "Referer domain " + refererHeader + " does not match request domain: " + url);
				hasError = true;
				response.sendError(404);
			}
			
		}
		// 如果没有error , 获取 从 contextPath 开始的路径, 放到 javascriptUris里面 ,后面这里作为白名单
		// csrfguard.js 文件内容
		if (!hasError) {
			
			//save this path so javascript is whitelisted
			String javascriptPath = request.getContextPath() + request.getServletPath();
			
			/**
			理论上这里应该只有一个url ,但是不排除配置了多个的可能,所以javascriptUris 是一个Set 集合
			**/
			if (javascriptUris.size() < 100) {
				javascriptUris.add(javascriptPath);
			}
			
			writeJavaScript(request, response);
		}
	}

2.3 writeJavaScript() 方法

方法writeJavaScript() 主要是 :

  1. 根据 rotate 或者 token-per-page 是否配置 ,进行设置 Header t头部信息
  2. 将 csrfguard.js 内容里面的 一些 替换到 ,比较 当前的 domain 等等

	private void writeJavaScript(HttpServletRequest request, HttpServletResponse response) throws IOException {
		HttpSession session = request.getSession(true);
		CsrfGuard csrfGuard = CsrfGuard.getInstance();

		/** cannot cache if rotate or token-per-page is enabled **/
		if (csrfGuard.isRotateEnabled() || csrfGuard.isTokenPerPageEnabled()) {
			response.setHeader("Cache-Control", "no-cache, no-store");
			response.setHeader("Pragma", "no-cache");
			response.setHeader("Expires", "0");
		} else {
			response.setHeader("Cache-Control", CsrfGuard.getInstance().getJavascriptCacheControl());
		}

		response.setContentType("text/javascript");

		/** build dynamic javascript **/
		String code = CsrfGuard.getInstance().getJavascriptTemplateCode();

		code = code.replace(TOKEN_NAME_IDENTIFIER, CsrfGuardUtils.defaultString(csrfGuard.getTokenName()));
		code = code.replace(TOKEN_VALUE_IDENTIFIER, CsrfGuardUtils.defaultString((String) session.getAttribute(csrfGuard.getSessionKey())));
		code = code.replace(INJECT_INTO_FORMS_IDENTIFIER, Boolean.toString(csrfGuard.isJavascriptInjectIntoForms()));
		code = code.replace(INJECT_GET_FORMS_IDENTIFIER, Boolean.toString(csrfGuard.isJavascriptInjectGetForms()));
		code = code.replace(INJECT_FORM_ATTRIBUTES_IDENTIFIER, Boolean.toString(csrfGuard.isJavascriptInjectFormAttributes()));
		code = code.replace(INJECT_INTO_ATTRIBUTES_IDENTIFIER, Boolean.toString(csrfGuard.isJavascriptInjectIntoAttributes()));
		code = code.replace(INJECT_INTO_XHR_IDENTIFIER, String.valueOf(csrfGuard.isAjaxEnabled()));
		code = code.replace(TOKENS_PER_PAGE_IDENTIFIER, String.valueOf(csrfGuard.isTokenPerPageEnabled()));
		code = code.replace(DOMAIN_ORIGIN_IDENTIFIER, CsrfGuardUtils.defaultString(parseDomain(request.getRequestURL())));
		code = code.replace(DOMAIN_STRICT_IDENTIFIER, Boolean.toString(csrfGuard.isJavascriptDomainStrict()));
		code = code.replace(CONTEXT_PATH_IDENTIFIER, CsrfGuardUtils.defaultString(request.getContextPath()));
		code = code.replace(SERVLET_PATH_IDENTIFIER, CsrfGuardUtils.defaultString(request.getContextPath() + request.getServletPath()));
		code = code.replace(X_REQUESTED_WITH_IDENTIFIER, CsrfGuardUtils.defaultString(csrfGuard.getJavascriptXrequestedWith()));

		/** write dynamic javascript **/
		OutputStream output = null;
		PrintWriter writer = null;

		try {
			output = response.getOutputStream();
			writer = new PrintWriter(output);

			writer.write(code);
			writer.flush();
		} finally {
			Writers.close(writer);
			Streams.close(output);
		}
	}

2.4 doPost() 方法

doPost() 主要是校验用的, 主要逻辑是:

  1. 首先获取 头部信息 FETCH-CSRF-TOKEN ,判断是否有值,如果 有, 那就 进行 设置 tokenName + tokenValue 并返回
  2. 如果没有,判断是否开启了tokenPerPage ,如果不是, 报错404, 如果是, 设置对应的token 值
	public void doPost(HttpServletRequest request, HttpServletResponse response) throws IOException {
		CsrfGuard csrfGuard = CsrfGuard.getInstance();
		// 获取 头部里面的信息 FETCH-CSRF-TOKEN 对应的值,这个值是 通过 js  设置的,为1 说明只需要 token 
		// 如果为null,如果开启了tokenPerPage ,那就将所有的page -> token  对应关系拼接转为String 返回
		String isFetchCsrfToken = request.getHeader("FETCH-CSRF-TOKEN");
		// 如果都不为空, 设置 tokenName + tokenValue 并返回
		if (csrfGuard != null && isFetchCsrfToken != null){
			fetchCsrfToken(request, response);
		} else {
		    // 如果 isFetchCsrfToken  为null, 判断是否是 tokenPerPage ,如果不是, 报错404, 如果是, 设置对应的token 值
			if (csrfGuard != null && csrfGuard.isTokenPerPageEnabled()) {
				writePageTokens(request, response);
			} else {
				response.sendError(404);
			}
		}
	}

2.5 fetchCsrfToken() 方法

private void fetchCsrfToken(HttpServletRequest request, HttpServletResponse response) throws IOException {
        // 获取session
		HttpSession session = request.getSession(true);
		@SuppressWarnings("unchecked")
        CsrfGuard csrfGuard = CsrfGuard.getInstance();
        // 从 配置里面获取 tokenName
		String token_name = csrfGuard.getTokenName();
		// 从session里面获取token value
		String token_value = (String) session.getAttribute(csrfGuard.getSessionKey());
		// 进行name + token 拼接
		String token_pair = token_name + ":" + token_value;

		/** setup headers **/
		response.setContentType("text/plain");

		/** write dynamic javascript **/
		OutputStream output = null;
		PrintWriter writer = null;
       // 放到response 里面返回
		try {
			output = response.getOutputStream();
			writer = new PrintWriter(output);

			writer.write(token_pair);
			writer.flush();
		} finally {
			Writers.close(writer);
			Streams.close(output);
		}
	}

2.6 writePageTokens() 方法

private void writePageTokens(HttpServletRequest request, HttpServletResponse response) throws IOException {
		HttpSession session = request.getSession(true);
		@SuppressWarnings("unchecked")
		// 从 session 里面获取 pageTokenKey 的集合 Owasp_CsrfGuard_Pages_Tokens_Key
		Map<String, String> pageTokens = (Map<String, String>) session.getAttribute(CsrfGuard.PAGE_TOKENS_KEY);
		// 这里获取pageTokensString  的所有值
		String pageTokensString = (pageTokens != null ? parsePageTokens(pageTokens) : Strings.EMPTY);

		/** setup headers **/
		response.setContentType("text/plain");
		response.setContentLength(pageTokensString.length());

		/** write dynamic javascript **/
		OutputStream output = null;
		PrintWriter writer = null;
        // 返回
		try {
			output = response.getOutputStream();
			writer = new PrintWriter(output);

			writer.write(pageTokensString);
			writer.flush();
		} finally {
			Writers.close(writer);
			Streams.close(output);
		}
	}

三、小结

本章主要对 JavaScriptServlet里面的 doGet(),doPost() 以及涉及到的方法 进行了 分析, 相对还是比较简单的,下一章 分析一下最后一部分,也是 核心部分 csrfguard.js.

一直打铁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jq 给div设置宽_jQuery 获取与设置div的宽高
weixin_39700220的博客
12-21 3124
jQuery获取与设置div的宽高的方法有两种:1. 使用尺寸函数2.使用css方法获取宽高1. 尺寸函数:height() 获取高度,width() 获取宽度2. css获取div宽高:css("height")获取高度,css("width")获取宽度区别:尺寸函数获取的值为整型,而css获取的值为带px的字符串$(".divClass").click(function() {// 使用wi...
ESAPI入门使用方法
热门推荐
ru_li的专栏
05-19 3万+
一、介绍ESAPI 二、所需要的软件 我下载后的文件放置在  【E:\软件源文件 】中 三、使用方法   1.将下载好的文件解压。解压的文件依旧在【E:\软件源文件】  2.将文件下列文件加入到                     1)E:\软件源文件\esapi-2.1.0-dist \ esapi-2.1.0.jar
OWASP-CSRFGuard:OWASP CSRFGuard 3.1.0
05-07
重要通知 我们正在开发CSRFGuard的新版本,其中包括大量合并请求,良好建议和新代码,以解决绕过CSRFGuard的XSS攻击的已知问题。 请在下面的官方OWASP CSRFGuard存储库中打开所有请求和问题: 我们需要您的帮助。 如果您想花几个小时来帮助我们,请与我联系。 OWASP CSRFGuard 3.1.0 BSD许可证,保留所有权利。 概述 欢迎来到OWASP CSRFGuard项目的主页! OWASP CSRFGuard是一个库,它实现了同步器令牌模式的一种变体,以减轻跨站请求伪造(CSRF)攻击的风险。 OWASP CSRFGuard库通过使用JavaEE筛选器进行集成,并公开了各种自动和手动方式,可将每个会话或每个请求的伪造令牌集成到HTML中。 当用户与此HTML交互时,CSRF预防令牌(即,密码随机同步器令牌)将与相应的HTTP请求一起提交。 OWASP
WEB安全-ESAPI
frog4的专栏
08-20 2万+
ESAPI是owasp提供的一套API级别的web应用解决方案。简单的说,ESAPI就是为了编写出更加安全的代码而设计出来的一些API,方便使用者调用,从而方便的编写安全的代码 其官方网站为:https://www.owasp.org/,其有很多针对不同语言的版本,其J2ee的版本需要jre1.5及以上支持 安装篇 第一步:引入Jar Maven &lt;dependency...
java 防止js注入----ESAPI结合Top10安全开发实战
大碍桃花开
08-28 4039
ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码,并且它本身就很方便调用。 根据下面的图,我将会介绍OWASP上10种类型的漏洞所对应的API使用方法,大概有十多个接口。 相关API介绍可以查看官方文档:https://www.javadoc.io/doc/org.owasp.esapi/esapi/2.1.0 ...
jQuery获取与设置div的宽和高
ztnhnr的专栏
01-01 5144
前端页面开发时,通过jquery有两种方法获取与设置div的宽高:使用尺寸函数或使用css方法。 一、获取宽和高 1.1 尺寸函数: width()获取宽度 height()获取高度 1.2 css方法: css("width")获取宽度 css("height")获取高度 区别: 尺寸函数返回的值为整型,而css获取的值为带px的字符串 举例: <!DOCTYPEhtml> <htmllang...
jquery 获取 DIV的width
u011927449的博客
07-12 611
jquery 获取 DIV的width的语句: $("#keleyi_com").width(); 其中keleyi_com为DIV的id。 完整示例代码: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml">&
div的width和height属性
09-11 5017
model Hello World! 高度height在auto的情况下,如果没有内容,则值为0。 document Hello World! Document
div各种宽高的定义
weixin_33923148的博客
01-17 190
网页可见区域宽: document.body.clientWidth;网页可见区域高: document.body.clientHeight;网页可见区域宽: document.body.offsetWidth (包括边线的宽);网页可见区域高: document.body.offsetHeight (包括边线的宽);网页正文全文宽: document.body.scroll...
CSRF攻击解决方案--CSRFGuard使用文档
逐鹿人生的博客
06-05 4067
背景:公司项目使用fortyfy测试出CSRF相关的BUG,目前尝试使用CSRFGuard来解决CSRF攻击。 一、CSRF攻击: CSRF是“跨站请求伪造”,其操作方法是借助用户浏览器内的验证过的cookie,在用户点击链接时实现链接跳转,并携带用户的cookie,实现一些用户实际并没有执行的操作。 类似的BUG为:XSS“跨站脚本攻击”,即恶意让用户浏览器执行一些脚本,恶意获取用户coo...
owasp-zap-historic-parser
04-28
owasp-zap历史解析器 安装 安装owasp-zap-historic-parser pip install owasp-zap-historic-parser 用法 OWASP ZAP Historic应用程序需要以下信息,并且用户在使用解析器时必须传递各自的信息 -s --> mysql ...
owasp-halifax:OWASP哈利法克斯网站
05-01
开放式Web应用程序安全项目(OWASP)哈利法克斯分会( )是OWASP全球慈善组织( )的一章,致力于改善软件的安全性。 我们的使命是使软件安全可见,以便个人和组织能够做出明智的决定。 OWASP Halifax处于独特的...
terraform-aws-waf-owasp-top-10-rules:一个Terraform模块,用于为OWASP创建AWF WAF规则十大安全风险防护
02-04
terraform-aws-waf-owasp-top-10-rules:一个Terraform模块,用于为OWASP创建AWF WAF规则十大安全风险防护
OWASP-AMASS:OWASP-AMASS原始分析
03-23
OWASP-AMASS OWASP-AMASS原始分析目录分析整个项目的Go代码大约25039行并不是太大就一个模块一个模块的看.├── alterations│ ├── alterations.go│ └── markov.go├── cmd 程序 入口 通过os.args[1]...
CSRF 跨站请求伪造
m0_69043895的博客
04-19 833
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 229
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1336
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 479
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
javaweb-SpringBoot基础
kussm_的博客
04-20 1252
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
OWASP-vbox
10-12
OWASP-vbox 是一个基于 VirtualBox 的虚拟机,旨在为安全测试人员提供一个预先配置好的环境,以进行各种安全测试和漏洞利用。 该虚拟机包含了许多流行的安全工具和漏洞利用框架,如 Metasploit、Burp Suite、SQLMap 等等。它还包含了一些漏洞靶场,如 WebGoat、DVWA 等等,供用户进行实践和测试。 使用 OWASP-vbox 可以帮助安全测试人员快速搭建一个安全测试环境,节省时间和精力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一直打铁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值