Spring MVC中防止csrf攻击的拦截器示例

最新推荐文章于 2022-02-15 10:13:08 发布
最新推荐文章于 2022-02-15 10:13:08 发布
阅读量4.7k 收藏 3
点赞数
分类专栏: SpringMVC 文章标签: spring mvc csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nmgrd/article/details/59120302
版权 
package com.hikvision.cms.pms.base;

import java.util.HashSet;
import java.util.Set;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang.StringUtils;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.hikvision.cms.pms.common.log.PmsLogRecord;
import com.hikvision.cms.pms.common.util.SysConfigUtil;

/**
 * @description 拦截csrf攻击
 * @date 2017年1月18日上午11:47:46
 * @version 
 */
public class CsrfInterceptor extends HandlerInterceptorAdapter {
    private static final String URL_PROTO_HTTP="http://";
    private static final String URL_PROTO_HTTPS="https://";
    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {
        String referer = request.getHeader("Referer");
        String port = "-1";
        if(StringUtils.isNotBlank(referer)){
            if(referer.startsWith(URL_PROTO_HTTP)){                 
                referer = referer.replace(URL_PROTO_HTTP, "");
            }else if(referer.startsWith(URL_PROTO_HTTPS)){ 
                referer = referer.replace(URL_PROTO_HTTPS, "");
            }
            int i = referer.indexOf("/");
            if(i > 0){
                referer = referer.substring(0,i);
                if(referer.indexOf(":") > 0){ //referer 10.20.147.80:7888 -> 10.20.147.80只验证ip
                    port = referer.split(":")[1];
                    referer= referer.substring(0, referer.indexOf(":"));
                }
                PmsLogRecord.logDebug("pmsCsrfInterceptor referer:{}",referer);
            }
            if(!getPlatDomains().contains(referer)){ //不同域请求 视为非法 
                if(!SysConfigUtil.PMS_PORT.equals(port)){
                    throw new Exception("非法请求,请求源不正确"); 
                }
            }
        }
        return true;
    }

    private Set<String> getPlatDomains() {
        Set<String> domains = new HashSet<String>();
        //add apache代理地址 
        String cmsIp = SysConfigUtil.BYTERRIVER_IP;
        if(StringUtils.isNotBlank(cmsIp)){
            domains.add(cmsIp);
        }
        //多网域未考虑
        //add 服务节点自身 ip或者域名地址
        return domains;
    }

}

springmvc-servlet.xml中的配置如下:
<mvc:interceptors>
   <bean class="com.hikvision.cms.pms.base.CsrfInterceptor" />
</mvc:interceptors>
lhever_
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
基于springmvc的轻量级安全认证框架
08-08
抛弃Shiro、Spring Security等安全框架繁琐的配置,改为注解实现权限管理,配合Spring MVC的RequestMapping注解,完美实现细粒度的权限控制。
Spring MVC防御CSRF、XSS和SQL注入攻击
weixin_33774615的博客
11-01 528
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRFCSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,...
SpringMVC使用拦截(interceptor)拦截CSRF攻击
weixin_33806300的博客
11-27 710
(1)登录页面: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 <%@pageimport="java.security....
spring mvc 拦截的案例-用户非法登录权限拦截
健康平安的活着的专栏
01-16 862
一.案例需求描述 1.使用拦截对用户的所有请求,进行拦截,除了用户登录提交action的地址/login/toLogin放开,其余请求都进行拦截 2.拦截对非法没有登录的用户拦截,让其跳转到登录首页 3.session存在信息,说明已经登录,则放行,跳转后台主页面,点击其用户管理菜单,则经过拦截判断,session有值,则放行下一步,调用相应的findUser方法,然后跳转到user.jsp页面。 二.案例步骤 2.1 controller package com.ljf.sprin
spring securitycsrf防御原理(跨域请求伪造)
08-25
在`spring-servlet.xml`或对应的配置文件,你需要添加一个CSRF拦截,例如: ```xml <!-- Spring CSRF 拦截 --> <mvc:interceptors> <mvc:interceptor> <mvc:mapping path="/login" /> ...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
在上述代码,`@ControllerAdvice`注解使得这个拦截应用到所有控制,`handleRequest`方法对每个请求的输入参数进行转义。这只是一个基本示例,实际应用可能需要根据业务需求定制更复杂的验证逻辑。 除了在...
基于springMVC的session拦截
07-06
- 如果需要共享拦截逻辑,可以考虑使用Spring的`@Component`和`@Order`注解,结合`@EnableWebMvc`和`WebMvcConfigurerAdapter`来实现组件化和定制化的拦截管理。 7. **总结** SpringMVC的Session拦截是提高...
spring mvc login demo
03-06
- `springmvc-servlet.xml`:配置Spring MVC的相关组件,如视图解析拦截等。 - `applicationContext.xml`:配置Spring的核心组件,如Bean的定义和数据源。 ### 9. 测试与调试 使用Postman或类似工具模拟POST...
Spring Security-3.0.1 文官方文档
12-04
此外,Spring Security还提供了会话管理功能,防止会话固定攻击和会话劫持。它支持CSRF(跨站请求伪造)保护,以防御这类常见攻击。Web安全方面,Spring Security可以拦截和处理HTTP请求,进行URL级别的过滤和重定向...
CSRF攻击保护-in Spring
oneslide
04-21 201
CSRF 跨网伪造请求攻击概念其实很简单,就是从其他网站(一些phishingphishingphishing),会将一些表单请求转发到本网站,利用网站所提供的服务获取不正当利益。 比如:有个网站利用一个很有名的电视节目活动,给你发送一条连接,主题大概是你了一辆汽车,一个IPAD之类的。他们的表单会是这个形式: &lt;form method="post" action="http://w...
java拦截csrf攻击,在SpringMVC使用拦截(interceptor)拦截CSRF攻击
weixin_36039452的博客
03-22 635
(1)登录页面:从上面的代码可知,为了防止CSRF攻击,因此在form表单里添加了一个隐藏字段“_csrf”,其值是生成的一个随机小数(2)在SpringMVC的配置文件添加拦截:从上面的代码知道,在这个文件添加了一个mvc:interceptors 标签,表示一系列的拦截集合,然后下面定义了对登录时form表单提交地址“/check.html”进行拦截。下面一行的bean属性就是定义了...
CSRF跨站网站攻击+用springMVC拦截拦截攻击
随笔一记/**
08-03 450
什么是跨站网站攻击? 这种方式是利用网站对用户网页浏览的信任实现的。 例子: 用户A不久前使用过网站B,然后点击到某个页面的连接C内,这个链接C是去访问网站B并且做一些A不知道的操作的。 由于A不久前用过网站B,B以为这个A的真实操作,所以执行了。 这就是CSRF跨站网站攻击。 具体说明在维基百科: https://zh.wikipedia.org/wiki/跨站请求伪造 那么 如何使用spr...
csrf 生成java,一种在SpirngMVC3防御CSRF攻击的实现
weixin_39593718的博客
03-12 217
关于CSRF是什么东西,请参见我的博文:《浅析CSRF》。本文将给出一种在 SpringMVC3+Velocity 的框架下防御CSRF攻击的解决方案。主要思想参考 EYAL LUPU[1] 的解决方案,但使用Velocity宏来进行Token值的传递,而不是使用spring form标签。一、方案概要在服务端生成私有的会话级token,使用Velocity的宏命令在客户端的Form表单插入这...
【漏洞】CSRF跨站请求伪造漏洞,springboot修复思路
a987212198的博客
02-15 3948
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。
csrf攻击简介以及防御之道
qq_20556403的博客
07-05 335
CSRF(Cross Site Request Forgery, 跨站域请求伪造)CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 举例说明:受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 ht
spring mvc实现csrf安全防御简记
热门推荐
nizen的专栏
08-06 1万+
1.csrf是什么 csrf全称是Cross-site request forgery,http://en.wikipedia.org/wiki/Csrf 危害:使受害用户在不经意间执行了不是用户意愿的请求。最终导致泄密和执行了其他高危害操作。 2.一般防御做法 防御基本原理:本质上是做好用户数据提交的完整性,保证用户提交的内容是用户发起的非篡改过的请求。 通常做法是,在用户在访问页面的
CSRF spring mvc 跨站请求伪造防御
没事写代码
03-30 6435
CSRF CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
spring cloud 如何防止CSRF攻击
最新发布
04-28
Spring Cloud提供了多种方式来防止CSRF攻击: 1. 使用Spring Security防止CSRF攻击,配置`csrf().disable()`来禁用CSRF保护。 2. 添加CSRF Token,Spring Security提供了一种方便的机制来添加CSRF Token到表单,通过使用`<form:form>`标签或者手动在表单添加隐藏域来实现。 3. 使用HttpOnly Cookie,将cookie标记为HttpOnly,这样浏览就无法通过JavaScript来访问cookie,从而减少了CSRF攻击的风险。 4. 限制HTTP方法,只允许POST、PUT、DELETE等安全的HTTP方法,禁止使用GET方法提交表单,这样可以减少CSRF攻击的风险。 需要注意的是,以上方法并不能完全消除CSRF攻击的风险,只能降低攻击的可能性。因此,开发人员应该始终保持警惕,及时更新和修复安全漏洞。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值