Springboot实现csrf拦截器

最新推荐文章于 2024-05-08 13:36:14 发布
最新推荐文章于 2024-05-08 13:36:14 发布
阅读量6.4k 收藏 3
点赞数 1
分类专栏: 后端工程师
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq3399013670/article/details/87858323
版权

Springboot实现csrf拦截器,仅供参考:

/**
* csrf拦截器
*
*/
@Component("csrfInterceptor")
public class CsrfInterceptor extends HandlerInterceptorAdapter
{
   @Autowired
   private Configuration configuration;
   
   private static final String WEBHTTP = "http://test.com/demo";
   private static final String SERVERIP_A = "http://192.168.1.3";
   private static final String SERVERIP_B = "http://192.168.1.4";
   
   @Override  
   public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception 
   {  
   	/** 解决跨站点请求 **/
   	if (csrfJudge(request)) {
   		request.getSession().invalidate();
   		Cookie[] cookies = request.getCookies();
   		if (BaseUtil.objectNotNull(cookies) && cookies.length > 0) {
   			Cookie cookie = cookies[0];
   			cookie.setMaxAge(0);
   		}
   		return false; 
   	}
       return true; 
   }
  
   private boolean  csrfJudge(HttpServletRequest request) {  	
   	boolean isCsrf = false;
   	String reqUrl = request.getRequestURL().toString();
   	TestLogger.COMMONLOGGER.info("请求url:"+reqUrl);
   	StringBuffer str = new StringBuffer();
   	str.append("http://");
   	str.append(request.getServerName());
   	String url = str.toString();
   	String referer = request.getHeader("referer");
   	TestLogger.TEST.info("请求referer:"+referer);
   	String xreq = request.getHeader("X-Requested-With");
   	// 判断referer是不是为空
   	if (!StringUtil.isEmpty(referer)) {
   		// referer不为空,判断referer和当前请求是否同站点	
   		if (referer.startsWith(WEBHTTP) || referer.startsWith(SERVERIP_A) || referer.startsWith(SERVERIP_B)) {
   				isCsrf = false;
   			}else if(!referer.startsWith(url)){
   				// 不同站点--跨站请求
   				isCsrf = true;
   				TESTLogger.TEST.info("CSRF--跨站请求伪造。 ");
   				TESTLogger.TEST.info("reqUri:" + reqUrl + "  referer:" + referer
   					+ "  X-Requested-With:" + xreq);
   			}
   		}
   	}
   	return isCsrf;
   }
}
jackaroo2020
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot-登陆实现拦截器.zip
04-04
在项目"springboot-登陆实现拦截器.zip"中,包含了实现这些功能的所有必要文件。可能包括了Spring Boot的配置文件(application.yml或application.properties)、启动类、安全配置类、控制器类、视图模板以及可能...
spring boot 登陆拦截
01-06
本教程将详细讲解如何在Spring Boot项目中设置一个简单的登录拦截器。 首先,我们需要理解Spring Security是Spring Boot推荐用于安全控制的框架。它提供了丰富的功能,包括认证、授权、CSRF防护、会话管理等。我们...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot中的CSRF攻击及预防
Java徐师兄的博客
07-06 1811
CSRF攻击是一种常见的网络攻击方式,可以通过欺骗用户来执行恶意操作。在Spring Boot应用程序中,我们可以采取多种措施来预防CSRF攻击,如添加CSRF令牌、验证请求来源、使用HTTPS协议和定期更改密钥等。这些措施可以有效地保护应用程序的安全,防止攻击者利用CSRF漏洞进行攻击。在实际开发中,我们可以根据实际需求选择适当的预防措施。例如,如果应用程序只对内部用户开放,可以限制请求来源为内部网络;如果应用程序需要对外开放,可以使用HTTPS协议来加密数据传输。
在 Spring Boot 应用程序中实现 CSRF 安全
Eddie_920的博客
05-08 432
跨站请求伪造(CSRF)是一种常见的 Web 安全漏洞,允许攻击者代表用户执行未经授权的操作。在Spring Boot 中通过使用 Spring Security来保护应用程序免受 CSRF 攻击。在本文中,我们将演示如何在 Spring Boot 应用程序中使用Security的 Java 代码示例实现 CSRF 保护。
springboot解决csrf
weixin_43841151的博客
12-21 926
springboot csrf
Springboot集成CSRF防攻击
hao_kkkkk的专栏
10-20 2472
springboot CSRF攻击防护
SpringBoot实现登录拦截器(实战版)
公众号-老炮说Java
07-11 316
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达关注公众号后台回复pay或mall获取实战项目资料+视频作者:Kant101blog.csdn.net/qq_27198345/a...
Springboot中的csrf问题
weixin_45582552的博客
04-12 4487
1、CSRF是什么 CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 2、CSRF攻击的本质原因 CSRF攻击是源于Web的隐式身份验证机制!Web的身份验证机制虽然可以保证一个请求是来自于某个用户...
springboot配置拦截器
z19799100的博客
11-10 477
如下代码即可完成 @Configuration public class LoginConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { InterceptorRegistration interceptorRegistration = registry.addInterceptor(new AdminInter
SpringBoot 通过拦截器验证Referer 防御CSRF攻击
热门推荐
哎幽的成长
10-10 1万+
问题: **CSRF概念:**CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为...
SpringBoot拦截器和过滤器详解
ReturnTmp的博客
08-30 1356
在项目的开发中,在某些情况下,我们需要对客户端发出的请求进行拦截,常用的API拦截方式有Fliter,Interceptor,ControllerAdvice以及Aspect。请求从Filter-->>Controller的过程中,只要在指定的环节出现异常,可以通过对应的机制进行处理。反之在任何一个环节如果异常未处理则不会进入下一个环节,会直接往外抛,例如在ControllerAdvice验证发生异常则会抛给Filter,如果Filter未处理,则最终会由Tomcat容器抛出。.........
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
在上述代码中,`@ControllerAdvice`注解使得这个拦截器应用到所有控制器,`handleRequest`方法对每个请求的输入参数进行转义。这只是一个基本示例,实际应用中可能需要根据业务需求定制更复杂的验证逻辑。 除了在...
SpringBoot网易云音乐项目
08-06
5. **视图跳转**:SpringBoot的MVC模式使得视图和控制器分离,通过模型-视图-控制器的交互,实现了页面间的跳转。例如,登录成功后跳转到主页,注册完成后跳转到登录页等。 6. **RESTful API设计**:项目可能采用了...
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
在这个"SpringBoot_SpringSecurity:前后端分离登陆拦截设计"项目中,我们将探讨如何将这两者结合,实现一个高效的登录拦截系统。 首先,SpringBoot的核心是简化Spring应用的创建和管理,它通过内置的Tomcat服务器、...
SpringBoot项目使用JWT+拦截器实现token验证
weixin_44320429的博客
10-18 1万+
上述流程当中token的具体实现方式为JWT,其全称是,官网地址:https://jwt.io/就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。
chromedriver-mac-arm64_126.0.6474.0.zip
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
chromedriver-mac-arm64_128.0.6548.0.zip
最新发布
07-31
chromedriver-mac-arm64_128.0.6548.0.zip
springboot 实现过滤器
09-11
### 回答1: 在 Spring Boot 中实现过滤器有两种方法: 1. 通过编写过滤器类并使用注解 @WebFilter 将其注册为过滤器。例如: ``` @WebFilter(urlPatterns = "/*") public class MyFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 处理过滤逻辑 chain.doFilter(request, response); } } ``` 2. 通过编写过滤器类并通过编写配置类来注册过滤器。例如: ``` @Configuration public class WebConfiguration { @Bean public FilterRegistrationBean<MyFilter> filterRegistrationBean() { FilterRegistrationBean<MyFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new MyFilter()); registrationBean.addUrlPatterns("/*"); return registrationBean; } } ``` 注意:在 Spring Boot 2.3 及更高版本中,使用注解 @WebFilter 注册过滤器时,需要添加以下依赖: ``` <dependency> <groupId>javax.servlet</groupId> <artifactId>javax.servlet-api</artifactId> </dependency> ``` 在 Spring Boot 2.2 及更低版本中,不需要添加此依赖。 ### 回答2: Spring Boot可以通过使用过滤器(Filter)实现对于应用程序的请求进行预处理或后处理的功能。在Spring Boot中,实现过滤器非常简单。 首先,我们需要创建一个实现javax.servlet.Filter接口的过滤器类。我们可以在过滤器类中实现对请求的预处理或后处理逻辑。例如,我们可以在过滤器中对请求进行日志记录、授权验证、防止跨站点请求伪造(CSRF)等操作。 接下来,我们需要在Spring Boot应用程序的配置文件(例如application.properties或application.yml)中配置过滤器。我们可以使用Spring Boot提供的特定属性来配置过滤器的顺序、URL匹配模式和其他属性。例如,我们可以使用以下配置来注册并配置过滤器: spring.servlet.filter.order=1 spring.servlet.filter.dispatcher-types=REQUEST spring.servlet.filter.url-pattern=/api/* spring.servlet.filter.init-param.debug=true 最后,我们需要在Spring Boot应用程序的启动类(例如带有@SpringBootApplication注解的主类)中添加一个注解@ServletComponentScan,以扫描并注册我们创建的过滤器类。这将使Spring Boot自动识别并加载该过滤器。 实现过滤器后,当应用程序收到请求时,过滤器将自动拦截请求并执行预处理或后处理逻辑。过滤器的执行顺序可以通过配置文件中的spring.servlet.filter.order属性进行调整。 通过以上步骤,我们就可以在Spring Boot应用程序中实现一个过滤器。过滤器可以帮助我们在请求到达控制器之前或返回给客户端之前对请求进行额外处理,从而实现对请求的自定义处理逻辑。 ### 回答3: Spring Boot提供了一种简单且易于实现的方式来实现过滤器。在Spring Boot中,我们可以通过创建一个实现了javax.servlet.Filter接口的类来实现过滤器。 首先,我们需要在Spring Boot应用程序的代码中创建一个新的类并实现Filter接口。该类需要实现doFilter方法,该方法的目的是在请求进入Web应用程序之前或之后执行一些操作。该方法接受三个参数,分别是ServletRequest、ServletResponse和FilterChain。 在doFilter方法中,我们可以编写我们的逻辑代码来进行过滤操作。例如,我们可以检查请求的URL,如果满足我们的条件,则可以进行一些特定的处理,比如记录日志、验证权限等。然后,我们需要调用FilterChain对象的doFilter方法,以便将请求传递给下一个过滤器或Web应用程序。 接下来,我们还需要在Spring Boot应用程序的配置类中注册我们的过滤器。可以通过使用@Bean注解将过滤器类声明为一个bean,并将其添加到Spring Boot应用程序的过滤器链中。这将确保在请求到达控制器之前,我们的过滤器将被调用。 最后,我们可以通过在配置类中使用@Order注解来指定过滤器的执行顺序。如果有多个过滤器,根据需要可以使用不同的顺序来执行它们。 总的来说,Spring Boot通过实现javax.servlet.Filter接口和在配置类中注册过滤器的方式来实现过滤器。通过编写逻辑代码并将过滤器添加到过滤器链中,我们可以在请求进入Web应用程序之前或之后进行一些自定义操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值