通过验证Referer解决CSRF安全防御问题

最新推荐文章于 2024-08-02 10:57:12 发布
最新推荐文章于 2024-08-02 10:57:12 发布
阅读量5.4k 收藏 8
点赞数
分类专栏: Java springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq394829044/article/details/101453694
版权
本文介绍了在JAVAWEB项目中遇到CSRF安全问题的背景,服务器环境为Linux,前端采用Angular,后端使用Springboot Java。通过在后端拦截器检查Referer字段来实现防御策略,其他部分无需改动。测试可通过Postman进行。
摘要由CSDN通过智能技术生成

一、背景

JAVAWEB 类项目处于客户验收阶段,在安全扫描处出现 CSRF 问题,通过多个博客中解决思路都无法解决。后来通过同事提醒 可以试试判断 Referer页面来源参数,最终使用该方法解决问题。

二、环境

服务器:Linux

前端:Angular

后端:Springboot Java

三、安全证书

四、解决方法

后端拦截器判断访问来源,其它地方不用修改。

  @Override

    public boolean preHandle(HttpServletRequest request,HttpServletResponse response,Object obj)throws Exception {

        String requestUri = request.getRequestURI();
        String referrer = request.getHeader("Referer");
        if((requestUri.endsWith("common/checkLogin")&& StringUtils.isEmpty(referrer))||    
           (requestUri.
最低0.47元/天 解锁文章
股狼
关注
专栏目录
【网络安全】绕过Referer实现CSRF
等风来
08-28 658
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种攻击方式,其中攻击者诱使用户在已登录的情况下执行不安全的操作。例如,攻击者可能诱导用户访问一个恶意网站B,B网站上可能会发送伪造的请求到用户已经登录的A网站,从而执行一些未经授权的操作,比如从A网站转账给hacker。这个时候,请求是由B网站发送至A网站的。为了防御CSRF,即确保A网站的服务器只处理来自于一个合法的、可信的来源Referer就产生了。Referer 是 HTTP 请求头中的一个字段,表示用户当前页面来源
http referer 验证防御方法_技术干货 | CSRF攻击原理以及防御
weixin_39559333的博客
11-29 1851
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不...
关于CSRF及其防御
Wang的专栏
06-06 717
【代码】关于CSRF及其防御
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
weixin_42340783的博客
08-02 991
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
跨站请求伪造学习笔记
0xdawn的博客
01-30 403
0x00 前言 跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 0x0...
2022-09-07 请求头referer拦截器防止csrf攻击
Young的博客
09-07 1873
工作中用到的对csrf攻击的简单防范方法
SpringBoot 通过拦截器验证Referer 防御CSRF攻击
哎幽的成长
10-10 1万+
问题: **CSRF概念:**CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为...
java csrf防御_WEB攻击手段及防御第3篇-CSRF
weixin_42335570的博客
02-19 117
概念CSRF全称即Cross Site Request forgery,跨站点请求伪造,攻击者通过跨站点进行伪造用户的请求进行合法的非法操作,其攻击手法是通过窃取用户cookie或服务器session获取用户身份,在用户不知情的情况下在攻击者服务器模拟伪造用户真实的请求。防御手段既然是跨站点攻击,所以防御的手段无非是识别请求的来源是否合法。防御的手段一般有:1、检查refererreferer是...
CSRF漏洞原理与防御方式
dreamthe的博客
09-17 2067
CSRF漏洞原理 CSRF被叫做跨站请求伪造,该怎么理解这句话呢,比如 用户a在浏览器登录了账号,当他发送登录请求时候,服务器验证了账号密码,会返回给一个身份信息存放在cookie里面,浏览器保存,那么以后用户访问服务器带着这个cookie就行了。那么怎么产生攻击的呢,是用户在已经登录的状态下,访问了一个恶意的网站,带浏览器保存的cookie值向服务器发送了恶意请求,服务器会以为是用户的请求,其实这是用户不知情的请求。垮了两个站,一个是用户登录实际网站,一个屙屎攻击者恶意构造网站,所以称作跨站请求伪造。
csrf绕过Referer技巧-01
09-15
CSRF攻击是Web应用安全中一个常见的问题Referer头可以用来防御CSRF攻击,但是攻击者可以通过绕过Referer技巧来欺骗服务器。因此,Web开发者需要采取多种防御措施来防御CSRF攻击,例如验证Token、双重验证验证码...
信息安全技术:CSRF防御编程.pptx
11-01
但是,这种方法并非绝对安全,因为某些浏览器或隐私设置可能会禁用Referer字段,或者攻击者可能通过技术手段篡改Referer,因此这种方法也需要配合其他防御措施使用。\n\n### CSRF Token\n\nCSRF Token是一种更为有效...
Java-如何防范CSRF攻击
了解➔熟悉➔掌握➔精通
01-02 4180
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造,也被称为:one click attack / session riding,缩写为:CSRF/XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。 XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的
CSRF 原理与防御案例分析
weixin_43639741的博客
04-22 773
CSRF,也称 XSRF,即跨站请求伪造攻击,与 XSS 相似,但与 XSS 相比更难防范,是一种广泛存在于网站中的安全漏洞,经常与 XSS 一起配合攻击。 CSRF 原理 攻击者通过盗用用户身份悄悄发送一个请求,或执行某些恶意操作。 CSRF 漏洞产生的主要原因: 1、请求所有的参数均可确定 2、请求的审核不严格,如:只验证了 Cookie 关于 CSRF 的执行过程,这里引用自 hyddd 大...
网络攻击——CSRF攻击
PUIWAH的博客
03-24 1343
CSRF攻击 CSRF全称是跨站请求伪造(cross site request forgery),CSRF伪装受信任用户,向第三方平台发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。 一个典型的CSRF攻击有着如下的流程: 受害者登录 a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了 b.com。 b.com 向 a.com ...
CSRF简单理解---HTTP Referer字段验证(Java实现)
热门推荐
澪月
02-08 1万+
CSRF攻击简单来说就是: 1.你可以通过A网站发送请求“转100块给小明”。 2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。 3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。 所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。 referer的验证原理简单来说就是: 比对HTTP请求发送的网站(re...
csrf攻击与防护—2用flask简单演示防范csrf攻击之referer
ACBC12345的博客
12-06 673
接上篇 csrf攻击与防护—1用flask简单演示csrf攻击 以下是根据referer字段防止csrf攻击的新代码: bank.py from flask import render_template, Flask, request, jsonify, make_response app = Flask("haha") YOUR_BANK_COUNT = 1000000000 TOKEN = "0ofjsfnnfgxgxgxgreituto" @app.route("/") def root():
CSRF】拦截referer的应对方法
03-29 2581
很多处理CSRF的方案都是对referer做检查,但是对于空referer很多情况是不做拦截的,比如提供给app的接口就不会拦截空referer请求。 绕过这种防御的办法有两种: 1.function json(o){alert(o.nick);}">2.https-->http 以上两种请求方式都不会带referer,这样就能实现jsonhijacking等攻击了。 防御这两种攻
基于JavaWeb的门店管理系统源代码+数据库
最新发布
09-25
基于JavaWeb的门店管理系统源代码+数据库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值