通过验证Referer解决CSRF安全防御问题

最新推荐文章于 2024-05-27 22:28:55 发布
最新推荐文章于 2024-05-27 22:28:55 发布
阅读量5.3k 收藏 8
点赞数
分类专栏: Java springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq394829044/article/details/101453694
版权

一、背景

JAVAWEB 类项目处于客户验收阶段,在安全扫描处出现 CSRF 问题,通过多个博客中解决思路都无法解决。后来通过同事提醒 可以试试判断 Referer页面来源参数,最终使用该方法解决问题。

二、环境

服务器:Linux

前端:Angular

后端:Springboot Java

三、安全证书

四、解决方法

后端拦截器判断访问来源,其它地方不用修改。

  @Override

    public boolean preHandle(HttpServletRequest request,HttpServletResponse response,Object o
最低0.47元/天 解锁文章
股狼
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF跨站请求伪造漏洞修复
折腾java的博客
06-09 3065
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
http referer 验证防御方法_技术干货 | CSRF攻击原理以及防御
weixin_39559333的博客
11-29 1775
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不...
SpringBoot 通过拦截器验证Referer 防御CSRF攻击
哎幽的成长
10-10 1万+
问题: **CSRF概念:**CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为...
跨站请求伪造 CSRF 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 947
跨站请求伪造 CSRF 漏洞原理以及修复方法
系统安全扫描扫出了:可能存在 CSRF 攻击怎么办
最新发布
io_123io_123的博客
05-27 556
系统安全扫描扫出了:可能存在 CSRF 攻击怎么办
CSRF简单理解---HTTP Referer字段验证(Java实现)
热门推荐
澪月
02-08 1万+
CSRF攻击简单来说就是: 1.你可以通过A网站发送请求“转100块给小明”。 2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。 3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。 所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。 referer的验证原理简单来说就是: 比对HTTP请求发送的网站(re...
2022-09-07 请求头referer拦截器防止csrf攻击
Young的博客
09-07 1804
工作中用到的对csrf攻击的简单防范方法
CSRF介绍和解决方案
qq_47075878的博客
05-07 714
csrf的简单介绍和解决方式
csrf绕过Referer技巧-01
09-15
CSRF攻击是Web应用安全中一个常见的问题Referer头可以用来防御CSRF攻击,但是攻击者可以通过绕过Referer技巧来欺骗服务器。因此,Web开发者需要采取多种防御措施来防御CSRF攻击,例如验证Token、双重验证验证码...
信息安全技术:CSRF防御编程.pptx
11-01
但是,这种方法并非绝对安全,因为某些浏览器或隐私设置可能会禁用Referer字段,或者攻击者可能通过技术手段篡改Referer,因此这种方法也需要配合其他防御措施使用。\n\n### CSRF Token\n\nCSRF Token是一种更为有效...
5分钟科普CSRF攻击与防御,Web安全的第一防线
01-27
XSS(Cross-site scripting)是另一种常见的Web安全问题,与CSRF不同,XSS主要涉及注入恶意脚本到用户浏览器,从而影响用户而不是服务器。XSS攻击通常发生在没有正确过滤用户输入的场景,导致用户在浏览网页时执行...
Web应用安全CSRF防范对策.pptx
06-19
CSRF防范对策 1、什么是CSRF 我们再来重温下CSRF的定义:CSRF英文全称是:Cross Site ...因此,可以通过验证Referer值来防御CSRF 攻击。 CSRF防范对策 2、CSRF的主要防范对策 2、在请求地址中添加token并验证 CSRF
10-CSRF的攻击与防御1
08-03
CSRF(Cross-Site Request ...通过理解其工作原理,实施有效的防御策略,可以显著降低CSRF攻击的风险,保护用户的数据安全。同时,企业应建立完善的安全响应机制,包括威胁情报的收集和漏洞响应,以提升整体安全水平。
网络攻击——CSRF攻击
PUIWAH的博客
03-24 1294
CSRF攻击 CSRF全称是跨站请求伪造(cross site request forgery),CSRF伪装受信任用户,向第三方平台发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。 一个典型的CSRF攻击有着如下的流程: 受害者登录 a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了 b.com。 b.com 向 a.com ...
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5465
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
Springboot后台设置允许跨域的方法
以爱护甲,爱满枫林。
11-04 6139
1、在启动类中继承WebMvcConfigurerAdapter,重写其中的addCorsMappings方法 package com.example.springbootdemo; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.web.servlet.c.
校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器
knight_black_bob的专栏
12-29 4091
com.opensymphony.xwork2.ActionInvocation; import com.opensymphony.xwork2.interceptor.AbstractInterceptor; import com.trace.web.utils.Constants; /** * 对管理员操作,校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器 * @author admin */ public class AuthInterceptor extend
CSRF 攻击的应对之道
java旅程
09-06 481
转载自:http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 **CSRF 攻击实例**
AppScan安全扫描:CSRF 攻击 将可能干扰 CSRF 攻击的 HTTP 头除去,并使用伪造的 URL 设置 Referer 头
爱兰河少
01-30 1705
如果一个网站是从其他网站点击后跳转过来,则会在当前的请求头中带上Referer信息,该信息指示的是跳转前网页的地址信息,而AppScan安全扫描则会报CSRF 攻击;解决方法:通过拦截器,获取请求中的Referer信息,对Referer信息做过滤处理 1、拦截器信息 可用过csrf-ignore-uri配置白单信息,指定相应的URI信息不做拦截 package cn.com.zwjp.fr...
Web应用安全:浏览器的如何防御攻击.pptx
06-20
浏览器的如何防御攻击 常见的浏览器攻击方式 常见的浏览器攻击方式分为两种: 1、CSRF(跨站请求伪造) 2、XSS(跨站脚本分析) CSRF(跨站请求伪造) CSRF 英文全称是 Cross-site request forgery,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是利用了用户的登录状态,并通过第三方的站点来做一些坏事。而且CSRF 攻击并不需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施攻击 1、定义 CSRF(跨站请求伪造) 利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 2、存在原因 CSRF(跨站请求伪造) 1、自动发起 Get 请求 2、自动发起 POST 请求 3、引诱用户点击链接 这几种攻击方式的前提: ①目标站点一定要有 CSRF 漏洞; ②用户要登录过目标站点,并且在浏览器上保持有该站点的登录状态; ③需要用户打开一个第三方站点,可以是黑客的站点,也可以是一些论坛。 具体流程参考下图 3、攻

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值