springboot预防跨站请求CSRF Referer防盗链

最新推荐文章于 2024-05-12 20:28:32 发布
最新推荐文章于 2024-05-12 20:28:32 发布
阅读量822 收藏 2
点赞数 2
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25064691/article/details/115149128
版权

当没有预防跨站请求,输入任何Refer,都会是页面响应200。

在这里插入图片描述

加入预防跨站请求,输入不正确的Refer,响应会是400.

在这里插入图片描述

代码如下:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @ClassName WebConfig
 * @Description TODO
 * @Date 2021/3/20 21:58
 * @Version 1.0
 */
@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Autowired
    public RefererInterceptor refererInterceptor() {
        return new RefererInterceptor();
    }
    /**
     * 注册拦截器
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //referer拦截
        registry.addInterceptor(refererInterceptor());
    }

}


/**
 * @ClassName RefererInterceptor
 * @Description TODO
 * @Date 2021/3/20 21:37
 * @Version 1.0
 */


import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.net.MalformedURLException;
import java.util.Arrays;
import java.util.List;

/**
 * Referer拦截器
 */
public class RefererInterceptor extends HandlerInterceptorAdapter {

    /**
     * 白名单
     */
    private String[] refererDomain = new String[]{"127.0.0.1"};
    /**
     * 是否开启referer校验
     */
    private Boolean check =true;


    @Override
    public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {
        if (!check) {
            return true;
        }
        String referer = req.getHeader("Referer");
        String host = req.getServerName();
        // 验证非get请求
        if (!"GET".equals(req.getMethod())) {
            if (referer == null) {
                // 状态置为404
                resp.setStatus(HttpServletResponse.SC_BAD_REQUEST);
                return false;
            }
            java.net.URL url = null;
            try {
                url = new java.net.URL(referer);
            } catch (MalformedURLException e) {
                // URL解析异常,也置为404
                resp.setStatus(HttpServletResponse.SC_BAD_REQUEST);
                return false;
            }
            System.err.println(url.getHost());
            System.err.println(host);
            // 首先判断请求域名和referer域名是否相同
//            if (!host.equals(url.getHost())) {
                // 如果不等,判断是否在白名单中
                if (refererDomain != null) {
                    for (String s : refererDomain) {
                        if (s.equals(url.getHost())) {
                            System.err.println(url.getHost());
                            return true;
                        }
                    }
                }
            resp.setStatus(HttpServletResponse.SC_BAD_REQUEST);
            return false;

//            }
        }
        return true;
    }

}
牛code
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot添加Referer拦截器最详细实例
爱java的小蓝的博客
09-28 3445
背景:项目进行了安全漏洞扫描,扫描中风险提示需要验证“Referer”头的值。 application-referer.yml配置可访问referer地址 application-referer: refererDomain: - http://42.228.55.222 - https://42.228.55.222 - http://59.207.61.21 加载application-referer.yml文件获取referer list package ..
SpringBoot获取Request对象的3种方法!
csdndys的博客
08-15 1278
HttpServletRequest代表客户端的请求,用户通过http协议访问服务器,HTTP请求中的所有信息会被转到HttpServletRequest通过这个Request方法可以获得客户端的所有信息、例如:获取请求参数、获取请求头、获取 Session 会话信息、获取请求的 IP 地址等信息。
springboot实现文件防盗链设计
最新发布
shigen的博客
05-12 963
`shigen`,一位专注于Java、Python、Vue和Shell的博主,分享成长和技术。近期将探讨SpringBoot实现图片防盗链,通过限制`Referer`防止资源被盗用。基础版通过`WebMvcConfigurer`配置静态资源,升级版添加拦截器检查`Referer`,确保请求来源合法性。详细代码实现和案例可在文中链接找到。一起学习,每天进步!
一个依赖搞定 Spring Boot 反爬虫,防止接口盗刷!
良月柒
07-02 575
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 2.8 分钟。来自:网络kk-anti-reptile 是适用于基于 spring-boot 开发的分布式系统的反爬...
彻底解决黄牛党的方案
bsc8011的专栏
02-01 2458
    又春节了,黄牛又活跃起来了,搞了一个实名制也没顶个屁用。我,鄙人急大家所急,经过一宿的苦思冥想得到了一个彻底解决黄牛党的方案供大家参考。    我们知道黄牛党的根源是出在我们现在铁道系统管理制度本身,即非运力不足,亦非人品问题,皆利用使然。春节将至,开销变大,手里有这么多资源不用白不用,换成谁都会想捞一点,就是我这样品德优秀的高素质人才也会抵不住诱惑的,再说人家铁道部门为员工谋点福利本
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat 防止跨站请求伪造CSRF)机制浅析 在 Web 应用开发中,跨站请求伪造CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
SpringBoot WebFlux 系列】 header 参数解析
小灰灰blog的专栏
09-11 1229
SpringBoot WebFlux 系列】WebFlux 之 header 参数解析 上一篇 weblfux 主要介绍了 path 参数的解析与映射关系,在我们进入 url 参数/post 表单之前,先看一下另外的一种参数–请求头中的参数如何处理 I. 项目环境 本项目借助SpringBoot 2.2.1.RELEASE + maven 3.5.3 + IDEA进行开发 1. 依赖 使用 WebFlux,最主要的引入依赖如下(省略掉了 SpringBoot 的相关依赖,如对于如何创建 Sprin..
requests 400错误
weixin_41396062的博客
05-13 9145
4XX错误的原因都来自于客户端,大多都是客户端发送的请求与server要求不符 在运行以下代码的过程中总会报400错误,查询后知道可能的原因是要提交json类型的数据,尝试后依然是400, 所以从headers中逐个排除,最后发现是由于referer不正确,按照抓包的结果修改referer后正常了 import requests headers={ # 'Host': ...
HTTP请求中的referrerReferrer-Policy
weixin_33714884的博客
05-12 3736
本文将介绍一个涉及安全和隐私的http请求头中的字段—referrer,以及如何通过Referrer Policy去修改referrer的值或者是显示与否。什么是referrer当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示:也就是说,当你发起一个http请求请求头中的referrer字段就说明了你是从哪个页面发起该请...
Springboot 获取http数据、打印HTTP参数的4种方式 (便于生产排查问题)
yh4494的博客
07-19 5330
Java的话本地打断点可以调试获取rest入参(httpheader),但是在生产环境可能我们获取入参(Httpheader/parameter)可能就没有那么的轻松了。我们可能在header中放置了很多自定的参数用来鉴权或者其他用途。如果排查问题的时候需要这些参数,我们有很多种选择去获取这些参数。.................................
什么是HTTP Referer
weixin_34128839的博客
11-16 5046
什么是RefererReferer是HTTP请求header的一部分,当浏览器(或者模拟浏览器行为)向web服务器发送请求的时候,头信息里有包含Referer。比如我在www.sojson.com里有一个www.baidu.com链接,那么点击这个www.baidu.com,它的header信息里就有: Ref...
Referer请求
GD_vigoss的博客
04-08 4415
本文分享自微信公众号 - code秘密花园(code_mmhy),作者:ConardLi 原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。 原始发表时间:2020-11-17 如果你的站点有使用 Referer 标头收集网页的访问来源信息,则此策略变化可能对你的程序造成影响,请仔细阅读。 在开始阅读本文之前,如果你不理解 site和 origin之间的关系,请阅读:同站和同源你理解清楚了么? Referer 标头 Referer请求头包含了
Http Referer的一些总结
平凡
12-18 3258
http://www.cnblogs.com/KeepMovingblog/archive/2012/10/17/2728556.html 以前对Http中Referer的认识不够透彻。最近理了理,记录一下。 1 Referer可以记录访问的来源,统计访问量,可以用来防盗链。 2 客户端用js不能篡改Referer,用一些插件什么的可以达到伪造的目的。 3 可以使用Fi
CSRF简单理解---HTTP Referer字段验证(Java实现)
热门推荐
澪月
02-08 1万+
CSRF攻击简单来说就是: 1.你可以通过A网站发送请求“转100块给小明”。 2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。 3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。 所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。 referer的验证原理简单来说就是: 比对HTTP请求发送的网站(re...
Springboot实现csrf拦截
初学者乐园的博客
03-10 6486
Springboot实现csrf拦截器,仅供参考: /** * csrf拦截器 * */ @Component("csrfInterceptor") public class CsrfInterceptor extends HandlerInterceptorAdapter { @Autowired private Configuration configuration; ...
跨站请求伪造 CSRF有哪几种类型
05-13
跨站请求伪造(Cross-Site Request Forgery,CSRF)是一种常见的网络攻击方式,攻击者通过引诱用户访问恶意网站,或者通过其他方式欺骗用户,从而在用户不知情的情况下发送伪造请求,以达到攻击目的。CSRF攻击可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值