防止CSRF攻击

最新推荐文章于 2024-07-23 13:00:00 发布
最新推荐文章于 2024-07-23 13:00:00 发布
阅读量1.7k 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37090962/article/details/82801926
版权

攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例

 如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,并将此链接作为图片src。如果Bob的银行在cookie中保存他的授权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了这次事务。

CSRF是一种依赖web浏览器的、被混淆过的代理人攻击(deputy attack)。在上面银行示例中的代理人是Bob的web浏览器,它被混淆后误将Bob的授权直接交给了Alice使用。

通过实现Filter过滤器对每一次请求进行验证,验证方式是:验证请求的Referer是否有效
 

package com.skysz.framework.filter.csrf;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.UUID;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.skysz.framework.logger.SkyszLogger;
import com.skysz.framework.logger.SkyszLoggerF;
import com.skysz.framework.utils.StringUtils;

public class CSRFFilter implements Filter {

	private static SkyszLogger log = SkyszLoggerF.getLog(CSRFFilter.class);

	private static String IPAUTHFILTER = "";// 请求IP地址白名单
	private static String CSRFFILTEREPARM = "";// 请求URL白名单

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		IPAUTHFILTER = filterConfig.getInitParameter("ipAuthFilter");
		CSRFFILTEREPARM = filterConfig.getInitParameter("csrfFiltereParm");
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		// 从 HTTP 头中取得 Referer 值
		String referer = req.getHeader("Referer");
		String reqUrl = req.getRequestURL().toString();

		String whiteIpAll = IPAUTHFILTER;
		String[] whiteParams = CSRFFILTEREPARM.split(","); // 可以直接放行的路径,不用校验referer

		if (StringUtils.isNullOrBlank(whiteIpAll)) {
			log.error("CSRFFilter:The header is null ...");
			PrintWriter writer = response.getWriter();
			writer.println("The header is null");
			writer.close();
			return;
		}
		String[] whiteIPs = whiteIpAll.split(","); //
		boolean isgo = false; // 是否可以放行的标志

		// 如果referer为null的处理(ie windows.open() referer是为null的)
		if (StringUtils.isNullOrBlank(referer)) {
			// 匹配是否是合法请求(刚进入登录页面 referer为null)
			for (String whiteIP : whiteIPs) {
				if (reqUrl.equals(whiteIP)) {
					log.info("referer为null,请求路径:" + reqUrl + "和配置的" + whiteIP + "相等,此请求为合法请求,登录页面放行!");
					isgo = true;
					break;
				}
			}

			// 如果isgo已经为true则放行,后面的验证不在执行
			if (!isgo) {
				// 如果referer为null则用请求的url和可以放行的路径比对
				for (String whiteParam : whiteParams) {
					if (reqUrl.contains(whiteParam)) {
						log.info("referer为null,请求路径:" + reqUrl + "包含" + whiteParam + ",此请求为合法请求,放行!");
						isgo = true;
						break;
					}
				}
			}

		} else { // 如果referer不为null的处理
			for (int i = 0; i < whiteIPs.length; i++) {
				if (referer.trim().contains(whiteIPs[i])) {
					// log.info("referer的值为:" + referer + "包含" + whiteIPs[i] + ",此请求为合法请求,放行!");
					isgo = true;
					break;
				}
			}
		}

		if (!isgo) {
			log.error("referer的值为:" + referer + ",请求路径为:" + reqUrl + ",IP白名单:" + IPAUTHFILTER + ",参数url白名单:" + CSRFFILTEREPARM + ",不合法请求,拦截!");
			PrintWriter writer = response.getWriter();
			writer.println("The request you sent was exceptionally malicious " + referer + " contains :" + isgo + "(CSRF)");
			writer.close();
			return;
		}
		chain.doFilter(request, response);
	}

	public String generate() {
		return UUID.randomUUID().toString();
	}

	@Override
	public void destroy() {

	}

}

//在web.xml加上这个过滤器

   <filter>
		<filter-name>CSRFFilter</filter-name>
		<filter-class>com.text.framework.filter.csrf.CSRFFilter</filter-class>
		
		<init-param>
			<param-name>ipAuthFilter</param-name>
			<param-value>http://localhost:8015/</param-value> 
		</init-param>
		<init-param>
			<param-name>csrfFiltereParm</param-name>
			<param-value>index.html,index.jsp,app/authAction/loadAuthTopMenus.html,/app/hx/dzhd/accountReceipt_showReceipt.jsp,/app/hx/authCsrf/,/app/payFileAction/uploadAccsTemp.html/,/views/file/,/app/attachmentAction/uploadAccs.html</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>CSRFFilter</filter-name>
		<url-pattern>*.html</url-pattern>
	</filter-mapping>

 

da鹏鹏
关注
如何预防 CSRF 攻击
彳亍
04-16 4762
简介CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,是一种对网站的恶意攻击。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同。XSS 利用的是站点内的信任用户,而 CSRF 则通过伪装成(假冒)站点内的信用用户,执行该用户不知情的操作。与 XSS 攻击相比,CSRF 攻击往往不太流行...
如何防止CSRF攻击?
ccyzq的博客
03-17 4356
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
前端安全系列之二:如何防止CSRF攻击
最新发布
qq_44005305的博客
07-23 621
forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。
CSRF攻击及预防
Hanks-Wang的博客
07-28 292
CSRF攻击及预防参考博客 :浅谈CSRF攻击方式CSRF 攻击的应对之道1. 概念CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。2. 什么危害你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
java防止csrf攻击_java网页程序采用 spring 防止 csrf 攻击.
weixin_42571444的博客
02-13 462
经常开发银行的应用,在安全性方面要求比较高,在安全性保护方面,csrf 攻击是必须测试的项目之一,关于什么是 csrf 攻击,我不想多做解释,网上已经介绍够多了,可以参看 IBM Developer works 的文章 http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ 这篇文章介绍了 csrf 的危害和一般解决办法,在实际开发...
预防CSRF攻击
大鸡腿的博客
05-18 185
Cross Site Request Forgery,中文是:跨站点请求伪造。 CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 举个例子 简单版: 假如博客园有个加关注的GET接口,blogUserGuid参数很明显是关注人Id,如下: http://www.cnblogs...
配置Nginx实现简单防御cc攻击
09-30
本文主要介绍lua+Nginx下如何快速有效得防御CC攻击。至于如何安装Nginx就不详细介绍了,闲话少说,大家请看示例
Spring Security CsrfFilter过滤器用法实例
08-25
主要介绍了Spring Security CsrfFilter过滤器用法实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
如何防止CSRF攻击
qq_40663520的博客
04-18 3769
如何防止CSRF攻击 CSRF不需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。 要让服务器避免遭受到CSRF攻击,通常有一下几种途径: 充分利用好cookies的SameSite属性:黑客会利用用户的登录状态发起CSRF攻击,而Cookie正式浏览器和服务器之间维护登录状态的一个关键数据。要防止CSRF攻击,最后能实现从第三方站点发送请求时禁止Cookie的发送。 在Http响应头中,通过设置set-cookie时,可以带上SameSite选项,如下: (1)Stric
CSRF 攻击的防范措施
程序员徐师兄的博客
07-13 3131
CSRF 攻击是一种常见的 Web 攻击,可以通过利用用户已登录的身份,向目标网站发送恶意请求,从而实现攻击目的。为了避免 CSRF 攻击,开发者需要采取一些防范措施,例如随机令牌、Referer 校验和 SameSite Cookie 等。建议采用多种防范措施,以增强 Web 应用程序的安全性。
怎样预防csrf攻击,占个坑
TE杨
04-13 144
在前端或后端添加验证机制
防止CSRF攻击三种方法
key_3_feng的博客
02-23 3155
如何防止 CSRF 攻击,具体来讲主要有三种方式:充分利用好 Cookie 的 SameSite 属性、验证请求的来源站点和使用 CSRF Token。这三种方式需要合理搭配使用,这样才可以有效地防止 CSRF 攻击
NGINX的奇淫技巧 —— 4. 纯CONF实现一个简单的CSRF防火墙
weixin_34290390的博客
01-13 673
本文章编写中... 尚需时日... 下面给的只是一个原型,尚未验证... NGINXserver{ location / { default_type text/html; set $is_post 0; set $is_verify_passed 1; set ...
spring cloud 如何防止CSRF攻击
04-28
Spring Cloud提供了多种方式来防止CSRF攻击: 1. 使用Spring Security防止CSRF攻击,配置`csrf().disable()`来禁用CSRF保护。 2. 添加CSRF Token,Spring Security提供了一种方便的机制来添加CSRF Token到表单中,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值