关于跨站请求伪造(csrf)的一些常识和处理

最新推荐文章于 2022-10-04 18:05:30 发布
最新推荐文章于 2022-10-04 18:05:30 发布
阅读量426 收藏
点赞数 1
分类专栏: Spring系列 学习 文章标签: csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41594146/article/details/99881838
版权

关于介绍和处理请见博客:https://blog.csdn.net/liuyingan/article/details/84914917

 

以上都是理论说明这个东西   和理论上的处理方式 。。。完事呢,我就用验证 HTTP Referer 字段  这个方法来贴一段代码用来做防御这个入侵(两个类):

@Configuration
public  class WebAppConfig  extends WebMvcConfigurerAdapter {

            //注册拦截器
            @Override
            public void addInterceptors(InterceptorRegistry registry) {
                // 注册拦截器
                //静态资源在springboot2.0以前已经做好映射,不用管                      /**指任意范围都通过拦截
                registry.addInterceptor(new SessionInterceptor()).addPathPatterns("/**")
                        .excludePathPatterns(
                                "/css/**","/js/**","/fonts/**","/img/**","/docs/**","/druid/**","/upload/**","/files/**","/logfind","/login","/error/**")
                ;
                //.excludePathPatterns代表这些请求不过滤     asserts为resources下static下的文件夹,webjars则是maven导入的一些前端框架
            }

}




@Component
public class SessionInterceptor extends HandlerInterceptorAdapter {


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String referer = request.getHeader("Referer"); //下面这个链接写你自己的项目的链接就好
        if(StrUtil.isNotBlank(referer)&&!referer.contains("127.0.0.1:8099")){
            response.sendRedirect("/error/500");
            return false;
        }
        HttpSession session = request.getSession();
        return true;
    }
}

完事呢,我比较懒,上面的代码  也懒得解释了   ,不知道这个是啥  请见 搜索springboot配置拦截器

有问题的   麻烦看下博客名

beyond丿qq:1559810637
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 跨站伪造请求_AppScan漏洞扫描之-跨站请求伪造
weixin_33458169的博客
02-25 553
解决方案:增加一个过滤器,当请求头Referer中包含扫描里的http://bogus.referer.hcl.com时,禁止访问/******************************************************************************** @(#)CSRFilter.java 2020/4/7** Copyright 2020 emrubik...
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat 防止跨站请求伪造CSRF)机制浅析 在 Web 应用开发中,跨站请求伪造CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
浅谈跨站请求伪造(CSRF)
A_dmin的博客
09-14 1851
浅谈跨站请求伪造(CSRF)   这里简单的记录一下CSRF漏洞~~ 什么是CSRF?   CSRF(Cross-Site Request Forgery,跨站伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送...
中危跨站请求伪造
meimeib的博客
07-16 166
测试软件 appscan 测试结果 来源 GET /web-api/api/table/detail?tableId=864525321645326336&t=116261622511 HTTP/1.1 解决方案 Java验证“Referer”头的值
保护您的 ASP.NET 应用程序
Lassewang的成长历程
02-03 1304
在上一期中,我讨论了构建 Web 应用程序安全性的重要性,并介绍了包括 SQL 注入和参数篡改在内的一些攻击类型,以及如何防范这些类型的攻击 (msdn.microsoft.com/magazine/hh580736)。 在本文中,我将深入探讨以下两种更常见的攻击,以帮助完善我们的应用程序保护体系:跨站点脚本 (XSS) 和跨站请求伪造 (CSRF)。 您可能很想知道: 只使用生产安全扫
web基础漏洞CSRF跨站请求伪造漏洞)
m0_62274649的博客
10-04 1275
一些自己的小总结,有待完善
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
跨站请求伪造-CSRF防护方法
03-12
跨站请求伪造-CSRF防护方法跨站请求伪造-CSRF防护方法
跨站请求伪造CSRF
whoim_i的博客
11-24 4809
目录原理解释CSRF分类GET型POST型CSRF漏洞挖掘使用burpsuite快速生成CSRF poc防御手段 原理解释 画个丑图来解释一波 1、 用户输入账号信息请求登录A网站。 2、 A网站验证用户信息,通过验证后返回给用户一个cookie 3、 在未退出网站A之前,在同一浏览器中请求了黑客构造的恶意网站B 4、 B网站收到用户请求后返回攻击性代码,构造访问A网站的语句 5、 浏览器收到攻...
CSRF(跨站请求伪造)漏洞
weixin_50464560的博客
08-25 1294
CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 漏洞危害 修改用户信息,修改密码,以你的名义发送邮件、发消息、盗取你的账号等 攻击条件 用户已登录存在CSRF漏洞的网站 用户需要被诱导打开攻击者构造的恶意网站 攻击过程 .
CSRF(跨站请求伪造)
weixin_33955681的博客
09-30 53
csrf: cross site request forgery***方式:php:curlphp:fsockopen防御:1、表单token(随机数)2、验证码3、referer check(检查header中的referer) 转载于:https://blog.51c...
CSRF漏洞
金色%夕阳的博客
04-11 1793
CSRF漏洞 1. 漏洞介绍 1. 什么是CSRF漏洞 全名是 Cross Site Request Forgery,跨站请求伪造。通利用受害者还未失效的身份认证信息,诱骗其点击恶意的连接或访问受害者不知情的网站,在受害者不知情的情况下完成请求,从而达到一个攻击的目的。因为受害者点击之后就会触发恶意的代码完成恶意的请求,“one click”攻击。 跨站------通过A网站去访问B网站 请求------访问网站的过程就是请求 身份认证信息-----COOKIE与session 含有身份认证信息的字符串
跨站请求伪造(CSRF)
Ryron的博客
05-21 1317
跨站请求伪造 CSRF Cross-site request forgery,跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却
漏洞CSRF跨站请求伪造漏洞,springboot修复思路
a987212198的博客
02-15 3945
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。
跨站请求伪造(CSRF)-简述
weixin_30483697的博客
10-27 132
跨站请求伪造(CSRF)-简述 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。[1] 跟网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏...
教你轻松解决CSRF跨站请求伪造攻击
华为云官方博客
04-21 4756
CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
跨站请求伪造 CSRF的原理与利用
最新发布
05-13
跨站请求伪造CSRF)是一种攻击技术,攻击者会利用用户已经登录的身份来发送恶意请求。攻击者会构造一个恶意请求,然后诱导用户点击或访问包含恶意请求的页面,从而实现攻击目的。 攻击者利用 CSRF 的原理是,利用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值