Tomcat(49)Tomcat的CSRF保护

已于 2024-12-01 08:27:10 修改
阅读量532 收藏 2
点赞数 6
分类专栏: Java基础 文章标签: tomcat csrf java
于 2024-12-01 08:25:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43012298/article/details/139153472
版权

跨站请求伪造(CSRF)是一种攻击,它迫使最终用户在当前已通过身份验证的Web应用程序上执行不需要的操作。Tomcat本身不提供专门的CSRF保护机制,但可以通过在应用程序中实现适当的防御措施来防止CSRF攻击。以下是如何在基于Java的Web应用程序中实现CSRF保护的详细步骤和代码示例。

步骤 1: 生成CSRF令牌

在用户访问受保护的页面时,生成一个唯一的CSRF令牌,并将其存储在用户的会话中。同时,将此令牌嵌入到页面中的表单或AJAX请求中。

示例代码(Java Servlet)
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    HttpSession session = request.getSession();
    String csrfToken = UUID.randomUUID().toString();
    session.setAttribute("csrfToken", csrfToken);
    // 其他处理逻辑...
}

步骤 2: 在表单中包含CSRF令牌

在所有提交数据的表单中,添加一个隐藏字段来包含CSRF令牌。

示例代码(JSP)
<form action="submit" method="post">
    <input type="hidden" name="csrfToken" value="${sessionScope.csrfToken}">
    <!-- 其他表单字段... -->
    <input type="submit" value="Submit">
</form>

步骤 3: 验证CSRF令牌

在服务器端,验证接收到的请求中的CSRF令牌是否与会话中存储的令牌匹配。

示例代码(Java Servlet)
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    HttpSession session = request.getSession();
    String sessionCsrfToken = (String) session.getAttribute("csrfToken");
    String requestCsrfToken = request.getParameter("csrfToken");

    if (sessionCsrfToken == null || !sessionCsrfToken.equals(requestCsrfToken)) {
        response.sendError(HttpServletResponse.SC_FORBIDDEN, "CSRF token mismatch");
        return;
    }

    // 处理表单提交...
}

步骤 4: 处理AJAX请求

对于AJAX请求,确保在请求头中包含CSRF令牌。

示例代码(JavaScript)
function submitData() {
    var csrfToken = "${sessionScope.csrfToken}"; // 从服务器获取令牌
    var xhr = new XMLHttpRequest();
    xhr.open("POST", "/submit", true);
    xhr.setRequestHeader("X-CSRF-Token", csrfToken);
    // 其他设置...
    xhr.send();
}
示例代码(Java Servlet)
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    String sessionCsrfToken = (String) request.getSession().getAttribute("csrfToken");
    String requestCsrfToken = request.getHeader("X-CSRF-Token");

    if (sessionCsrfToken == null || !sessionCsrfToken.equals(requestCsrfToken)) {
        response.sendError(HttpServletResponse.SC_FORBIDDEN, "CSRF token mismatch");
        return;
    }

    // 处理AJAX请求...
}

总结

通过在应用程序中实现CSRF令牌的生成、嵌入和验证,可以有效地防御CSRF攻击。确保在所有涉及状态更改的请求中使用CSRF令牌,并定期更新令牌以增强安全性。这种方法适用于大多数基于Java的Web应用程序,但对于更复杂的应用场景,可能需要考虑使用专门的CSRF保护库或框架。

Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat怎样防止跨站请求伪造(CSRF) 1
Tomcat 7 中 CSRFPreventionFilter 的使用
allway2的博客
07-26 563
代码】Tomcat7中CSRFPreventionFilter的使用。
Apache Tomcat Csrf 令牌泄露漏洞
allway2的博客
07-25 897
Host标头的目的是包含请求的目标来源。但是,如果您的应用程序部署在许多不同的地方,例如,开发、测试、QA、生产和可能的多个生产实例,这可能会导致维护问题。例如,如果您的网站是“site.com”,请确保“site.com.attacker.com”没有通过您的来源检查(即,匹配来源之后的尾随/以确保您与整个起源)。一旦您确定了源来源(来自Origin或Referer标头),并且您已经确定了目标来源,但是您选择这样做,那么您可以简单地比较这两个值,如果它们与您不匹配知道你有一个跨域请求。...
Tomcat怎样防止跨站请求伪造(CSRF)
Tomcat那些事儿
09-16 1126
对于CSRF,可能一些朋友比较陌生。我们下面先简单介绍下。什么是CSRF呢,我们看下Wikipedia的说明:Cross-site request forgery,即跨站请求伪造,也称为...
tomcat报错 严重: Exception starting filter CSRF
weixin_43097622的博客
06-25 2143
tomcat报错 严重: Exception starting filter CSRF
Tomcat中使用CSRFPreventionFilter阻止跨站请求伪造
allway2的博客
07-26 1050
为解决跨站点请求伪造,在Tomcat中启用CSRFPreventionFilter,如果使用中文需要在CSRFPreventionFilter前增加中文Filter放置中文乱码。之后在JSP和Servlet中使用response.encodeURL()函数包裹所有连接。
Tomcat 中的跨站点请求伪造防护过滤器
allway2的博客
07-25 1095
由于对此处配置的URL的访问将是免费的(入口点URL将不受CSFR过滤器的保护),因此这些URL不执行任何安全关键操作非常重要。如果毫无戒心的用户使用此URL加载恶意网页,同时用户具有与www.mybank.com网站的活动会话,则此图像标签将能够在用户不知情的情况下从用户帐户中转移资金。如果您使用CSRF预防过滤器,则必须通过单击连接页面的链接来访问所有页面,从入口点页面开始——您不能只在浏览器中键入URL,因为您没有所需的随机数来传回到服务器!,并且也存储在会话中。...
WEB攻击手段及防御第3篇-CSRF
weixin_34205076的博客
08-13 137
概念 CSRF全称即Cross Site Request forgery,跨站点请求伪造,攻击者通过跨站点进行伪造用户的请求进行合法的非法操作,其攻击手法是通过窃取用户cookie或服务器session获取用户身份,在用户不知情的情况下在攻击者服务器模拟伪造用户真实的请求。 防御手段 既然是跨站点攻击,所以防...
从零开始学CSRF
weixin_33825683的博客
01-13 121
为什么要拿CSRF来当“攻击手法系列”的开头篇呢?因为CSRF/XSRF我个人喜爱他的程度已经超过XSS了。如果说XSS是一个老虎,那么CSRF就是隐藏在暗处的蛇。--all from freebuf 相信现在很多人不明白CSRF是怎么运作,他和XSS的不同是在哪里。我这里就逐步为大家解释,并从浅入深的介绍CSRF。 入门 我们先来看看CSRF和XSS的工作原理,先让大家把这两个分开来。 ...
CSRF跨站请求伪造 漏洞修复
菜就多看,多想,多敲
08-25 1168
CSRF跨站请求伪造 漏洞修复 CSRF: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 修复思想: 可以在前端修复也可以在后端修复,一般前端和后端
tomcat8.5.59
02-18
1. 安全性更新:8.5.59版本修复了一些安全漏洞,包括防止跨站请求伪造(CSRF)攻击,提升了服务器的安全性。 2. 性能优化:对内存管理和线程调度进行优化,减少了不必要的资源消耗,提升了整体性能。 3. 配置改进...
tomcat7打补丁版.rar
04-23
Apache Tomcat是一款广泛应用的开源Java Servlet容器,它实现了Java Servlet和JavaServer Pages(JSP)规范,用于部署和运行Java Web应用程序。在标题为“tomcat7打补丁版.rar”的压缩包中,我们主要关注的是针对...
apache-tomcat-8.5.32-windows-x64.zip
07-18
在安全性方面,Tomcat 8.5.32修复了多个安全漏洞,包括跨站脚本攻击(XSS)、跨站请求伪造(CSRF)和远程代码执行等问题。因此,保持Tomcat版本的更新对于维护系统安全至关重要。 总的来说,Apache Tomcat 8.5.32是...
apache-tomcat-7.0.52.rar
12-03
- 强化了安全管理,包括加强了对跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的防护。 3. **Windows环境配置** - 解压缩:首先,将"apache-tomcat-7.0.52.rar"解压缩到你选择的目录,例如"C:\Tomcat"。 - 配置...
从面试题中学安全
Fly_鹏程万里
10-30 2325
根据 Github 上的面经总结的一些安全岗面试的基础知识,这些基础知识不仅要牢记,而且要熟练操作,分享给大家,共勉。 1.对Web安全的理解 我觉得 Web 安全首先得懂 Web、第三方内容、Web 前端框架、Web 服务器语言、Web 开发框架、Web 应用、Web容器、存储、操作系统等这些都要了解,然后较为常见且危害较大的,SQL 注入,XSS 跨站、CSRF 跨站请求伪造等漏洞要熟练掌...
OWASP(CsrfGuard)源码解析02----CsrfGuardServletContextListener分析
一直打铁
01-15 560
CsrfGuardServletContextListener分析一、整体框架介绍二、CsrfGuardServletContextListener 分析2.1 contextInitialized 解析三、小结 一、整体框架介绍 首先我们看一下 csrfguard 这个jar 的整体框架 如下图, 里面主要 是分 config 配置, Filter , listener ,action 和 resources 下面的 默认的 csrfguard.properties 和 csrfguard.js 文件
Tomcat 怎样防止跨站请求伪造(CSRF
weixin_33720956的博客
10-09 1152
为什么80%的码农都做不了架构师?>>> ...
记一次解决CSRF的坑
zhangustb
11-07 1413
漏洞扫描,需要解决csrf问题,先贴上代码,使用的是过滤器 package com.jdd.appim.web.filter; import com.alibaba.fastjson.JSONObject; import org.apache.commons.lang3.StringUtils; import org.slf4j.Logger; import org.slf4j.Logger...
CSRF 的基本概念特性
caoliangbo的博客
11-24 613
CSRF 的基本概念特性   注:非原创,最近在做项目的安全,找了些不错的资料研究,很有意思           跨站请求伪造(CSRF)的是 Web 应用程序一种常见的漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量 Web 2.0 技术的应用的背景下,CSRF 攻击完全可以在用户法毫无察觉的情况下发起攻击。国际上并未对 CSRF 攻击做出一个明确的定义,同时,攻击的发起手段方...
Tomcat CSRF防护:CSRFPreventionFilter详解
总结来说,Tomcat的`CSRFPreventionFilter`是一个强大的工具,它可以帮助Java开发者在不增加过多复杂性的情况下,有效地保护Web应用免受CSRF攻击。通过理解其工作原理并正确配置,可以显著提升应用的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

辞暮尔尔-烟火年年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值