防止CSRF filter拦截验证

最新推荐文章于 2021-09-06 21:10:55 发布
最新推荐文章于 2021-09-06 21:10:55 发布
阅读量1.8k 收藏 7
点赞数 8
分类专栏: java SpringMVC 文章标签: CSRF拦截
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_14871673/article/details/55805950
版权

参考: https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/


0 拦截每个页面并为其设置sessionToken cookie 

1 需要特殊拦截验证(涉及数据更新保存)哪些页面 在web.xml 配置 

2 在拦截器 拦截 ajax 提交的header 进行对比


web.xml 设置需要拦截验证的页面


<!-- xxxxxxFilter start -->

<filter>

<filter-name>xxxxxxFilter</filter-name>

<filter-class>xx.xxxxxx.xxxx.filters.xxxxFilter</filter-class>

<init-param>

<param-name>interceptList</param-name>

<param-value>/xxxxxxSave.htm,/xxxxxxxxSave.htm,/xxxxxSave.htm,/xxxxx.htm</param-value>

</init-param>

</filter>

<!-- xxxxxxFilter end -->


<!-- xxxxxxFilter URL start -->

<filter-mapping>

<filter-name>xxxxxxFilter</filter-name>

<url-pattern>*.htm</url-pattern>

</filter-mapping>

<!-- xxxxxxFilter URL --> 



package xx.xxxx.xxxx.filters;


import java.io.IOException;

import java.util.ArrayList;

import java.util.Arrays;

import java.util.List;

import java.util.UUID;


import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.Cookie;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;


import org.apache.commons.lang.StringUtils;

import org.apache.logging.log4j.LogManager;

import org.apache.logging.log4j.Logger;

import org.springframework.stereotype.Component;


@Component

public class XxxxxFilterextends HttpServlet implements Filter {


/**

* CSRF Filter

*/

private static final long serialVersionUID = 5497744146730186671L;

private static final Logger log = LogManager.getLogger(RequestFilter.class);


privatestatic final StringCSRF_TOKEN ="csrftoken";

List<String> interceptList =new ArrayList<String>();


@Override

public void doFilter(ServletRequest arg0, ServletResponsearg1, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest) arg0;

HttpServletResponse response = (HttpServletResponse) arg1;

HttpSession session =request.getSession();

String uri =request.getRequestURI();


// GET SESSION CSRFTOKEN

String sToken = (String)session.getAttribute(CSRF_TOKEN);

if (isIntercept(uri)) {

//   获取 ajax 提交的 header 

String xhrToken =request.getHeader(CSRF_TOKEN);

if (sToken ==null || xhrToken ==null || !sToken.equals(xhrToken)) {

response.sendError(400);

log.info("Error Code 400 ");

return;

}

}


// CREATE NEW TOKEN INPUT SESSION

sToken = UUID.randomUUID().toString();

session.setAttribute(CSRF_TOKEN,sToken);

Cookie cookie =new Cookie(CSRF_TOKEN,sToken);

cookie.setMaxAge(-1);// BROWSER CLOSE COOKIE LOSE EFFICACY

response.addCookie(cookie);


chain.doFilter(request,response);


}


public void init(FilterConfig config) throws ServletException {


String strInterceptList =config.getInitParameter("interceptList");

if (strInterceptList !=null && strInterceptList.length() > 0) {

interceptList = Arrays.asList(strInterceptList.split(","));

} else {

interceptList =new ArrayList<String>();

}

}


private boolean isIntercept(String uri) {

return isContained(uri,interceptList);

}


private boolean isContained(String uri, List<String>listTmp) {

for (Stringtmp : listTmp) {

if (StringUtils.contains(uri,tmp)) {

returntrue;

}

}

returnfalse;

}

}



《写的不好 如果有好的方法请指点一二 谢谢 !!!》

沙乌地阿拉伯
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈CSRF的攻击方式
qq_45335911的博客
09-17 287
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在
Spring Security中防护CSRF功能
...
04-13 829
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF的原理 下图简单阐述了CSRF攻击的思想: 从上图可
shiro中实现防御CSRF攻击的token解决方案
qq_27555691的博客
09-06 1368
首先,代码核心逻辑来自https://blog.csdn.net/qq_26848943/article/details/114023239#comments_18211700 其次,我对其进行了修改 1.shiroConfig类中加入防御代码如下 2. filters包下新建CsrfFilter类 说明: 1.csrfDomains在配置中配置,可参考链接的原文 2.在session中设csrfToken来作为token防御csrf攻击的主要防御手段, 3.paths集合是...
java csrf过滤filter
走走停停的小码农的博客
05-18 7690
public class CsrfFilter implements Filter { private static final Logger logger = LogManager.getLogger(CsrfFilter.class); // 白名单 private List whiteUrls; private int _size = 0; public void init(
《Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法
crazy王的学习
12-27 8274
最近项目渗透测试检测出一些安全问题其中一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
Java web过滤器验证登录防止未登录进入界面
09-01
在本场景中,我们关注的是如何使用过滤器来验证用户是否已经登录,以防止未授权的访问。以下是实现这一功能的详细步骤和知识点: 1. **创建过滤器类**: 首先,我们需要创建一个自定义的过滤器类,该类需要实现`...
跨站请求伪造-CSRF防护方法
03-12
跨站请求伪造-CSRF防护方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者可以...在Java中,拦截器是由Filter来实现的。我们可以编写一个Filter,并在web.xml中对其进行配置。
使用filter验证session用户和页面缓存问题处理
05-06
为了解决这个问题,我们可以利用Servlet的Filter机制来拦截验证用户的请求。Filter是一个在请求被实际处理之前运行的组件,它可以在请求到达目标Servlet之前进行预处理,或者在响应返回给客户端之后进行后处理。在...
Java_Filter过滤机制详解.
12-24
- 安全控制:比如GZIP压缩,防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF)。 - 国际化和本地化:根据用户设置的语言环境,动态调整页面内容。 综上所述,Java Filter提供了一种灵活的方式,允许开发者在Web应用的请求...
cookie、session和java过滤器结合实现登陆程序
09-02
4. **Filter进行验证**:在每个受保护的资源前,Filter拦截请求,检查请求头中的Cookie,提取Session ID。 - 如果找到Session ID,通过ID在服务器上查找Session,确认用户已登录,放行请求。 - 如果找不到Session...
cross-application-csrf-prevention:正确执行跨站点请求伪造预防
05-15
跨应用CSRF预防 本文档概述了在Rails内置的跨站点请求伪造预防机制中发现的问题,并包含可缓解上述问题的反CSRF解决方案的设计规范。 动机 在调查CSRF令牌相关的错误时,我们发现Rails中实现的CSRF预防机制存在一些问题。 Rails CSRF的预防依赖于存储在应用程序会话中的令牌,这对于一个整体式多页应用程序非常有效。 但是,它并不总是适用于单页应用程序,因为一旦将CSRF令牌作为元标记加载到页面上,它就永远不会更新,直到重新加载页面为止(有关详细信息,请参见代码)。 因此,如果令牌在后端进行了更改,则该更改将不会传播到前端,直到下一页重新加载为止。 现有的解决方案在某种程度上适用于多个多页单片应用程序来回发送用户,每个应用程序都维护自己的会话并在其中存储CSRF预防令牌,但是如果一个应用程序对另一个应用程序进行AJAX调用则根本无法使用应用。 我们发现上述问题在整个X
springshiro
06-24
spring集成shiro 和mongodb数据库 ,下载可用ini配置,启用mongo配置
Spring Security笔记:解决CsrfFilter与Rest服务Post方式的矛盾
weixin_34403693的博客
01-06 322
基于Spring Security+Spring MVC的web应用,为了防止跨站提交攻击,通常会配置csrf,即: 1 &lt;http ...&gt; 2 ... 3 &lt;csrf /&gt; 4 &lt;/http&gt; 如果应用中有Post方式访问的Rest服务(参考下面的代码),会很不幸的发现,所有P...
CSRF的攻击和防范
不如养猪!
09-21 1822
xss攻击原理 用户 使用浏览器访问可信的站点A进行业务,此时浏览器会保存站点A相关的cookie 用户 使用浏览器访问一个恶意的站点B,如果站点B中的网页具有指向站点A的链接,攻击就有可能发生。有如下几种情况: a、站点B返回给用户的页面包含站点A的链接,点击这个链接就会跳转到站点A b、站点B返回给用户的页面包含,其中XXX就是指向站点A的链接,这样用户只要访问站点B的页面
spring security中CSRF中设置不针对某些请求过滤
lvluohao1的博客
01-16 6647
在spring security 4中,CSRF默认开启:  Java代码          ...             但如果某些URL不想加入CSRF,可以使用下面的办法下载 :  实现RequestMatcher.这个接口中的方法,在这里排除某些URL不做CSRF,比如:  Java代码   publi
spring boot实战之CSRF(跨站请求伪造)
热门推荐
思与学的博客
10-06 2万+
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片
shiro框架的详细配置及使用
pengjwhx的博客
04-18 3180
shiro框架的详细配置及使用
springsecurity_Spring Security 竟然可以同时存在多个过滤器链?
weixin_39732027的博客
11-26 482
这是来自一个小伙伴的提问,我觉得很有必要和大家聊一聊这个问题:首先这个问题本身是有点问题的,因为 http.authorizeRequests() 并非总是第一个,虽然大部分情况下,我们看到的是第一个,但是也有很多情况 http.authorizeRequests() 不是首先出现。要搞明白这个问题,我们就要搞清楚 http.authorizeRequests() 到底是啥意思!这就涉及到 Spr...
java csrf filter 示例代码
最新发布
07-14
下面是一个使用 Java 编写的 CSRF 过滤器的示例代码: ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import java.io.IOException; import java.util.UUID; public class CsrfFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { // 初始化操作,如果需要的话 } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; if (httpRequest.getMethod().equalsIgnoreCase("POST")) { HttpSession session = httpRequest.getSession(false); String csrfToken = httpRequest.getParameter("csrfToken"); if (session == null || csrfToken == null || !csrfToken.equals(session.getAttribute("csrfToken"))) { httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Invalid CSRF Token"); return; } } chain.doFilter(request, response); } @Override public void destroy() { // 销毁操作,如果需要的话 } } ``` 在上述示例中,`CsrfFilter` 是一个实现了 `javax.servlet.Filter` 接口的过滤器。它会拦截所有的请求,并在 POST 请求中验证 CSRF 令牌的有效性。 你可以在 `web.xml` 文件中配置该过滤器,例如: ```xml <filter> <filter-name>CsrfFilter</filter-name> <filter-class>com.example.CsrfFilter</filter-class> </filter> <filter-mapping> <filter-name>CsrfFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 这样,所有的请求都会通过 `CsrfFilter` 进行过滤,并在需要的时候进行 CSRF 令牌的验证。 请注意,这只是一个简单的示例,你可能需要根据你的应用程序和框架进行适当的调整。确保在生成 CSRF 令牌时使用安全的随机数生成算法,并在验证令牌时采取适当的安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值