strits2 csrf portect

最新推荐文章于 2024-04-23 21:44:55 发布
最新推荐文章于 2024-04-23 21:44:55 发布
阅读量847 收藏
点赞数
文章标签: struts2 xss csrf

http://web.securityinnovation.com/appsec-weekly/blog/bid/84318/Cross-Site-Request-Forgery-CSRF-Prevention-Using-Struts-2


Secure Development Tips

a blog with tips relating to secure application development, from Security Innovation's eknowledge database, TeamMentor

Current Articles | RSS Feed RSS Feed

Cross-Site Request Forgery (CSRF) Prevention Using Struts 2

Posted by Serge Truth on Tue, May 08, 2012 @ 10:20 AM
  
Share  

Applies to

  • Java
  • Struts 2

Summary

Perform CSRF prevention using Struts 2 within an application.

Objectives

CSRF prevention is a key security control for an application that protects the application and its users from CSRF attacks. This article will describe how to use the built-in mechanisms provided by Struts 2 to perform CSRF prevention.

Code Example

There is a standard model for CSRF prevention using Struts 2 that involves 3 basic steps

1. Update your interceptor stack to include the tokenSessionInterceptor, either including or excluding all methods (all are included here).

<interceptor-stack name="myStack">
    <interceptor-ref name="defaultStack" />
    <interceptor-ref name="tokenSession">
 <param name="includeMethods">*</param>
    </interceptor-ref>
</interceptor-stack>

<default-interceptor-ref name="myStack" />

2. Update your action configuration to include or exclude any methods that need or do not need CSRF protection.

<action ...>
    ...
    <interceptor-ref name="tokenSession">
 <param name="excludeMethods">searchBooks,getBook</param>
    </interceptor-ref>
</action>

3. Use s:token in your JSP form that requests the action.

<s:form action="...">
    ...
    <s:token />
    ...
</s:form>

Using these 3 simple steps you can effectively have a session specific per user token used to validate that a request was submitted by a user intentionally.

Note: There have been effective attacks against various CSRF prevention techniques including this token-based approach when an application has XSS vulnerabilities. Removing XSS is therefore viewed as a prerequisite activity for a complete CSRF prevention mechanism.

In conclusion, CSRF prevention can function as a strong security control if used properly and applied thoroughly throughout the application. The Struts 2 framework provides a simple series of steps for accomplishing this task.

More Information

Tags: Secure Development TipSerge TruthTeamMentor Tip

Comments

Currently, there are no comments. Be the first to post one!

so_fast
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
从Yii2的Request看其CSRF防范策略
01-30
先画一幅流程图理理思路:今天在处理一个这样的需求,在app\...而如果用Web网页方式GET访问(去除verbFilter的POST限制),是正常的通过帖子下面的帖子找到了问题的所在,是CSRF验证的原因;因为Web网页访问的时候f
yii2关闭csrf验证
benben0729的专栏
09-06 1144
在使用Yii2进行开发是,遇到一个提交的数据无法被验证的问题,这是因为yii2的防御csrf的攻击机制 解决方法在类中定义以下属性 public $enableCsrfValidation = false; class ChannelController extends Controller { public $enableCsrfValidation = false; /*...
spring security CSRF防护
热门推荐
yjclsx的博客
07-31 45万+
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。 我这边是spring boot项目,在启用了@EnableWebSecurity...
DVWA 之 CSRF
RexHa的博客
09-30 6131
CSRF,跨站域请求伪造,通常攻击者会伪造一个场景(例如一条链接),来诱使用户点击,用户一旦点击,黑客的攻击目的也就达到了,他可以盗用你的身份,以你的名义发送恶意请求。
django CSRF protect (防止出现Forbidden 403)
shuifa2008的专栏
03-15 4018
利用django的中间件CsrfViewMiddleware,settings里配置 MIDDLEWARE_CLASSES = (     'django.middleware.common.CommonMiddleware',     'django.contrib.sessions.middleware.SessionMiddleware',     'django.middl
基础漏洞csrf挖掘实战
10-07
当我们可以使目标对象浏览器发送HTTP请求到别的Web 网站时,就会发生跨站请求伪造(CSRF)攻击。该Web网站会执行一些操作,使得请求看起来是有效的,...简而言之csrf攻击就是利用了网站用于请求进行身份认证的进程的缺陷。
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
CSRF漏洞的靶场实验
09-19
靶场试炼
CSRF的攻击与防御
02-26
这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
pikachu-xss
2303_81631620的博客
04-23 514
按原本的做法,应该先写一个script标签测试一下,但是发现有字符限制。
Web前端安全问题分类综合以及XSSCSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识
JINGWHALE
04-22 1148
本文介绍了Web前端安全问题分类综合以及XSSCSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识。Web前端作为与用户直接交互的界面,其安全性问题直接关系到用户体验和数据安全。近年来,随着前端技术的快速发展,Web前端安全问题也日益凸显。因此,加强生产安全意识,深入理解并防范前端安全问题,对于保障整个Web应用的安全性至关重要。
ChatGPT4.0知识问答、DALL-E生成AI图片、Code Copilot辅助编程,打开新世界的大门.txt
04-30
ChatGPT4.0知识问答、DALL-E生成AI图片、Code Copilot辅助编程,打开新世界的大门
基于matlab实现DOA 估计和自适应波束形成.rar
最新发布
04-30
基于matlab实现DOA 估计和自适应波束形成.rar
基于C++的线程安全容器。.zip
04-30
基于C++的线程安全容器。.zip
华为数字化转实践28个精华问答glkm.pptx
04-30
华为数字化转实践28个精华问答glkm.pptx
本周-综合案例.zip
04-30
本周-综合案例.zip
基于Swift简单易上手的iOS开发框架.zip
04-30
基于Swift简单易上手的iOS开发框架.zip
liba52-0-32bit-0.7.5+svn613-1.19.x86_64.rpm
04-30
liba52-0-32bit-0.7.5+svn613-1.19.x86_64
thymeleaf csrf
08-17
Thymeleaf provides a CSRF token mechanism that you can use to protect your forms. To include a CSRF token in your Thymeleaf forms, you can use the `th:action` and `th:object` attributes. Here's an ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值