CSRF攻击防御,JAVA程序利用token前后端验证每一次请求进行防御

最新推荐文章于 2023-07-02 19:43:35 发布
最新推荐文章于 2023-07-02 19:43:35 发布
阅读量3k 收藏 15
点赞数 2
分类专栏: Java 文章标签: csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tengchengbaba/article/details/108365545
版权

整体思路是:访问页面就生成token,保存到session,并且前端将token放进header或者追加到请求地址最后面。后端拿到header或者请求中的token后比对session与herder或者请求中的token是否一致,一致测是同一次请求。有效的防止了,攻击者不从规定页面请求接口进行篡改利用。

每次请求,地址或者header携带TOKEN到服务端验证,防止CSRF攻击
下面是JAVA后端工具类

package com.invoice.util;
import java.io.IOException;
import java.util.UUID;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

/**
 * @version 1.0
 */
public class CsrfDefInterceptorUtil implements Filter {
	/**
	 * 判断session中有没有csrftoken,如果没有则认为是第一次访问,session是新建立的,
	 * 这时生成一个新的token,放于session之中,并继续执行请求。如果session中已经有csrftoken,
	 * 则说明用户已经与服务器之间建立了一个活跃的session,这时遥看这个请求中有没有同时附带这个token,
	 * 由于请求可能来自常规的访问或者XMLHttpRequest异步访问,
	 * 我们分别尝试从请求中获取csrftoken参数以及从HTTP头中获取csrftoken自定义属性并与session中的值进行比较,
	 * 只要有一个地方带有有效token,就判定请求合法,可以继续执行,否则就转到错误页面
	 */
	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		
		HttpSession s = req.getSession();
		// 从 session 中得到 csrftoken 属性
		String sToken = (String) s.getAttribute("csrftoken");
		System.out.println("sToken:" + sToken);
		if (sToken == null) {
			// 产生新的 token 放入 session 中
			sToken = generateToken();
			s.setAttribute("csrftoken", sToken);
			chain.doFilter(request, response);
		} else {
			// 从 HTTP 头中取得 csrftoken
			String xhrToken = req.getHeader("Token");
			// 从请求参数中取得 csrftoken
			System.out.println("xhrToken:" + xhrToken);
			String pToken = req.getParameter("csrftoken");
			System.out.println("pToken:" + pToken);
			System.out.println("sToken.equals(xhrToken):" + sToken.equals(xhrToken));
			System.out.println("==sToken.equals(pToken)==:" + sToken.equals(pToken));
			if (sToken != null && xhrToken != null && sToken.equals(xhrToken)) {
				chain.doFilter(request, response);
			} else if (sToken != null && pToken != null && sToken.equals(pToken)) {
				chain.doFilter(request, response);
			} else {
				request.getRequestDispatcher("404").forward(request, response);
			}
		}
	}
	
	

	public static String generateToken() {
		String uuid = UUID.randomUUID().toString().replaceAll("-", "");
		System.out.println("生成==csrftoken:" + SM4.getMD5(uuid));
		return SM4.getMD5(uuid);
	}

	@Override
	public void destroy() {
		// TODO Auto-generated method stub

	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub

	}

}

可以再web.xml中配置过滤条件,下面只拦截了接口,也可以设置拦截页面

<filter>
     <filter-name>CsrfDefInterceptorUtil</filter-name>
    <filter-class>com.invoice.util.CsrfDefInterceptorUtil</filter-class>  
</filter>  
<filter-mapping>
     <filter-name>CsrfDefInterceptorUtil</filter-name>
    <url-pattern>*.action</url-pattern>   
</filter-mapping>

下面是Referer里获取原始地址,进行比对请求地址是否是同一域名地址

	// 从 HTTP 头中取得 Referer 值
   String referer=req.getHeader("Referer");
    // 判断 Referer 是否以 bank.example 开头
    if((referer!=null) &&(referer.trim().startsWith("https://localhost:8443"))){
    	System.out.println("referer不为空并且路径符合系统要求");
      chain.doFilter(request, response);
    }else{
   	System.out.println("referer可能为空,或者系统遭受到CSRF攻击!");
   	request.getRequestDispatcher("404.jsp").forward(request,response);
    }

前端JS,其中sToken是生成的Token,拿到token后选择页面中的from表单,还有a标签,在href后面追加参数csrftoken携带token到请求地址

<script type="text/javascript">
var token = '<%=sToken%>';
window.onload=appendToken;
function appendToken(){
    updateForms();
    updateTags();
 }
 function updateForms() {
    // 得到页面中所有的 form 元素
    var forms = document.getElementsByTagName('form');
    for(i=0; i<forms.length; i++) {
        var url = forms[i].action;
        // 如果这个 form 的 action 值为空,则不附加 csrftoken
        if(url == null || url == "" ) continue;
        // 动态生成 input 元素,加入到 form 之后
        var e = document.createElement("input");
        e.name = "csrftoken";
        e.value = token;
        e.type="hidden";
        forms[i].appendChild(e);
    }
 }
 function updateTags() {
    var all = document.getElementsByTagName('a');
    var len = all.length;
    // 遍历所有 a 元素
    for(var i=0; i<len; i++) {
        var e = all[i];
        updateTag(e, 'href', token);
    }
 }
 function updateTag(element, attr, token) {
	    var location = element.getAttribute(attr);
	    if(location != null && location != "" ) {
	        var fragmentIndex = location.indexOf('#');
	        var fragment = null;
	        if(fragmentIndex != -1){
	            //url 中含有只相当页的锚标记
	            fragment = location.substring(fragmentIndex);
	            location = location.substring(0,fragmentIndex);
	        }
	        var index = location.indexOf('?');
	        if(index != -1) {
	            //url 中已含有其他参数
	            location = location + '&csrftoken=' + token;
	        } else {
	            //url 中没有其他参数
	            location = location + '?csrftoken=' + token;
	        }
	        if(fragment != null){
	            location += fragment;
	        }
	        element.setAttribute(attr, location);
	    }
 }
</script>

给heaeder里加token参数

$(function(){
	 $.ajaxSetup({
		    headers: { // 默认添加请求头
		        "Token": "<%=sToken%>"		
		    } 
	 	});   
})

上面是配置拦截器,做整站拦截的。。如果个别情况不需要配置全站,则可以针对指定接口进行验证。后端从session获取和header里的不匹配或者session和请求参数中携带的token不匹配,则是非法请求。

		String sToken = (String)Session.getAttribute("csrftoken");
		String xhrToken = Request.getHeader("Token");
		if(xhrToken == null) {
			map.put("msg", "非法访问!");
			Request.setAttribute("data", JSON.toJSONString(map));
			return "json";
		}else if(sToken == null){
			map.put("msg", "session not token...");
			Request.setAttribute("data", JSON.toJSONString(map));
			return "json";
		}else if(!sToken.equals(xhrToken)) {
			map.put("msg", "非法请求...");
			Request.setAttribute("data", JSON.toJSONString(map));
			return "json";
		}
		System.out.println("xhrToken:"+xhrToken+" sToken:"+sToken + "token是否一致:"+sToken.equals(xhrToken));
灯火栏栅处
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
5分钟科普CSRF攻击防御,Web安全的第一防线
02-25
目录:一、CSRF介绍二、CSRF攻击的危害三、CSRF攻击原理及过程四、CSRF漏洞检测五、CSRF漏洞预防六、最后聊聊xssCSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。上图为CSRF攻击的一个简单模型,用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网站A之间可能已经有信任关系导致这个请求就像用户真实发送的一样会被执行。攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法
Java-如何防范CSRF攻击
了解➔熟悉➔掌握➔精通
01-02 3971
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造,也被称为:one click attack / session riding,缩写为:CSRF/XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。 XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的
java 防止csrf实现类_防止跨站请求伪造(CSRF)攻击 和 防重复提交 的方法的实现
weixin_42297714的博客
02-24 324
importjava.io.IOException;importjava.lang.reflect.Method;importjava.util.UUID;importjava.util.concurrent.ConcurrentHashMap;importjava.util.concurrent.ConcurrentMap;importjavax.servlet.http.Cookie;impo...
Java解决CSRF问题
椰汁菠萝
01-17 2434
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚...
java jwt生成token并在网关设置全局过滤器进行token的校验并在给请求头设置参数及在微服务中解析参数
最新发布
jjw_zyfx的博客
07-02 1919
java jwt生成token并在网关设置全局过滤器进行token的校验
JAVA后端生成Token(令牌),用于校验客户端,防止重复提交
热门推荐
致虚极POLE守静笃
02-27 1万+
JAVA后端生成Token(令牌),用于校验客户端,防止重复提交1.概述:在web项目中,服务端和前端经常需要交互数据,有的时候由于网络相应慢,客户端在提交某些敏感数据(比如按照正常的业务逻辑,此份数据只能保存一份)时,如果前端多次点击提交按钮会导致提交多份数据,这种情况我们是要防止发生的。2.解决方法:①前端处理:在提交之后通过js立即将按钮隐藏或者置为不可用。②后端处理:对于每次提交到后台的数...
攻击token过滤器的使用方式
rosemaryyoudu的博客
01-30 153
过滤器的使用以及区别
Java 安全之:csrf攻击总结
weixin_30952103的博客
08-12 650
  最近在维护一些老项目,调试时发现请求屡屡被拒绝,仔细看了一下项目的源码,发现有csrf token校验,借这个机会把csrf攻击学习了一下,总结成文。本文主要总结什么是csrf攻击以及有哪些方法来防范,接下来会再写一篇文章,从源码中来学习一下实战中是如何防御csrf攻击的。   主要内容如下:   什么是CSRF攻击   几种常见的攻击类型   CSRF的特点   防护策略   总...
csrf漏洞防御方案_SpringSecurity框架下实现CSRF跨站攻击防御
weixin_39867296的博客
12-21 244
一、什么是CSRF很多朋友在学习Spring Security的时候,会将CORS(跨站资源共享)和CSRF(跨站请求伪造)弄混,以为二者是一回事。其实不是,先解释一下:CORS(跨站资源共享)是局部打破同源策略的限制,使在一定规则下HTTP请求可以突破浏览器限制,实现跨站访问。CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。当我们使用Spring Secu...
如何避免token被截获后的重放攻击Java
咘噜biu的博客
10-29 2830
token 加密,解密工具: package com.cloudstore.spider.store.feign; import lombok.AllArgsConstructor; import lombok.Data; import java.util.Base64; /** * @author visy.wang * @desc Token加密、解密工具 * @date 2020/10/29 15:26 */ public class TokenUtil { /** * 密码和.
CSRF攻击防御
02-26
根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如需要访问http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory,用户必须先登陆bank.example,然后通过点击页面上的按钮来触发转账事件。这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
CSRF攻击防御,Web安全的第一防线
02-25
跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用CSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,...
Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法
crazy王的学习
12-27 8216
最近项目渗透测试检测出一些安全问题其中一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
java 防止用户重复登录_java使用token防止用户重复登录以及验证用户登录
weixin_42139429的博客
02-12 1111
登录成功后,使用用户id构造生成一个token并保存到redis中,同时也保存用户id到session中生成token的代码如下:@Overridepublic String createToken(String phone,String appId) throwsException {long loginTime =DateUtil.getNowTimeStampTime().getTime()...
JAVA语言(JwtToken校验、过滤器)
www_yibaibai的博客
02-09 779
JwtToken校验: import org.apache.shiro.authc.AuthenticationToken public class JwtToken implements AuthenticationToken{ private String token; public JwtToken (String token){ this.token=token; } @Override public Object getPrincipal(){ return token;
spring 两次进入拦截器_springmvc 用拦截器+token防止重复提交
weixin_39715513的博客
01-13 138
首先,防止用户重复提交有很多种方式,总体分为前端JS限制和后端限制,我个人认为后端限制比较妥当(本着能做到更优秀得理念,舍去了前端JS限制重复提交得想法).之前没有做过防止用户重复提交,所以直接百度了一大堆,竟然发现基本上可以归为2到3种真正不同实现得代码,文章虽然有很多,不过大部分代码几乎都出自同一人,原文网址:http://blog.icoolxue.com/submitted-by-spri...
Java 关于爬取网站数据遇到csrf-token的分析与解决
DOBEONE玉苑的博客
03-24 6380
问题描述 在爬取某网站的时候遇到了问题,因为网站的避免CSRF攻击机制,无法获取到目标页面数据,而是跳转到一个默认页面。 关于CSRF 1、CSRF tokens是如何工作(详情请点击查引用源站点) 1、服务器发送给客户端一个token。 2、客户端提交的表单中带着这个token。 3、如果这个token不合法,那么服务器拒绝这个请求。 2、java 站点应对CS...
安全测试之 CSRF 跨站点请求伪造
测试界的彭于晏的博客
03-25 5662
CSRF 攻击 CSRF 跨站点请求伪造 (Cross—Site Request Forgery):大概可以理解为攻击者盗用了你的身份,以你的名义在恶意网站发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,甚至于购买商品、转账等。 例如:Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。 CSRF 攻击攻击原理及过程如下: 1.用户 C 打开浏览
JAVA后端使用MultipartFile类接收处理上传图片【超级简单】
生活没有圈的博客
10-26 1万+
本例子再SpringBoot项目上,使用Spring MVC的MultipartFile类再JAVA后端 接收前端上传文件请求。 1.MultipartFile 单文件图片上传。例子中接收对象与文件,先保存文件,再把文件保存到对象,再保存对象,最后返回执行结果 @RequestMapping("/addArticle") public Map<String,Object> addArticle(Article article,MultipartFile mfile){ Map<S
防御csrf攻击策略有哪些
06-08
CSRF攻击是一种常见的Web应用程序安全漏洞,为了防御这种攻击,可以采取以下策略: 1. 验证HTTP Referer头:Web应用程序可以检查HTTP请求中的Referer头,确保请求来自于合法的来源,但这种方法并不完全可靠,因为攻击者可以伪造Referer头。 2. 使用CSRF Token:Web应用程序可以使用CSRF Token防御攻击,即在每个表单中添加一个随机生成的Token,提交表单时需要验证Token的合法性,这样攻击者即使伪造了请求,也无法伪造Token。 3. 使用验证码:Web应用程序可以使用验证码来防御攻击,即在提交表单之前需要用户输入验证码,这样可以防止机器人提交表单。 4. 使用SameSite Cookie属性:Web应用程序可以使用SameSite Cookie属性来防御攻击,即在设置Cookie时,将SameSite属性设置为Strict或Lax,这样可以限制Cookie只能在同一个站点内使用,防止攻击利用Cookie发起跨站请求。 5. 避免使用GET请求:Web应用程序应该避免使用GET请求来执行敏感操作,因为GET请求会将请求参数暴露在URL中,容易被攻击者截获。 综上所述,为了防御CSRF攻击,Web应用程序需要采取多种手段来提高安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值