spring mvc拦截POST请求防CSRF攻击

最新推荐文章于 2022-12-17 11:33:24 发布
最新推荐文章于 2022-12-17 11:33:24 发布
阅读量6.6k 收藏
点赞数
分类专栏: Java springmvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kenhins/article/details/47316797
版权

[1].[代码] CsrfTokenManager 用于管理csrfToken相关 跳至 [1] [2] [3] [4] [5] [6] [7]

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
package com.uncle5.pubrub.web.common;
 
import java.util.UUID;
 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
 
public final class CsrfTokenManager {
 
     // 隐藏域参数名称
     static final String CSRF_PARAM_NAME = "CSRFToken" ;
 
     // session中csrfToken参数名称
     public static final String CSRF_TOKEN_FOR_SESSION_ATTR_NAME = CsrfTokenManager. class
             .getName() + ".tokenval" ;
 
     private CsrfTokenManager() {
     };
 
     // 在session中创建csrfToken
     public static String createTokenForSession(HttpSession session) {
         String token = null ;
 
         synchronized (session) {
             token = (String) session
                     .getAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME);
             if ( null == token) {
                 token = UUID.randomUUID().toString();
                 session.setAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME, token);
             }
         }
         return token;
     }
 
     public static String getTokenFromRequest(HttpServletRequest request) {
         return request.getParameter(CSRF_PARAM_NAME);
     }
}

[2].[代码] CsrfRequestDataValueProcessor 自动创建hidden的csrfToken域的类 跳至 [1] [2] [3] [4] [5] [6] [7]

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
package com.uncle5.pubrub.web.common;
 
import java.util.Map;
 
import javax.servlet.http.HttpServletRequest;
 
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.support.RequestDataValueProcessor;
 
import com.google.common.collect.Maps;
 
@Component ( "requestDataValueProcessor" )
public class CsrfRequestDataValueProcessor implements RequestDataValueProcessor {
 
     @Override
     public String processAction(HttpServletRequest request, String action) {
         // TODO 暂时原样返回action
         return action;
     }
 
     @Override
     public String processFormFieldValue(HttpServletRequest request,
             String name, String value, String type) {
         // TODO 暂时原样返回value
         return value;
     }
 
     @Override
     public Map<String, String> getExtraHiddenFields(HttpServletRequest request) {
         //此处是当使用spring的taglib标签<form:form>创建表单时候,增加的隐藏域参数
         Map<String, String> hiddenFields = Maps.newHashMap();
         hiddenFields.put(CsrfTokenManager.CSRF_PARAM_NAME,
                 CsrfTokenManager.createTokenForSession(request.getSession()));
 
         return hiddenFields;
     }
 
     @Override
     public String processUrl(HttpServletRequest request, String url) {
         // TODO 暂时原样返回url
         return url;
     }
 
}

[3].[代码] CsrfInterceptor 对于post请求进行拦截,检测csrfToken是否匹配 跳至 [1] [2] [3] [4] [5] [6] [7]

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
package com.uncle5.pubrub.web.security;
 
import java.net.URLEncoder;
 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
 
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
 
import com.uncle5.pubrub.web.common.CsrfTokenManager;
import com.uncle5.pubrub.web.common.WebUser;
 
public class CsrfInterceptor extends HandlerInterceptorAdapter {
 
     private static final Logger logger = LoggerFactory
             .getLogger(CsrfInterceptor. class );
 
     @Autowired
     WebUser webUser;
 
     @Override
     public boolean preHandle(HttpServletRequest request,
             HttpServletResponse response, Object handler) throws Exception {
 
         if ( "POST" .equalsIgnoreCase(request.getMethod())) {
             String CsrfToken = CsrfTokenManager.getTokenFromRequest(request);
             if (CsrfToken == null
                     || !CsrfToken.equals(request.getSession().getAttribute(
                             CsrfTokenManager.CSRF_TOKEN_FOR_SESSION_ATTR_NAME))) {
                 String reLoginUrl = "/login?backurl="
                         + URLEncoder.encode(getCurrentUrl(request), "utf-8" );
 
                 response.sendRedirect(reLoginUrl);
                 return false ;
             }
         }
 
         return true ;
     }
 
     private String getCurrentUrl(HttpServletRequest request) {
         String currentUrl = request.getRequestURL().toString();
         if (!StringUtils.isEmpty(request.getQueryString())) {
             currentUrl += "?" + request.getQueryString();
         }
 
         return currentUrl;
     }
}

[4].[代码] springMVC 配置文件,增加需要进行拦截的url 跳至 [1] [2] [3] [4] [5] [6] [7]

?
1
2
3
4
5
6
7
8
<!-- 安全拦截用的 -->
     < mvc:interceptors >
         < mvc:interceptor >
             < mvc:mapping path = "/forum/post" />
             < mvc:mapping path = "/forum/reply/*" />
             < bean class = "com.uncle5.pubrub.web.security.CsrfInterceptor" />
         </ mvc:interceptor >       
     </ mvc:interceptors >

[5].[代码] jsp页面,需要注意的是必须使用spring的form标签 跳至 [1] [2] [3] [4] [5] [6] [7]

?
1
2
3
4
5
6
7
8
9
<%@ taglib prefix="form" uri="http://www.springframework.org/tags/form"%>
 
< div style = "margin: 0 auto; border: 1px solid orange; width: 80%; height: 400px;" >
         < form:form action = "/forum/post" method = "post" >
             < span >标题:</ span >< input type = "text" name = "title" id = "title" >
             < textarea name = "content" id = "content" rows = "30" cols = "40" ></ textarea >
             < input type = "submit" name = "submit" value = "submit" >
         </ form:form >
     </ div >

[6].[代码] jsp页面 查看源码会发现已经添加上了hidden字段 跳至 [1] [2] [3] [4] [5] [6] [7]

?
1
2
3
4
5
6
7
8
< div style = "margin: 0 auto; border: 1px solid orange; width: 80%; height: 400px;" >
         < form id = "command" action = "/forum/post" method = "post" >
             < span >标题:</ span >< input type = "text" name = "title" id = "title" >
             < textarea name = "content" id = "content" rows = "30" cols = "40" ></ textarea >          
             < input type = "submit" name = "submit" value = "submit" >
         < input type = "hidden" name = "CSRFToken" value = "35afec82-da7b-449e-9ae9-b38664b5af63" />
</ form >
     </ div >

[7].[代码] 相关原理说明 跳至 [1] [2] [3] [4] [5] [6] [7]

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1 .只有当使用spring的form标签时候,才会在渲染jsp页面时候触发
org.springframework.web.servlet.tags.form.FormTag 类中的
 
@Override
     public int doEndTag() throws JspException {
         RequestDataValueProcessor processor = getRequestContext().getRequestDataValueProcessor();
         ServletRequest request = this .pageContext.getRequest();
         if ((processor != null ) && (request instanceof HttpServletRequest)) {
             writeHiddenFields(processor.getExtraHiddenFields((HttpServletRequest) request));
         }
         this .tagWriter.endTag();
         return EVAL_PAGE;
     }
该方法会调用上文中所说的CsrfRequestDataValueProcessor中的创建隐藏域的方法getExtraHiddenFields来创建csrfToken隐藏域。
 
2 .对相关需要进行防范csrf攻击的post请求地址进行拦截,此处是依赖springMVC中提供的拦截器机制来操作的
<mvc:interceptors>
         <mvc:interceptor>
             <mvc:mapping path= "/forum/post" />
             <mvc:mapping path= "/forum/reply/*" />
             <bean class = "com.uncle5.pubrub.web.security.CsrfInterceptor" />
         </mvc:interceptor>
     </mvc:interceptors>
当用户访问 "/forum/post" 这个请求时候,会直接进入CsrfInterceptor的preHandle方法,此处针对post请求进行了判断,如果从request中获取的csrfToken不存在或者与session中的csrfToken不相匹配,那么可以不进行后续流程,至于返回 404 还是返回到登录页面,就随便作者了。
kenhins
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
再谈Spring MVC中对于CSRF攻击
05-19 2821
Spring MVC应用中实施CSRF御,一般会采用EYAL LUPU的方案,该方案的基本思路是在生成表单时在其中插入一个随机数作为签名,在表单提交后对其中的签名进行验证,根据验证的结果区分该表单是否是经由应用签署的合法表单。如果签名不正确或不存在签名,则说明请求可能已被劫持。 EYAL LUPU方案的巧妙之处在于,通过使用HandlerInterceptorAdapter和Sp
spring security中的csrf御原理(跨域请求伪造)
08-25
在处理这些请求的服务器端,Spring Security会自动检查并验证提交的CSRF Token,如果验证失败,请求会被拒绝,从而CSRF攻击。 总之,Spring Security通过生成和验证CSRF Token,有效地止了跨域请求伪造攻击,...
Spring mvc拦截CSRF攻击
jrn1012的专栏
10-07 1万+
CSRF(具体参考百度百科)       CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请
Spring MVC中的CSRF攻击
Sunny的专栏
08-05 3880
原文地址:http://moon-walker.iteye.com/blog/2397907,https://www.oschina.net/code/snippet_1029551_27153#45401 此文仅作为当时解决此问题记录 CSRF攻击 CSRF攻击全称为:Cross-site request forgery,直接翻译为:跨站请求伪造。直接看名称还是有点难以理解,容易跟XSS攻...
CSRF spring mvc 跨站请求伪造
没事写代码
03-30 6435
CSRF CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
Spring MVCCSRF、XSS和SQL注入攻击
beautiful_life12的专栏
06-26 1016
本文说一下SpringMVC如何CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRFCSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一
网站安全 Spring MVCCSRF、XSS和SQL注入攻击
dhklsl的专栏
11-29 390
本文说一下SpringMVC如何CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRFCSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等 都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似
Spring MVCCSRF和XSS
海浪博客|技术|游戏|生活|随心
05-08 803
本文说一下SpringMVC如何CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRFCSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,
CSRF spring mvc 跨站请求伪造御(转)
weixin_30908941的博客
08-25 85
CSRFCSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比...
csrf 生成java,一种在SpirngMVC3中CSRF攻击的实现
weixin_39593718的博客
03-12 217
关于CSRF是什么东西,请参见我的博文:《浅析CSRF》。本文将给出一种在 SpringMVC3+Velocity 的框架下CSRF攻击的解决方案。主要思想参考 EYAL LUPU[1] 的解决方案,但使用Velocity宏来进行Token值的传递,而不是使用spring form标签。一、方案概要在服务器端生成私有的会话级token,使用Velocity的宏命令在客户端的Form表单中插入这...
spring boot MVC
05-18
Spring Boot MVC 是一个基于Spring框架的高度简化开发的工具,它整合了Spring MVCSpring的核心特性,使得构建Web应用变得更加便捷。在"spring boot 携带token登录,token拦截器,增删改查功能"这个描述中,我们...
spring mvc login demo
03-06
- `springmvc-servlet.xml`:配置Spring MVC的相关组件,如视图解析器、拦截器等。 - `applicationContext.xml`:配置Spring的核心组件,如Bean的定义和数据源。 ### 9. 测试与调试 使用Postman或类似工具模拟POST...
狂神说SpringSecurity静态资源.rar
05-04
SpringSecurity提供了CORS配置,确保只有特定来源的请求能够访问资源,止跨站请求伪造(CSRF攻击。 3. **CSRF护**:SpringSecurity默认开启CSRF护,对于需要用户交互的HTTP方法(如POST、PUT、DELETE),会...
mybatis中的mapper接口文件以及example类的实例函数以及详解
热门推荐
hins
04-08 2万+
##Example example = new ##Example(); example.setOrderByClause("字段名 ASC"); //升序排列,desc为降序排列。 example.setDistinct(false)//去除重复,boolean型,true为选择不重复的记录。 Criteria criteria = new Example().createCriteria();
c3p0、dbcp、tomcat jdbc pool 连接池区别(推荐使用jdbc pool)
hins
04-19 1万+
查看资料,得知dbcp和c3p0都是单线程的,在高并发的环境下性能会非常低下, 决定换用tomcat自带的jdbc-pool,关于jdbc-pool的项目介绍。 区别参考链接:http://www.open-open.com/lib/view/open1329182303124.html class="org.apache.tomcat.dbcp.dbcp.BasicDataS
Gradle编译失败问题汇总
hins
12-17 1万+
去阿里云的maven后台【跳转】参考搜索一下版本所在的仓库,发现是在grails-core仓库下面,所以再添加https://maven.aliyun.com/repository/grails-core仓库配置。Gradle的版本是7.5.1,它绑定的JDK版本是8,但是spring-boot-gradle-plugin:3.0.0要求JDK版本是17以上。所以要把Gradle绑定的JDK版本升级一下。我用的是IDEA自带的Gradle,所以升级方法是在配置里找到Gradle,把JDK改为17。
SpringBoot整合Mybatis 以及 mybatis自动生成代码配置
hins
10-25 1万+
1、springboot的配置文件application.yml #端口 server: port: 8080 #模板页面 #注释的部分是Thymeleaf默认的配置,如有其它需求可以自行更改 spring: thymeleaf: cache: false prefix: classpath:/templates/ suffix: .
get方式的请求存在CSRF攻击
最新发布
05-25
GET方式的请求也存在CSRF攻击的风险。CSRF攻击是一种利用受害者已经登录的身份来执行非法操作的攻击方式。攻击者可以通过诱骗受害者点击恶意链接或者访问恶意网页来发起CSRF攻击。如果这个请求是GET方式的,那么攻击者可以构造一个包含恶意请求参数的URL,然后诱导受害者点击该链接,就能够成功执行攻击。 因此,为了CSRF攻击,我们需要在Web应用程序中采取一些措施,例如使用CSRF Token、验证码验证、Referer验证等。这些措施可以有效地减少CSRF攻击的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值