过滤器Filter解决跨站点伪造问题

最新推荐文章于 2023-06-02 23:58:05 发布
最新推荐文章于 2023-06-02 23:58:05 发布
阅读量288 收藏
点赞数
分类专栏: java filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010574271/article/details/109517430
版权
java 同时被 2 个专栏收录
21 篇文章 0 订阅
订阅专栏
filter
2 篇文章 0 订阅
订阅专栏

跨站点伪造的形成原理

跨站点伪造的基本原理是客户登陆正确网站后,在同一个浏览器访问危险网站,危险网站窃取客户的cookie后携带该cookie信息访问正确网站,从而获得相应信息,结构如下图
在这里插入图片描述

利用过滤器解决跨站点伪造

在请求的报文头中,通常都有一个referer,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的
我们可以在过滤器中判断请求的referer开头是否与项目配置的请求开头有匹配的,从而过滤掉不被允许访问的来源。具体代码如下

@WebFilter(urlPatterns = "/*", filterName = "csrfFilter")
public class CSRFFilter implements Filter {
    private String[] verifyReferer = null;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Properties properties = new Properties();
        InputStream in = CSRFFilter.class.getClassLoader().getResourceAsStream("application.properties");
        try {
            properties.load(in);
        } catch (IOException e) {
            e.printStackTrace();
        }
        final String referer = properties.getProperty("csrf.urls");
        this.verifyReferer = referer.split(",");

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest)request;
        HttpServletResponse resp = (HttpServletResponse)response;
        PrintWriter writer = null;
        boolean rflag = false;
        String referer = req.getHeader("referer");
        for(String vReferer:verifyReferer) {
            if(referer==null||referer.trim().startsWith(vReferer)) {
                rflag=true;
                break;
            }
        }
        if(!rflag) {
            System.out.println("跨站点请求伪造!!!");
            response.setCharacterEncoding("GBK");
            writer = response.getWriter();
            writer.print("跨站点请求伪造!!!");
        }

        chain.doFilter(req,resp);
    }

    @Override
    public void destroy() {

    }
}

我们在配置文件application.properties中配置允许访问来源开头,以“,”隔开如下

csrf.urls="http://10.192.168.15,http://www.wangwen12345.com"

此时,如果请求来源为http://10.192.168.15,http://www.wangwen12345.com开头的才能访问,其他网站访问则不行
如果有多个过滤器,可以使用@Order(1)加入每个Filter类开头,用来区分Filter执行顺序,值越小优先级越高

另外注意,配置文件里要配置本网站地址开头

前进道路上的程序猿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一个比较好用的CSRF请求伪造工具类
孔方子的博客
02-25 675
前言描述:最近项目里,安全测试组发现通过SQL注入可以轻松登录后台管理系统,于是就加了个CSRF请求伪造功能,防止被恶意登录。 以下是代码部分: package com.faw.***.common.xss; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; ...
spring boot实战之CSRF(请求伪造
思与学的博客
10-06 2万+
CSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片
Java xss攻击拦截,Java CSRF站点伪造请求拦截
蕃薯耀的博客
05-07 457
Java xss攻击拦截,Java CSRF站点伪造请求拦截 ================================ ©Copyright 蕃薯耀2021-05-07 https://blog.csdn.net/w995223851 一、Java xss攻击拦截 XssFilter过滤器 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain;...
站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5597
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
CSRF Token ‘null‘ 报错解决方案
gejiangbo222的专栏
12-04 1189
Spring Security CSRF,默认是开启。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。 2.配置控制 当然,也可以将excluded配置为/*来规避所有url,达到和关闭一样的效果。
Tomcat 中的站点请求伪造防护过滤器
allway2的博客
07-25 951
由于对此处配置的URL的访问将是免费的(入口点URL将不受CSFR过滤器的保护),因此这些URL不执行任何安全关键操作非常重要。如果毫无戒心的用户使用此URL加载恶意网页,同时用户具有与www.mybank.com网站的活动会话,则此图像标签将能够在用户不知情的情况下从用户帐户中转移资金。如果您使用CSRF预防过滤器,则必须通过单击连接页面的链接来访问所有页面,从入口点页面开始——您不能只在浏览器中键入URL,因为您没有所需的随机数来传回到服务器!,并且也存储在会话中。...
如何解决站点请求伪造
热门推荐
沉底的石头
11-21 3万+
IBM appscan扫描漏洞--站点请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie  的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 cookie  的“同源策
CSRF请求伪造漏洞修复
折腾java的博客
06-09 3143
请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
有关form表单、cookie、session、filter过滤器
qq_42540547的博客
06-24 891
HTML(超文本标记语言,HyperText Markup Language): 标准通用标记语言下的一个应用。 "超文本"就是指页面内可以包含图片、链接,甚至音乐、程序等非文字元素。 超文本标记语言的结构包括"头"部分(Head)、和"主体"部分(Body),其中"头"部提供关于网页的信息,"主体"部分提供网页的具体内容。 (一般只要以ML结尾的东西,都叫标记性语言。如XML,HTML这样的东西...
javaweb过滤器的作用是什么
05-17
5. 防止站点攻击:过滤器可以对请求进行过滤,防止站点攻击(XSS)和站点请求伪造(CSRF)等安全问题。 总之,过滤器是JavaWeb应用程序中非常重要的组件,它可以对请求和响应进行拦截和修改,实现各种功能和解决...
请求伪造(CSRF)攻击原理及预防手段
最新发布
慢慢
06-02 5686
随机化Token(CSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
web项目配置防止站点请求(XSS攻击)的过滤器
master_02的博客
11-23 1576
一、Microsoft Windows MHTML (XSS)站点脚本编制漏洞描述 XSS(Cross Site Scripting),即站脚本攻击,是一种常见于web项目中的计算机安全漏洞。 1、严重性:中危。 2、风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务。 3、原因:未对用户输入正确执行危险...
加入过滤器,防站点请求伪造
kwmnitw的博客
05-17 1509
--------------------------Config---------------- @Configuration public class XssConfig{ @Value("${cofigFilter}")     private String cofigFilter; @Bean     public FilterRegistrationBean xssFilterRegi...
站点请求伪造 CSRF攻击
ChenJZ_8的博客
08-30 1065
安全测评测出一下问题: 以下是我的代码解决方案: 1、写好一个类,给它命名为CSRFilter.java package com.xr.modules.sys.utils; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.ser...
Http站点请求伪造解决方案
程序猿开发日志【学习永无止境】
08-01 9250
1.站点请求伪造 首先,什么是站点请求伪造站点请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。 说的白话一点就是,别的站点伪造你的请求,最可怕的是你还没有察觉并且接收了。听起来确实比较危险,下面有个经典的实例,了解一下站点请求伪造到底是怎么是实现的,知己知彼。 受害者:Bob 黑客:Mal 银行:bank bob在银行
请求伪造解决办法之——过滤referer
weixin_34362991的博客
04-06 3849
 当然,referer也是可以伪造的,Http请求本身就没有不能伪造的东西。 所以本方法只能在一定程度上防止非法请求,仅供参考。   项目的web.xml中增加过滤器: &lt;filter&gt; &lt;filter-name&gt;RefererFilter&lt;/filter-name&gt; &lt;filter-class&gt...
flask中的csrf防御机制
FreeSpider
07-17 2065
csrf概念 CSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
你真的了解Filter过滤器 ?
。。。。
04-23 2013
1.Filter 什么是过滤器 其中最重要的就是filter功能.它使用户可以改变一个request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够在一个request到达servlet之前预处理request,也可以在response离开servlet时处理response.换种说法,filter其实是一个“servlet chaini...
IBM Security Appscan漏洞--站点请求伪造
YouXu
03-16 7784
漏洞介绍: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值