CSRF spring mvc 跨站请求伪造防御

最新推荐文章于 2024-05-03 18:11:06 发布
最新推荐文章于 2024-05-03 18:11:06 发布
阅读量6.4k 收藏 10
点赞数 3
分类专栏: spring 文章标签: spring mvc csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010981786/article/details/51012782
版权

CSRF
CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

攻击示例
如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,并将此链接作为图片src。如果Bob的银行在cookie中保存他的授权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了这次事务。
CSRF是一种依赖web浏览器的、被混淆过的代理人攻击(deputy attack)。在上面银行示例中的代理人是Bob的web浏览器,它被混淆后误将Bob的授权直接交给了Alice使用。
下面是CSRF的常见特性:
依靠用户标识危害网站
利用网站对用户标识的信任
欺骗用户的浏览器发送HTTP请求给目标站点
另外可以通过IMG标签会触发一个GET请求,可以利用它来实现CSRF攻击。

spring mvc 框架下防御策略

思路概要:
1.初始化页面时在token隐藏域。
2.表单提交后带入token到后台,验证token,如成功继续操否为受到攻击。
3.操作完之后重新生成token到页面隐藏域。
代码示例:
创建拦截器:

/**
 * <一句话功能简述>
 * <功能详细描述>
 * 防止跨站请求伪造拦截器
 * 为每个返回的页面添加CSRFToken参数
 * @author  Tangguilin
 * @version  [版本号, 2016年3月26日]
 */
public class AvoidCSRFInterceptor extends HandlerInterceptorAdapter
{
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
        throws Exception
    {
        String url = request.getRequestURI();
        if (!url.endsWith(".do"))
        {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod)handler;
        Method method = handlerMethod.getMethod();
        VerifyCSRFToken annotation = method.getAnnotation(VerifyCSRFToken.class);
        if (annotation != null)
        {
            String xrq = request.getHeader("X-Requested-With");//是否为Ajax标志
            //非法的跨站请求校验
            if (annotation.verifyCSRFToken() && !verifyCSRFToken(request))
            {
                if (StringUtil.isEmpty(xrq))
                {
                    //form表单提交,url get方式,刷新csrftoken并跳转提示页面
                    request.getSession(false).setAttribute("CSRFToken",
                        TokenProcessor.getInstance().generateToken(request));
                    response.setContentType("application/json;charset=UTF-8");
                    PrintWriter out = response.getWriter();
                    out.print("非法请求");
                    response.flushBuffer();
                    return false;
                }
                else
                {
                    //刷新CSRFToken,返回错误码,用于ajax处理,可自定义
                    BaseDataResp baseResp = new BaseDataResp();
                    String csrftoken = TokenProcessor.getInstance().generateToken(request);
                    request.getSession(false).setAttribute("CSRFToken", csrftoken); 
                    baseResp.setCode(IDiMengResultCode.SystemManager.CSRF);
                    response.setContentType("application/json;charset=UTF-8");
                    PrintWriter out = response.getWriter();
                    out.print(baseResp.toString());
                    response.flushBuffer();
                    return false;
                }
            }

        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
        ModelAndView modelAndView)
            throws Exception
    {

        String url = request.getRequestURI();
        if (!url.endsWith(".do"))
        {
            return;
        }

        //第一次生成token
        if (modelAndView != null)
        {
            if (request.getSession(false) == null
                || StringUtil.isEmpty((String)request.getSession(false).getAttribute("CSRFToken")))
            {
                request.getSession(false).setAttribute("CSRFToken",
                    TokenProcessor.getInstance().generateToken(request));
                return;
            }
        }
        //刷新token
        HandlerMethod handlerMethod = (HandlerMethod)handler;
        Method method = handlerMethod.getMethod();
        RefreshCSRFToken refreshAnnotation = method.getAnnotation(RefreshCSRFToken.class);
        String xrq = request.getHeader("X-Requested-With");//是否为Ajax标志
        if (refreshAnnotation != null && refreshAnnotation.refreshCSRFToken() && StringUtil.isEmpty(xrq))
        {
            request.getSession(false).setAttribute("CSRFToken", TokenProcessor.getInstance().generateToken(request));
            return;
        }
        VerifyCSRFToken verifyAnnotation = method.getAnnotation(VerifyCSRFToken.class);
        if (verifyAnnotation != null)
        {
            //成功后刷新token
            if (verifyAnnotation.verifyCSRFToken())
            {
                if (StringUtil.isEmpty(xrq))
                {
                    request.getSession(false).setAttribute("CSRFToken",
                        TokenProcessor.getInstance().generateToken(request));
                }
                else
                {
                    Map<String, String> map = new HashMap<String, String>();
                    map.put("CSRFToken", TokenProcessor.getInstance().generateToken(request));
                    response.setContentType("application/json;charset=UTF-8");
                    OutputStream out = response.getOutputStream();
                    out.write((",'csrf':" + JSONObject.toJSONString(map) + "}").getBytes("UTF-8"));
                }
            }
        }
    }

    /** <一句话功能简述>
     * 处理跨站请求伪造
     * 针对需要登录后才能处理的请求,验证CSRFToken校验
     * @author  tangguilin
     * @param request
     */
    protected boolean verifyCSRFToken(HttpServletRequest request)
    {
        String requstCSRFToken = request.getHeader("CSRFToken");//请求中的CSRFToken
        if (StringUtil.isEmpty(requstCSRFToken))
        {
            return false;
        }
        String sessionCSRFToken = (String)request.getSession().getAttribute("CSRFToken");
        if (StringUtil.isEmpty(sessionCSRFToken))
        {
            return false;
        }
        return requstCSRFToken.equals(sessionCSRFToken);
    }
}

注解类:

/**
 * 跨站请求仿照注解
 * 刷新CSRFToken
 * @author  Tangguilin
 * @version  [版本号, 2016年3月28日]
 */
@Target({java.lang.annotation.ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RefreshCSRFToken
{
    /** 
     * 刷新CSRFToken
     * @author tangguilin
     * @return
     */
    public abstract boolean refreshCSRFToken();
}

/**
 * 跨站请求仿照注解
 * 
 * @author  Tangguilin
 * @version  [版本号, 2016年3月28日]
 */
@Target({java.lang.annotation.ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface VerifyCSRFToken
{
    /** 
     * 需要验证防跨站请求
     * @author tangguilin
     * @return
     */
    public abstract boolean verifyCSRFToken();

}

配置拦截:

   <mvc:interceptors>   
        <mvc:interceptor>  
            <mvc:mapping path="/**"/> 
            <!-- 定义在mvc:interceptor下面的表示是对特定的请求才进行拦截的 -->  
           <bean class="com.front.interceptor.AvoidCSRFInterceptor"/>  
        </mvc:interceptor>  
    </mvc:interceptors>

在jsp页面中添加隐藏域

 <input type="hidden" name="CSRFToken" value="${CSRFToken }"></input>

修改公用Ajax

 ajax: function(options) {
            var datas = null;
            if (options["isAjaxForm"]) {
                $("#" + options["formId"]).submit();
            } else {
                if (options["serialize"]) {
                    if (options["formId"]) {
                        datas = $("#" + options["formId"]).serialize();
                    } else {
                        datas = $(document.forms[0]).serialize();
                    }
                }
                var defaultOptions = {
                    type: "post",
                    async: false,
                    data: datas
                };
                options = $.extend(defaultOptions, options);
                var path="";
                if(options["url"].indexOf(basePath)==-1){
                    path=basePath;
                }
                var headers = {};
                headers['CSRFToken'] = $("input[name='CSRFToken']").val();
                $.ajax({
                    type: options["type"],
                    headers: headers,
                    async: options["async"],
                    dataType: options["dataType"],
                    url: path + options["url"],
                    data: options["data"],
                    success: function(data) {
                        //登录超时刷新页面后跳转首页
                        if("2000062"==data.code){
                            window.location.reload();
                        }
                        //处理跨站请求伪造
                        if("666666" == data.code){
                            if(Dialog){
                                Dialog.show("操作失败,请刷新页面重试","error");
                            }else{
                                alert("操作失败,请刷新页面重试");
                            }
                            return false;
                        }
                        if (typeof(options["success"]) == "function") {
                            options["success"](data);
                        }
                    },
                    error: function(data) {
                        //CSRFToken处理
                        if(data && data.readyState && data.readyState == '4'){
                            var responseBody = data.responseText;
                            if(responseBody){
                                responseBody = "{'retData':"+responseBody;
                                var resJson = eval('(' + responseBody + ')');
                                $("input[name='CSRFToken']").val(resJson.csrf.CSRFToken);
                                if (typeof(options["success"]) == "function") {
                                    options["success"](resJson.retData);
                                }
                            }
                            return ;
                        }
                        //登录超时跳转登录页
                        /*if(data.responseText){
                             window.location.reload();//刷新当前页面.
                            return;
                        }*/
                        if (typeof(options["error"]) == "function") {
                            options["error"](data);
                        }else{
                            alert("请求地址:"+options["url"]+"  出现异常!请联系管理员!");
                        }

                    }
                });
            }
        }

使用场景
为需要防御的Controller加上@VerifyCSRFToken(verifyCSRFToken = true)注解

@RefreshCSRFToken(refreshCSRFToken=true):如新打开的页面,弹出框体需要CSRFToken时使用

爪哇挖掘人
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
csrf漏洞防御方案_SpringSecurity框架下实现CSRF跨站攻击防御
weixin_39867296的博客
12-21 247
一、什么是CSRF很多朋友在学习Spring Security的时候,会将CORS(跨站资源共享)和CSRF(跨站请求伪造)弄混,以为二者是一回事。其实不是,先解释一下:CORS(跨站资源共享)是局部打破同源策略的限制,使在一定规则下HTTP请求可以突破浏览器限制,实现跨站访问。CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。当我们使用Spring Secu...
Spring入门(5)-SpringMVC中的拦截器和异常如何处理
孤独的狂欢
08-18 448
文章目录1. 拦截器1.先要实现自定义的拦截器并进行配置2. SpringMVC的异常1. 先要创建一个自定义的异常类2. 异常处理器的编写和配置3. 最后编写一个错误的页面,进行返回值的接收; 1. 拦截器 概念:Springmvc中的拦截器,类似于Servlet中的过滤器Filter,用于对处理器进行预处理和后处理; 拦截器里面可以写很多的操作,比如重定向,请求转发等; 1.先要实现自定义的拦截器并进行配置 在SpringMVC.xml中的配置: <!--对拦截器进行配置-->
松哥手把手教你在 SpringBoot 中防御 CSRF 攻击!so easy!
最新发布
2401_84103250的博客
05-03 765
CSRF 就是跨域请求伪造,英文全称是 Cross Site Request Forgery。这是一种非常常见的 Web 攻击方式,其实是很好防御的,但是由于经常被很多开发者忽略,进而导致很多网站实际上都存在 CSRF 攻击的安全隐患。今天松哥就来和大家聊一聊什么是 CSRF 攻击以及 CSRF 攻击该如何防御
Spring Securtity (九)会话固定攻击跨站请求伪造
weixin_43189971的博客
07-20 719
1.会话固定攻击概念 2.跨站请求伪造概念 2.1.csrf令牌 2.2.js在其中做了什么
2022-09-07 请求头referer拦截器防止csrf攻击
Young的博客
09-07 1814
工作中用到的对csrf攻击的简单防范方法
CSRF跨站请求伪造 漏洞修复
HelloKittyTom的博客
08-25 1033
CSRF跨站请求伪造 漏洞修复 CSRF: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 修复思想: 可以在前端修复也可以在后端修复,一般前端和后端
spring security中的csrf防御原理(跨域请求伪造)
08-25
Spring Security 的 CSRF 防御配置通常是在Spring MVC的配置中进行的。在`spring-servlet.xml`或对应的配置文件中,你需要添加一个CSRF拦截器,例如: ```xml <!-- Spring CSRF 拦截器 --> <mvc:interceptors> ...
spring mvc 登陆验证
07-14
为了增强安全性,还需要考虑跨站请求伪造CSRF攻击的防护。Spring Security默认提供了CSRF保护,可以通过配置关闭或启用。 综上所述,Spring MVC的登录验证涉及了Web应用的多个层面,包括视图设计、Controller...
基于 _Excel_ 的web的报表项目,使用spring mvc
07-11
4. **Spring Security**:Spring Security是一个强大的安全框架,用于保护Web应用免受攻击,如未经授权的访问、XSS(跨站脚本)和CSRF跨站请求伪造)。在这个项目中,Spring Security可能被用来确保只有经过身份...
Spring mvc简单的登陆注册功能
05-03
登录和注册功能需要考虑的安全问题包括但不限于:密码加密存储,防止SQL注入,XSS攻击防护,CSRF跨站请求伪造防御,以及合适的错误消息展示,避免泄露敏感信息。 7. **异常处理**: 使用Spring MVC的异常...
spring boot xss防御
11-05
- 使用HTTPOnly Cookie:设置Cookie的HttpOnly属性,阻止JavaScript访问Cookie,减少CSRF跨站请求伪造)和XSS的结合攻击。 - 启用Content Security Policy (CSP):通过配置CSP头部,限制浏览器只能加载指定来源...
Spring Security实战(七)—— 跨域请求伪造的防护及单点登录
weixin_49561506的博客
04-24 607
Spring Security之跨域请求伪造的防护,以及单点登录,CAS
Spring MVC防御CSRF、XSS和SQL注入攻击
CHIKA2333的博客
07-30 770
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
CSRF跨站请求伪造
分享学习网络的点点滴滴
08-26 257
与XSS经常混淆从信任的角度来区分XSS:利用用户对站点的信任CSRF:利用站点对已经身份认证的信任结合社工在身份认证会话过程中实现攻击修改账号密码、个人信息(email、收货地址)发送伪造的业务请求(网银、购物、投票)关注他人社交账号、推送博文在用户非自愿、不知情的情况下提交请求。...
web基础漏洞之CSRF跨站请求伪造漏洞)
m0_62274649的博客
10-04 1273
一些自己的小总结,有待完善
跨站请求伪造CSRF
whoim_i的博客
11-24 4804
目录原理解释CSRF分类GET型POST型CSRF漏洞挖掘使用burpsuite快速生成CSRF poc防御手段 原理解释 画个丑图来解释一波 1、 用户输入账号信息请求登录A网站。 2、 A网站验证用户信息,通过验证后返回给用户一个cookie 3、 在未退出网站A之前,在同一浏览器中请求了黑客构造的恶意网站B 4、 B网站收到用户请求后返回攻击性代码,构造访问A网站的语句 5、 浏览器收到攻...
CSRF(跨站请求伪造)漏洞
weixin_50464560的博客
08-25 1292
CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 漏洞危害 修改用户信息,修改密码,以你的名义发送邮件、发消息、盗取你的账号等 攻击条件 用户已登录存在CSRF漏洞的网站 用户需要被诱导打开攻击者构造的恶意网站 攻击过程 .
使用java方式处理跨站请求伪造(CSRF)
weixin_43977799的博客
09-17 6232
什么是CSRF 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任...
Spring MVC 4入门指南:实战构建企业级Web应用
6. 保护应用:涉及安全措施,如认证、授权和防止跨站请求伪造CSRF)等。 7. 单元测试与验收测试:如何有效地对Spring MVC应用进行测试,确保代码质量。 8. 优化请求:探讨性能优化策略,包括缓存、序列化和异步...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值