CSRF spring mvc 跨站请求伪造防御,使用详解--基于上篇文章

最新推荐文章于 2024-06-19 16:46:58 发布
最新推荐文章于 2024-06-19 16:46:58 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: spring 文章标签: spring mvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010981786/article/details/51028424
版权

配置Spring MVC XML

<mvc:interceptors>   
        <mvc:interceptor>  
            <mvc:mapping path="/**"/> 
            <!-- 定义在mvc:interceptor下面的表示是对特定的请求才进行拦截的 -->  
           <bean class="com.dimeng.abilitys.interceptor.AvoidCSRFInterceptor"/>  
        </mvc:interceptor>  
    </mvc:interceptors>

场景:
1.页面中的Form表单提交,提交后刷新页面

jsp 页面

<form action="update.do" method="">
    <input type="hidden" name="CSRFToken" value="${CSRFToken }"></input>
</form>
配置controller注解

    /**
     * 
     * <功能详细描述>
     */
    @RequestMapping(value = "/update.do")
    @VerifyCSRFToken(verifyCSRFToken=true)
    public ModelAndView update(String id, HttpServletRequest request,
        HttpServletResponse response)
    {
        //业务处理
        return new ModelAndView("home");
    }

2.从后台获取的form表单弹出框
如:

点击按钮,异步请求页面后渲染到页面中

<input type="button" value="新增用户" />
<script>
...
Ajax.get("getUpdateForm.do")//不做具体实现
</script>

getUpdateForm.jsp

<form action="update.do" method="" id="updateForm">

</form>
<script>
    //将CSRFToken放入form表单中,
    var csrfToken = $("input[name='CSRFToken']").val();
    var _input = Document.createElementByName("input");
    _input.name="CSRFToken";_input.val="csrfToken";
    $("#updateForm").append(_input );
</script>

配置Controller注解

    /**
     * 
     * <功能详细描述>
     */
    @RequestMapping(value = "/getUpdateForm.do")
    public ModelAndView getUpdateForm(HttpServletRequest request,
        HttpServletResponse response)
    {
        return new ModelAndView("getUpdateForm.jsp");
    }

3.超链接请求页面是需要改变token的情况
如:

<a href="xxx.do"/>
window.loaction.href="xxx.do";...

配置Controller注解

    /**
     * 
     * <功能详细描述>
     */
    @RequestMapping(value = "/xxx.do")
    @RefreshCSRFToken(refreshCSRFToken=true)
    public ModelAndView xxx(HttpServletRequest request,
        HttpServletResponse response)
    {
        return new ModelAndView("home.jsp");
    }

home.jsp中需还有

<input type="hidden" name="CSRFToken" value="${CSRFToken }"></input>

4.ajax请求,使用之前定义好的ajax,如:company.ajax

company.ajax(
{
    url:xxx.do,
    success:callback
});

配置Controller注解

    /**
     * 
     * <功能详细描述>
     */
    @RequestMapping(value = "/xxx.do")
    @VerifyCSRFToken(verifyCSRFToken=true)
    public Object xxx(HttpServletRequest request,
        HttpServletResponse response)
    {
        //业务处理
        return JSONObject;
    }
爪哇挖掘人
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security中的csrf防御原理(请求伪造)
08-25
CSRF(Cross-Site Request Forgery,请求伪造)是一种网络攻击手段,攻击者利用受害者的身份在受害者的浏览器中发起对特定网站的非预期操作。这种攻击方式通常发生在用户已经登录某个受信任的网站之后,攻击者...
CSRF spring mvc 跨站请求伪造防御
没事写代码
03-30 6435
CSRF CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
Spring Security实战(七)—— 请求伪造的防护及单点登录
weixin_49561506的博客
04-24 612
Spring Security之请求伪造的防护,以及单点登录,CAS
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie和跨站请求伪造
最新发布
qq_43613949的博客
06-19 660
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie和跨站请求伪造@
Spring mvc拦截器防御CSRF攻击
热门推荐
jrn1012的专栏
10-07 1万+
CSRF(具体参考百度百科)       CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请
SpringSecurity------CSRF跨站请求伪造(三)
豢龙先生
12-07 669
SpringSecurity------Protection Against Exploits(二)一、Cross Site Request Forgery (CSRF)二、Security HTTP Response Headers Spring Security provides protection(保护) against common exploits(漏洞). Whenever possible, the protection is enabled by default. 一、Cross Site
跨站请求伪造CSRF攻击)漏洞原理和解决指南
日拱一卒无有尽,功不唐捐终入海
12-15 9186
跨站请求伪造CSRF)是一种常见的Web安全漏洞,攻击者利用该漏洞可以以被攻击用户的身份执行未经授权的操作。下面是CSRF攻击的原理:1. 用户登录网站:用户在一个网站上登录,并获取了有效的会话凭证(如Cookie)。2. 攻击者准备攻击页面:攻击者准备一个恶意网页,该网页会在用户浏览器中加载并执行。3. 用户访问恶意网页:用户在登录网站后,访问了攻击者准备的恶意网页,该网页中包含了攻击者构造的恶意请求
spring-5.3.9-docs.zip
01-07
5.3.9版本中,它加强了对OAuth2、JWT(JSON Web Tokens)的支持,增强了跨站请求伪造CSRF)防护,确保应用安全。 8. **测试支持** Spring Test模块提供了集成测试的工具,5.3.9版本对Mockito等测试库的集成更加...
spring框架,技术详解使用指导.pdf.zip
03-04
8. **Spring Security**:这是一个强大的安全框架,用于保护Spring应用免受各种安全威胁,包括身份验证、授权、CSRF跨站请求伪造)防护等。 9. **Spring Batch**:用于处理批量处理任务的模块,提供了一套全面的...
spring-blazeds-reference.rar_blazeds-bin-4._flex
09-23
同时,Flex应用也应该有适当的客户端安全措施,如防止跨站脚本攻击(XSS)和跨站请求伪造CSRF)。 8. 性能优化 为了提高系统性能,可以采用缓存策略,例如使用Spring的Cache Abstraction来缓存频繁查询的结果。...
Spring官方提供【CSRF攻击】解决方案
qq_35040959的博客
01-16 1643
·Spring官方提供【CSRF攻击】解决方案
Spring MVC中的CSRF攻击防御
Sunny的专栏
08-05 3880
原文地址:http://moon-walker.iteye.com/blog/2397907,https://www.oschina.net/code/snippet_1029551_27153#45401 此文仅作为当时解决此问题记录 CSRF攻击 CSRF攻击全称为:Cross-site request forgery,直接翻译为:跨站请求伪造。直接看名称还是有点难以理解,容易跟XSS攻...
spring mvc中实现csrf安全防御简记
nizen的专栏
08-06 1万+
1.csrf是什么 csrf全称是Cross-site request forgery,http://en.wikipedia.org/wiki/Csrf 危害:使受害用户在不经意间执行了不是用户意愿的请求。最终导致泄密和执行了其他高危害操作。 2.一般防御做法 防御基本原理:本质上是做好用户数据提交的完整性,保证用户提交的内容是用户发起的非篡改过的请求。 通常做法是,在用户在访问页面的
Spring MVC防御CSRF、XSS和SQL注入攻击
CHIKA2333的博客
07-30 775
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
Spring MVC(2)-域、CORS、XSS、 CSFR
ALONG的博客
04-17 759
另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该请求。因此,实现CORS通信的关键是服务器。实现将检查给定request和handler的 CORS 配置信息,随后,将会直接处理预检请求,同时拦截、验证简单和实际 CORS 请求,并设置所需的(配置的)CORS响应头信息。
Spring MVC防御CSRF和XSS
sauzny的博客
10-18 273
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRFCSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事...
Spring MVC中防止csrf攻击的拦截器示例
qq_40754259的博客
05-30 2906
package com.hikvision.cms.pms.base; import java.util.HashSet; import java.util.Set; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.co...
java拦截csrf攻击,在SpringMVC使用拦截器(interceptor)拦截CSRF攻击
weixin_36039452的博客
03-22 635
(1)登录页面:从上面的代码可知,为了防止CSRF攻击,因此在form表单里添加了一个隐藏字段“_csrf”,其值是生成的一个随机小数(2)在SpringMVC的配置文件中添加拦截器:从上面的代码知道,在这个文件中添加了一个mvc:interceptors 标签,表示一系列的拦截器集合,然后下面定义了对登录时form表单提交地址“/check.html”进行拦截。下面一行的bean属性就是定义了...
如何防御csrf跨站请求伪造
02-17
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web应用程序安全漏洞,攻击者利用此漏洞在未经授权的情况下对用户进行身份验证和提交表单等操作。 以下是防御CSRF攻击的一些常见措施: 1. 随机化Token:应用程序可以在表单中嵌入一个随机的令牌(Token),这个Token的值是动态生成的,每次请求时都会不同,这样攻击者就无法通过构造一个伪造的表单来通过验证。 2. 检查Referer:在服务器端进行验证,检查HTTP请求的Referer头部信息,以确保请求是来自正确的来源。但是,这种方法也有其限制,因为一些浏览器和代理服务器不会发送Referer头部信息。 3. Cookie设置:限制cookie的访问,以确保cookie不能在不同的域名或子域名下被访问。例如,可以使用HttpOnly标志禁止JavaScript访问cookie,或使用SameSite标志限制cookie只能由同一站点请求使用。 4. 双重确认:对于关键操作(例如修改密码或删除帐户),可以要求用户在执行操作前进行额外的确认,例如输入密码或提供双重身份验证(如OTP)。 5. 输入验证:应用程序应该对输入进行验证和过滤,以防止攻击者利用恶意数据进行攻击。例如,应该限制输入长度、验证输入格式,过滤特殊字符等。 这些措施并不是绝对的,但是它们可以帮助减少CSRF攻击的风险。在开发应用程序时,还应该遵循其他安全最佳实践,如避免使用不安全的库、保持应用程序的软件和系统更新、监视应用程序日志等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值