java网页程序采用 spring 防止 csrf 攻击.

最新推荐文章于 2024-04-04 17:39:33 发布
最新推荐文章于 2024-04-04 17:39:33 发布
阅读量611 收藏
点赞数
文章标签: csrf拦截 java 
package com.github.elizabetht.controller;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

public class CsrfIntercepter implements HandlerInterceptor {

    public  static final String CSRFNUMBER = "csrftoken";
    public boolean preHandle(HttpServletRequest request,HttpServletResponse response, Object handler) throws Exception {

        String keyFromRequestParam = (String) request.getParameter(CSRFNUMBER);
        String keyFromCookies="";
        boolean result=false;
        Cookie[] cookies = request.getCookies();
        if(cookies!=null){
            for (int i = 0; i < cookies.length; i++) {
                String name = cookies[i].getName();
                if(CSRFNUMBER.equals(name) ) {
                    keyFromCookies= cookies[i].getValue();
                }
            }
        }

        if((keyFromRequestParam!=null && keyFromRequestParam.length()>0 &&
                keyFromRequestParam.equals(keyFromCookies) &&
                keyFromRequestParam.equals((String)request.getSession().getAttribute(CSRFNUMBER)))) {
            result=true;
        }else{
            request.getRequestDispatcher("/error/400").forward(request, response);
        }

        return result;
    }

    public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1,
                                Object arg2, Exception arg3) throws Exception {

    }

    public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1,
                           Object arg2, ModelAndView arg3) throws Exception {

    }
追不上老鼠的猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于JSP的Java Web项目的CSRF防御示例
oscar999的专栏
01-07 895
本篇使用 JSP+Servlet 演示一个最简单CSRF的攻防示例。
Java-如何防范CSRF攻击
了解➔熟悉➔掌握➔精通
01-02 4113
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造,也被称为:one click attack / session riding,缩写为:CSRF/XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。 XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的
java拦截csrf攻击_spring security 防CSRF攻击
weixin_30861557的博客
02-27 549
一.介绍:CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。为了防止跨站提交攻击,通常会配置csrfSpring Security 为了防止跨站提交攻击提供了CSRF保护功能,该功能在Spring Security 3时就已经存在,默认是...
java csrf_Java解决CSRF问题
weixin_42512246的博客
02-12 1336
CSRF是什么?CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF可以做什么?你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账....
Java解决CSRF问题
weixin_33796205的博客
04-29 1827
2019独角兽企业重金招聘Python工程师标准>>> ...
java怎么防止web攻击_整理关于web项目如何防止CSRF和XSS攻击的方法
weixin_33691489的博客
02-27 491
1 了解CSRF的定义CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSR...
java防止csrf攻击_java网页程序采用 spring 防止 csrf 攻击.
weixin_42571444的博客
02-13 446
经常开发银行的应用,在安全性方面要求比较高,在安全性保护方面,csrf 攻击是必须测试的项目之一,关于什么是 csrf 攻击,我不想多做解释,网上已经介绍够多了,可以参看 IBM Developer works 的文章 http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ 这篇文章介绍了 csrf 的危害和一般解决办法,在实际开发...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
[课堂课件讲解]Java微服务实践-Spring Boot 安全.pptx
08-27
1. XSS 跨站脚本攻击:一种网站应用程序安全漏洞攻击攻击者可以将恶意代码注入到网页上,使用户受到影响。 2. CSP Content Security Policy:一种安全机制,用于防止 XSS 攻击。 3. X-Frame-Options:一种安全机制...
application-sexurity.zip_java security_spring security
09-24
3. **会话管理**:Spring Security可以通过配置控制会话超时、会话固定化等,防止会话劫持和CSRF攻击。 4. **授权**:Spring Security支持基于角色的访问控制(RBAC),通过`AccessDecisionManager`和`...
spring security中的csrf防御原理(跨域请求伪造)
08-25
Spring Security 是一个强大的安全框架,它提供了防止CSRF攻击的机制。在Spring Security中,CSRF防御主要依赖于生成和验证一个称为CSRF Token的随机值。这个令牌在用户会话开始时生成,并存储在用户的会话和HTTP...
防止CSRF攻击.txt
11-06
1. Hello World 2. 介绍 3. 关于认证技术 3.1 Cookies Hashing 3.2 HTTP来路 3.3 验证码 4. 一次性令牌 5. 最后的话
Java Spring Boot面试题
09-30
CSRF 攻击攻击者盗用用户的身份,Spring Boot 中可以使用 CSRF token 来防止 CSRF 攻击。 监视器 Spring Boot 中的监视器是通过 Actuator 端点来实现的,Actuator 端点提供了应用程序的监视和管理功能。Spring ...
Java的Cookie和Session配合解决会话管理问题
最新发布
m0_74293254的博客
04-04 717
HttpSession是一种在服务器端保留更多信息的技术,它为每个客户端(浏览器)在服务器端创建一个唯一的session对象,用于跟踪客户端的状态信息。3、也可以通过HttpSession的API 对最大闲置时间进行设定,通过调用 setMaxInactiveInterval(int interval) 方法,可以设置会话的最大闲置时间,单位为秒。需要注意的是,session也是域对象,这意味着可以在其中存储各种类型的数据,并在整个会话期间共享和访问这些数据。
CSRF介绍与应对以及Java代码示例
dichengyan0013的博客
06-26 276
详细信息看这里:https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ 简介 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。 CSRF 攻击实例 CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限...
java csrf解决方案_java – 在不添加所有表单的隐藏输入的情况下,针对CSRF保护旧的Web应用程序...
weixin_39944146的博客
03-06 180
在我们最近的Java Web应用程序安全扫描期间,我们发现了CSRF漏洞.我知道对于使用像Spring Security这样的安全框架的新应用程序,我们可以轻松地为每个表单添加隐藏的输入并执行其他所需的配置,这将解决问题.name="${_csrf.parameterName}"value="${_csrf.token}"/>但是我们的应用程序仍然使用acegi-security(1.0.2...
网络攻击——CSRF攻击
PUIWAH的博客
03-24 1304
CSRF攻击 CSRF全称是跨站请求伪造(cross site request forgery),CSRF伪装受信任用户,向第三方平台发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。 一个典型的CSRF攻击有着如下的流程: 受害者登录 a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了 b.com。 b.com 向 a.com ...
java csrf解决方案_CSRF的几种防御方法的利弊分析
weixin_42303285的博客
02-16 1051
本文直接从防御方式开始讨论,防御CSRF有4种方法:使用POST替代GET检验HTTP Referer验证码Token使用POST替代GET一些程序员在开发的时候都是用GET、POST通用的函数来接收客户端的数据,这样也是某些接口有CSRF的原因之一,但是将全部接口都改成只允许POST方式访问,就能防范CSRF了吗?答案是:不能。只能说提高了一些成本。原本是GET方式访问的接口,攻击者只需要构造接...
Java Web 应用的安全攻防之 CSRF 漏洞分析
禅与计算机程序设计艺术
10-09 777
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one-click attack”或者Session riding,其利用网站对用户浏览器的信任,通过伪装成用户正常操作的动作,达到恶意盗取用户信息、执行违规操作等目的,是一种常用的Web应用安全漏洞。CSRF在很多Web应用中都存在着严重的隐患,攻击者可以盗用用户的登录信息、Cookie等,进而冒充用户进行各种恶意操作。因此,保护用户的个人信息安全、系统安全应首要考虑。
springsecurity csrf 并发请求
04-01
1. CSRF令牌:Spring Security通过在每个表单中包含一个唯一的CSRF令牌来防止CSRF攻击。该令牌在用户进行敏感操作时被发送到服务器,并与用户会话相关联。服务器在接收到请求时验证令牌的有效性,如果令牌无效,则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值