CSRF防御实例记录

最新推荐文章于 2024-07-31 20:44:37 发布
最新推荐文章于 2024-07-31 20:44:37 发布
阅读量1k 收藏 2
点赞数
分类专栏: spring Java web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011429743/article/details/102785999
版权
本文详细记录了使用SpringMVC和Freemarker进行CSRF防御的步骤,包括创建令牌管理类、在BaseController中注入令牌、定义验证注解、在表单中添加隐藏字段、配置拦截器进行验证以及处理Ajax请求的方法。
摘要由CSDN通过智能技术生成

  • 项目使用SpringMVC+Freemarker

  • 创建令牌生产类-(CSRFTokenManager) 
    
import java.util.UUID;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

/**
 * @author huangzy
 * @version $Revision: 1.0 $, $Date: 2019年10月25日 下午4:30:43 $
 */
public class CSRFTokenManager {

    /**
     * The token parameter name
     */
    static final String CSRF_PARAM_NAME = "CSRFToken";

    /**
     * The location on the session which stores the token
     */
    public static final String CSRF_TOKEN_FOR_SESSION_ATTR_NAME = CSRFTokenManager.class.getName() + ".tokenval";

    public static String getTokenForSession(HttpSession session) {
        String token = null;

        synchronized (session) {
            token = (String) session.getAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME);
            if (null == token) {
                token = UUID.randomUUID().toString();
                session.setAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME, token);
            }
        }
        return token;
    }

    /**
     * Extracts the token value from the session
     *
     * @param request
     * @return
     */
    public static String getTokenFromRequest(HttpServletRequest request) {
        return request.getParameter(CSRF_PARAM_NAME);
    }

    private CSRFTokenManager() {
    };

}

     

  • 在baseController中把令牌放入到model中 
    public class BaseController{
    @ModelAttribute
    public void initBase(HttpServletRequest request, Ht
最低0.47元/天 解锁文章
猫猫桑
关注
专栏目录
基于JSP的Java Web项目的CSRF防御示例
oscar999的专栏
01-07 912
本篇使用 JSP+Servlet 演示一个最简单CSRF的攻防示例。
csrf防御 php,CSRF防御实例(PHP)
weixin_35997246的博客
03-17 192
CSRF防御可以从服务端和客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。1.服务端进行CSRF防御服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。(1).Cookie Hashing(所有表单都包含同一个伪随机值):这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构...
Java中的Web应用安全:CSRF、XSS和SQL注入防护
最新发布
微赚淘客系统开发者博客
07-31 462
通过启用Spring Security的CSRF保护机制、使用HTML转义防护XSS攻击、以及使用参数化查询防护SQL注入,可以有效提高Java Web应用的安全性。XSS(Cross-Site Scripting)是一种代码注入攻击,攻击者通过在网页中注入恶意脚本,窃取用户信息或执行恶意操作。Spring Data JPA内置了防止SQL注入的机制,使用参数化查询可以有效防护SQL注入。默认情况下,CSRF保护是启用的。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!
csrf防御 java_防御CSRF攻击
weixin_35509069的博客
02-23 403
跨站请求伪造(CSRF)是一种安全漏洞,攻击者利用受害者的 session 来通过受害者的浏览器发出请求。攻击者通过受害者的浏览器发送请求,并伪造成是受害者自己发出的请求。建议你先熟悉CSRF,哪些是相关的攻击向量而哪些不是。我们建议从这里开始。很难直接区分哪些请求是安全的而哪些请求容易被CSRF攻击,这是因为没有对插件及未来扩展的明确规范。因为历史遗留原因,浏览器的插件及扩展放宽了信任规则,引入...
java csrf防御_WEB攻击手段及防御第3篇-CSRF
weixin_42335570的博客
02-19 116
概念CSRF全称即Cross Site Request forgery,跨站点请求伪造,攻击者通过跨站点进行伪造用户的请求进行合法的非法操作,其攻击手法是通过窃取用户cookie或服务器session获取用户身份,在用户不知情的情况下在攻击者服务器模拟伪造用户真实的请求。防御手段既然是跨站点攻击,所以防御的手段无非是识别请求的来源是否合法。防御的手段一般有:1、检查refererreferer是...
CSRF防御
yun_ld的博客
08-24 2032
上一篇文章介绍什么是CSRFCSRF-跨站请求伪造【Java】。 CSRF通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对CSRF的防护能力来提升安全性。 上文中讲了CSRF的两个特点: CSRF(通常)发生在第三方域名。 CSRF攻击者不能获取到Cookie等信息,只是使用。 针对这两点,我们可以专门制定防护策略,如下: 阻止不明...
Jmeter接口测试之 登录接口(session+csrf)测试实例
waiwaiLILI的专栏
08-20 6860
最近学习了如何使用jmeter进行接口测试,下面记录一个登录接口测试的实例。 1. 使用Fiddler 抓取登录过程,如下图, 查看Inspectors>>Headers: 查看Inspectors>>WebForms: 方式是 HTTP POST User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleW...
关于前后端分离项目中CSRF等一系列问题的理解小结
MSB4011的博客
07-06 768
CSRF和CORS的问题上搞了这么久,一个是因为平时工作忙,学这些东西陆陆续续的,另外也确实是因为这些个问题一环套一环,想要完全解决掉需要理解并处理很多问题同时,自己对于这个问题最终通过服务端允许跨域+前端保持相同ip的解决方式并不满意,后续将尝试使用Node.js代理的方式来解决个问题。
XSS及CSRF攻击防御
热门推荐
zl的博客
08-17 1万+
一、概念: XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF; 二、XSS 什么是 XSS ? XSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于...
spring security CSRF防护的示例代码
08-26
主要介绍了spring security CSRF防护的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java 安全之:csrf攻击总结
weixin_30952103的博客
08-12 676
  最近在维护一些老项目,调试时发现请求屡屡被拒绝,仔细看了一下项目的源码,发现有csrf token校验,借这个机会把csrf攻击学习了一下,总结成文。本文主要总结什么是csrf攻击以及有哪些方法来防范,接下来会再写一篇文章,从源码中来学习一下实战中是如何防御csrf攻击的。   主要内容如下:   什么是CSRF攻击   几种常见的攻击类型   CSRF的特点   防护策略   总...
企业级解决CSRF攻击解决案例
MoonR1s3的博客
12-23 2269
通过添加一个filter
java csrf防御_前后端分离架构下CSRF防御机制
weixin_39594312的博客
03-04 529
背景1、什么是CSRF攻击?这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章:如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后,便立刻收到了短信:你的银行里的钱已经转移到这个人的帐户了。2、有哪些防御方案?上面这个例子当然有点危言耸...
csrf防御 java_一分钟了解【CSRF攻击与防御
weixin_39924486的博客
02-19 123
含义跨站请求伪造(英语:Cross-Site Request Forgery),简称CSRF。是指网站在用户不知情的情况下,引导用户请求外部URL。实例用户首先登录B网站,然后打开A网站(恶意网站),A通过Script标签加载了一个B网站的URL,由于用户登录了B网站,该URL刚好是一个写数据的接口,就会造成数据损失。 防御方式根据上面的实例,A是攻击网站,B是被攻击网站。这种攻击的特殊之处就在于...
Java-如何防范CSRF攻击
了解➔熟悉➔掌握➔精通
01-02 4167
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造,也被称为:one click attack / session riding,缩写为:CSRF/XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。 XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的
Java解决CSRF问题
weixin_33796205的博客
04-29 1837
2019独角兽企业重金招聘Python工程师标准>>> ...
csrf漏洞java防御,CSRF漏洞的原理与防御
weixin_33509141的博客
03-12 511
CSRF 全称:Cross Site Request Forgery,译:跨站请求伪造场景点击一个链接之后发现:账号被盗,钱被转走,或者莫名发表某些评论等一切自己不知情的操作。CSRF是什么csrf 是一个可以发送http请求的脚本。可以伪装受害者向网站发送请求,达到修改网站数据的目的。原理当你在浏览器上登录某网站后,cookie会保存登录的信息,这样在继续访问的时候不用每次都登录了,这个大家都知...
Spring Security CSRF防御详解与实现
Spring Security中的CSRF防御原理涉及到了一项关键的安全措施,用于防止跨域请求伪造(Cross-Site Request Forgery, CSRF)攻击。CSRF是一种网络攻击手段,攻击者利用用户已登录的会话,伪装成用户在用户不知情的情况...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值