Strut2 采用token机制防御CSRF同时也可以防止表单重复提交

最新推荐文章于 2021-03-16 10:54:20 发布
最新推荐文章于 2021-03-16 10:54:20 发布
阅读量107 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/lmaplet/p/6078692.html
版权

一 未配置Struts2 token的情况下测试

1.从表单提交数据,可以从下图看出,快速点击保存按钮,请求提交了两次

2.检查post提交的数据中未含有token参数

 3.查看数据列表,有重复数据

 4.将刚才的请求由post请求转换为get请求(CSRF攻击),从下图可以看出请求成功

 二 配置Struts2 token值后再次测试

1. 在工程中的Struts文件中配置token机制,针对新增与修改的form请求

2.在页面头部添加<%@ taglib uri="/struts-tags" prefix="s" %>,在form表单中添加<s:token/>

 

3.配置好Struts2 token机制后再次测试,新增数据,从下图中可以看出,连续的第二次请求响应为404

 4. 检查post数据请求,请求里生成了token值

 5.检查列表中数据,无重复数据

 6.转换成get方式再次请求,响应404(登录状态)

 以上情况,为验证Struts2 采用token令牌的方式防止CSRF攻击及防止重复提交。

 

转载于:https://www.cnblogs.com/lmaplet/p/6078692.html

weixin_30660027
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Struts2 过滤CSRF攻击一种解决方案
huplion的专栏
11-04 6013
CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站?的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF
CSRF 原理以及 Struts2 令牌校验防御攻略解析
热门推荐
Defonds 的专栏
01-06 1万+
struts2 token 不仅能够有效防止表单重复提交,而且还可以进行 CSRF 验证。CSRF 攻击原理如下图:CSRF 攻击原理图事实上,B 可能也是一个良性网站,只是被黑客 XSS 劫持了而已。用户实在冤枉啊:我没有上乱七八糟的网站,怎么也中招了呢?struts2 token 校验原理如图所示:Struts2 token 验证原理图对照 CSRF 攻击原理图,可以看到,虽然 a.jsp 将
struts2通过过滤器拦截其漏洞配置方法
07-01
通过web配置拦截器进行struts2漏洞拦截源码及配置
struts-csrf-cracker:用于预测 Struts2 CSRF Token < 2.3.20 的概念代码证明
07-06
用于预测 Struts CSRF 令牌的概念代码证明。 [ ] 完整的解释可以阅读: 执行预览: == Initial token H6P3Y3GHIC2865ASZVQ913NR93QZO7BR == Initial token in hex (easier evaluation) 14b08fcbf6523eecd7dd7d3e89cf97d6f478db5617 Guessing part.. == bytes representation (reconstructed byte array) 14b08fcb f6523eec d7dd7d3e 89cf97d6 f478db56 Seed found: 259752424024079 == following int .. (should match the initial token last part) d7dd
Struts2过滤指定的方法
Isaac Lin
02-04 590
在默认情况下,Struts2拦截器会拦截Action中所有的方法。但有的时候,我们只需要拦截其中的一些方法,就需要使用Struts2拦截器的方法过滤特性来解决这个问题。如何实现的话,只需要继承一些特定的Interceptor类,并在配置文件中进行配置即可。以MethodFilterInterceptor为例,重写doIntercept方法后,还在配置文件中指定相应的方法名,演示代码如下 im
struts2令牌解决页面重复提交问题
03-18
Struts2是一个流行的Java web框架,它...总的来说,Struts2的令牌机制是通过生成和验证令牌来防止重复提交CSRF攻击的有效方式。开发者应当理解其工作原理,并在需要的地方正确使用,以提高应用程序的安全性和稳定性。
Struts之Token解决表单重复提交
10-12
综上所述,Struts框架通过Token机制有效地解决了表单重复提交的问题,提供了更健壮的Web应用安全性。正确理解和应用这一机制对于Java Web开发者来说至关重要。在实际项目中,结合其他防御策略,如CSRF防护,可以...
struts2_token控制刷新重复提交
07-09
Struts2是一个非常流行的Java Web框架,用于构建和维护可扩展且易于管理的企业级应用...综上所述,Struts2Token机制防止Web应用中重复提交的有效工具,通过合理的配置和编程,可以为用户的操作提供更安全的环境。
Struts2重复提交Demo
06-11
Struts2是一个流行的Java Web框架,它为开发者...通过上述步骤,Struts2的`s:token`标签可以帮助开发者有效地防止重复提交,保证Web应用程序的数据一致性。理解并正确使用这个功能,可以提升应用的健壮性和用户体验。
struts2token回退刷新
07-25
Struts2 Token回退刷新是一种防止重复提交的安全机制,尤其在处理并发操作和防止 CSRF(跨站请求伪造)攻击时显得尤为重要。Struts2框架提供了一种令牌验证的方式来确保每个表单提交是唯一的,避免了恶意用户通过...
struts2token实现.
08-02
struts2token实现.
CSRF攻击解决方案--CSRFGuard使用文档
逐鹿人生的博客
06-05 4164
背景:公司项目使用fortyfy测试出CSRF相关的BUG,目前尝试使用CSRFGuard来解决CSRF攻击。 一、CSRF攻击CSRF是“跨站请求伪造”,其操作方法是借助用户浏览器内的验证过的cookie,在用户点击链接时实现链接跳转,并携带用户的cookie,实现一些用户实际并没有执行的操作。 类似的BUG为:XSS“跨站脚本攻击”,即恶意让用户浏览器执行一些脚本,恶意获取用户coo...
手把手教你玩转Struts2
Cs_hnu_scw的博客
08-22 1647
1:struts2的地位 2:struts2的优势 (1)自动封装参数 (2)参数校验 (3)结果的处理(重定向|请求转发) (4)国际化 (5)显示等待页面 (6)表单防止重复提交 3:导入项目的包 4:struts2框架的搭建 (1)导包,就是上面提到的包,百度就可以得到所有的 (2)配置struts2的dtd约束(为了能够在不联网的时候也能进行代码提示
struts2.5的基本配置(全)
qq_38821440的博客
03-04 1440
基本配置: &lt;struts&gt; &lt;constant name="struts.devMode" value="true" /&gt; &lt;constant name="struts.action.excludePattern" value="/static/.*?" /&gt; &lt;package name="base&quot
CSRF攻击防御(写得非常好)
03-16 402
CSRF全拼为Cross Site Request Forgery,翻译过来就是跨站请求伪造 跨站请求伪造(CSRF)是Web应用程序的一种常见的漏洞;其特性是危害性大,并且极其隐蔽。下面就从CSRF的危害实例,攻击原理,防御方法几个方面进行解释说明。 CSRF的危害实例与过程解析 本案例主人公: 用户:xiaoming A银行网站:www.Abank.com 黑客网站:www.heikebank.com 1.xiaoming 今天闲来无事访问A银行的网站,由于需要查询个人账户的一些信息,所以登陆.
Spring MVC防御CSRF、XSS和SQL注入攻击
tt07406的博客
08-30 277
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRFCSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,...
跨站脚本漏洞
weixin_46729085的博客
09-08 3760
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? 二:三大分类 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:&...
命令执行+CSRF
11-04
本节课程分两个方面,命令执行包含os命令执行、struts2远程命令执行、变量覆盖。CSRF漏洞包含GET型及POST型两种类型的CSRF漏洞,每种漏洞不仅包含原理分析还包含攻击过程演示。
struts2token拦截器的原理及作用
痕泽的专栏
04-01 7691
众所周知struts2有着自己的token拦截器,主要是用于防止用户进行表单重复提交的。但是一直没搞明白两个问题:token拦截器实现的原理是如何的?哪些action需要使用token拦截器去防止重复提交?下面根据自己最近的学习给出一个自己的经验。         首先,实现token拦截器基本需要两步:         1、在jsp的form表单任何地方中加一句,这个标签的作用是
JSP防重复提交:三步策略与Struts Token机制详解
在JSP开发中,防止表单重复提交是一个常见的问题,因为用户可能会意外多次点击提交按钮或使用浏览器的后退功能。以下是三种主要的解决方案: 1. 使用JavaScript: - 首先,通过设置一个全局变量`checkSubmitFlg`,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值