csrf漏洞java防御,Spring3.x通过配置来防范csrf攻击

最新推荐文章于 2022-04-19 09:00:51 发布
最新推荐文章于 2022-04-19 09:00:51 发布
阅读量263 收藏 1
点赞数
文章标签: csrf漏洞java防御

CsrfTokenManager 用于管理csrfToken相关

package com.web.common;

import java.util.UUID;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpSession;

public final class CsrfTokenManager {

// 隐藏域参数名称

static final String CSRF_PARAM_NAME = "CSRFToken";

// session中csrfToken参数名称

public static final String CSRF_TOKEN_FOR_SESSION_ATTR_NAME = CsrfTokenManager.class

.getName() + ".tokenval";

private CsrfTokenManager() {

};

// 在session中创建csrfToken

public static String createTokenForSession(HttpSession session) {

String token = null;

synchronized (session) {

token = (String) session

.getAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME);

if (null == token) {

token = UUID.randomUUID().toString();

session.setAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME, token);

}

}

return token;

}

public static String getTokenFromRequest(HttpServletRequest request) {

return request.getParameter(CSRF_PARAM_NAME);

}

}

CsrfRequestDataValueProcessor 自动创建hidden的csrfToken域的类 package com.web.common;

import java.util.Map;

import javax.servlet.http.HttpServletRequest;

import org.springframework.stereotype.Component;

import org.springframework.web.servlet.support.RequestDataValueProcessor;

import com.google.common.collect.Maps;

@Component("requestDataValueProcessor")

public class CsrfRequestDataValueProcessor implements RequestDataValueProcessor {

@Override

public String processAction(HttpServletRequest request, String action) {

// TODO 暂时原样返回action

return action;

}

@Override

public String processFormFieldValue(HttpServletRequest request,

String name, String value, String type) {

// TODO 暂时原样返回value

return value;

}

@Override

public Map getExtraHiddenFields(HttpServletRequest request) {

//此处是当使用spring的taglib标签

创建表单时候,增加的隐藏域参数

Map hiddenFields = Maps.newHashMap();

hiddenFields.put(CsrfTokenManager.CSRF_PARAM_NAME,

CsrfTokenManager.createTokenForSession(request.getSession()));

return hiddenFields;

}

@Override

public String processUrl(HttpServletRequest request, String url) {

// TODO 暂时原样返回url

return url;

}

}

CsrfInterceptor 对于post请求进行拦截,检测csrfToken是否匹配

package com.web.security;

import java.net.URLEncoder;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.util.StringUtils;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.web.common.CsrfTokenManager;

import com.web.common.WebUser;

public class CsrfInterceptor extends HandlerInterceptorAdapter {

private static final Logger logger = LoggerFactory

.getLogger(CsrfInterceptor.class);

@Autowired

WebUser webUser;

@Override

public boolean preHandle(HttpServletRequest request,

HttpServletResponse response, Object handler) throws Exception {

if ("POST".equalsIgnoreCase(request.getMethod())) {

String CsrfToken = CsrfTokenManager.getTokenFromRequest(request);

if (CsrfToken == null

|| !CsrfToken.equals(request.getSession().getAttribute(

CsrfTokenManager.CSRF_TOKEN_FOR_SESSION_ATTR_NAME))) {

String reLoginUrl = "/login?backurl="

+ URLEncoder.encode(getCurrentUrl(request), "utf-8");

response.sendRedirect(reLoginUrl);

return false;

}

}

return true;

}

private String getCurrentUrl(HttpServletRequest request) {

String currentUrl = request.getRequestURL().toString();

if (!StringUtils.isEmpty(request.getQueryString())) {

currentUrl += "?" + request.getQueryString();

}

return currentUrl;

}

}

springMVC 配置文件,增加需要进行拦截的url

jsp页面,需要注意的是必须使用spring的form标签

标题:

jsp页面 查看源码会发现已经添加上了hidden字段

标题:

1.只有当使用spring的form标签时候,才会在渲染jsp页面时候触发

org.springframework.web.servlet.tags.form.FormTag 类中的

@Override

public int doEndTag() throws JspException {

RequestDataValueProcessor processor = getRequestContext().getRequestDataValueProcessor();

ServletRequest request = this.pageContext.getRequest();

if ((processor != null) && (request instanceof HttpServletRequest)) {

writeHiddenFields(processor.getExtraHiddenFields((HttpServletRequest) request));

}

this.tagWriter.endTag();

return EVAL_PAGE;

}

该方法会调用上文中所说的CsrfRequestDataValueProcessor中的创建隐藏域的方法getExtraHiddenFields来创建csrfToken隐藏域。

2.对相关需要进行防范csrf攻击的post请求地址进行拦截,此处是依赖springMVC中提供的拦截器机制来操作的

当用户访问"/forum/post"这个请求时候,会直接进入CsrfInterceptor的preHandle方法,此处针对post请求进行了判断,如果从request中获取的csrfToken不存在或者与session中的csrfToken不相匹配,那么可以不进行后续流程,至于返回404还是返回到登录页面,就随便作者了。

漾漾ML
关注
java防止csrf攻击_java网页程序采用 spring 防止 csrf 攻击.
weixin_42571444的博客
02-13 473
经常开发银行的应用,在安全性方面要求比较高,在安全性保护方面,csrf 攻击是必须测试的项目之一,关于什么是 csrf 攻击,我不想多做解释,网上已经介绍够多了,可以参看 IBM Developer works 的文章 http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ 这篇文章介绍了 csrf 的危害和一般解决办法,在实际开发...
csrf漏洞防御方案_SpringSecurity框架下实现CSRF跨站攻击防御
weixin_39867296的博客
12-21 279
一、什么是CSRF很多朋友在学习Spring Security的时候,会将CORS(跨站资源共享)和CSRF(跨站请求伪造)弄混,以为二者是一回事。其实不是,先解释一下:CORS(跨站资源共享)是局部打破同源策略的限制,使在一定规则下HTTP请求可以突破浏览器限制,实现跨站访问。CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。当我们使用Spring Secu...
Spring3.x通过配置防范csrf攻击
weixin_34112181的博客
10-16 176
2019独角兽企业重金招聘Python工程师标准>>> ...
java ajax csrf,切记ajax中要带上AntiForgeryToken防止CSRF攻击
weixin_33212486的博客
03-11 209
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中。我们在ajax post中也带上AntiForgeryToken@model WebApplicat...
csrf防御 java_防御CSRF攻击
weixin_35509069的博客
02-23 423
跨站请求伪造(CSRF)是一种安全漏洞攻击者利用受害者的 session 来通过受害者的浏览器发出请求。攻击者通过受害者的浏览器发送请求,并伪造成是受害者自己发出的请求。建议你先熟悉CSRF,哪些是相关的攻击向量而哪些不是。我们建议从这里开始。很难直接区分哪些请求是安全的而哪些请求容易被CSRF攻击,这是因为没有对插件及未来扩展的明确规范。因为历史遗留原因,浏览器的插件及扩展放宽了信任规则,引入...
Spring安全: CSRF攻击防护与防范
CSRF攻击的原理是攻击者诱使用户在登录了恶意网站的情况下,利用用户在其他合法网站的身份认证信息来完成攻击请求,从而执行恶意操作。 ## 1.3 CSRF攻击的危害 CSRF攻击可能导致用户在不知情的情况下执行了恶意操作...
CSRF spring mvc 跨站请求伪造防御
没事写代码
03-30 6512
CSRF CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
CSRF攻击防范:在Spring Security中实现跨站请求伪造保护
CSRF攻击是一种利用用户身份凭证(如Cookie)来执行未经用户授权的操作的攻击方式。攻击者能够伪装成用户向Web应用发送恶意请求,从而导致用户在不知情的情况下执行恶意操作。 ## 1.2 CSRF攻击的原理和危害 CSRF...
Spring Security最佳实践:防御CSRF和XSS攻击的7个步骤
[Spring Security最佳实践:防御CSRF和XSS攻击的7个步骤](https://docs.spring.io/spring-security/reference/_images/servlet/exploits/csrf.png) # 1. Spring Security简介与安全威胁概述 在当今数字化时代,网络...
编码技巧——HTTP接口安全防范CSRF攻击
娜娜米的博客
04-19 3535
​ 上一篇《编码技巧——HTTP接口安全防范CORS攻击》介绍了同源策略、跨域、CORS,本篇介绍下CRSF漏洞及常用服务端解决方案; 思考一个问题:如果你说 同源策略SOP 就是“禁止跨域请求”,这也不完全准确,因为本质上 SOP 并不是禁止跨域请求,而是在请求后拦截了请求的回应。因此——这就会引起CSRF漏洞,即被恶意网站模拟的、带上了cookies(虽然由于SOP策略读不到cookies信息)的、非用户预期的请求,已经打到了服务端的接口上!
Java-如何防范CSRF攻击
了解➔熟悉➔掌握➔精通
01-02 4205
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造,也被称为:one click attack / session riding,缩写为:CSRF/XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。 XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的
CSRF攻击防御JAVA程序利用token前后端验证每一次请求进行防御
生活没有圈的博客
09-02 3372
整体思路是:访问页面就生成token,保存到session,并且前端将token放进header或者追加到请求地址最后面。后端拿到header或者请求中的token后比对session与herder或者请求中的token是否一致,一致测是同一次请求。有效的防止了,攻击者不从规定页面请求接口进行篡改利用。 每次请求,地址或者header携带TOKEN到服务端验证,防止CSRF攻击 下面是JAVA后端工具类 package com.invoice.util; import java.io.IOException
java 跨站请求伪造攻击_跨站请求伪造(CSRF
weixin_33377571的博客
02-25 770
1. 什么是跨站请求伪造(CSRF)CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者sessionRiding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信...
Java Spring Security 安全框架:(十七)Spring Security 中 CSRF
地球村
10-12 469
Spring Security 中 CSRF1.什么是 CSRF2.Spring Security 中 CSRF2.1 实现步骤2.1.1 编写控制器方法2.1.2 新建 login.html2.1.3 修改配置类 从刚开始说明 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护 1.什么是 CSRF CSRF(Cross-site request forgery)跨
SpringMVC防御CSRF及XSS攻击(写的非常好)
热门推荐
qq_31457665的博客
08-02 1万+
本文转自:https://www.cnblogs.com/lupeng2010/p/6518053.html 最近在研究关于web网络安全的知识,本来正在整理相关的资料准备些些关于crsf及xss攻击的东西,结果搜到了这篇文章。。。。。讲的非常的好,从基本原理,到问题场景举例,再到问题解决详尽且严密。果断转了,以下是作者原文,未做改动。 本文说一下SpringMVC如...
csrf java_SpringSecurity 中的 CSRF实现
weixin_34704521的博客
02-23 356
1. 基础知识##csrf就是诱导已登录过的用户在不知情的情况下,使用自己的登录凭据来完成一些不可告人之事。比如利用img标签或者script标签的src属性自动访问一些敏感api,或者是伪造一个form标签,action写的是一些敏感api,通过js自动提交表单等。1.1 防御手段###原则上修改功能的API,都要避免使用GET方式。然后就是两种防护手段,一个是校验referer,一个是csrf...
csrf攻击 java_java网页程序采用 spring 防止 csrf 攻击
weixin_35215045的博客
02-21 123
银行项目开发过程中,基本都会采用 spring 框架,所以完全可以不用自己开发 filter 去拦截 csrf 攻击的请求,而直接采用实现 spring 提供的 HandlerInterceptor 来实现。 从本质上来说,这也是一个 filter.我这里就直接实现它来 防止 csrf 攻击.基本思路:1. 用户登录之后,后台程序生产一个 csrftoken 的 token ,放在 cooki...
java csrf攻击,Spring-Security对CSRF攻击的支持
weixin_28784019的博客
03-19 139
何时使用CSRF保护什么时候应该使用CSRF保护?我们的建议是使用CSRF保护,可以通过浏览器处理普通用户的任何请求。如果你只是创建一个非浏览器客户端使用的服务,你可能会想要禁用CSRF保护。(即所有处理来自浏览器的请求需要是CSRF保护,如果后台服务是提供API调用那么可能就要禁用CSRF保护)配置CSRF保护CSRF保护默认情况下使用Java配置启用@EnableWebSecuritypubl...
Spring MVC防御CSRF、XSS和SQL注入攻击
tt07406的博客
08-30 301
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRFCSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,...
Spring Security 3.x 入门配置教程
Spring Security 3.x相对于早期版本进行了重大改进,使得安全配置更为简洁和灵活。在开始配置之前,你需要创建一个新的Web项目,并确保引入了所有必要的Spring Security库和其他依赖。 第一步,配置`web.xml`文件。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值