spring-mvc-showcase 学习之 csrf 防范

最新推荐文章于 2024-10-09 11:13:12 发布
最新推荐文章于 2024-10-09 11:13:12 发布
阅读量92 收藏
点赞数
文章标签: java 测试
原文链接:https://my.oschina.net/qidis/blog/845533
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

CSRF(Cross-site request forgery)跨站请求伪造。

对于防范这种攻击最基本的做法是请求时先给浏览器返回一个token,以后的访问都需要带上这个token才能正常响应。至于该token是否与IP,SESSIONID相关联不得而知。

原理不做过多的研究,现在介绍如何通过配置spring来防范CSRF。

1: spring 及 spring-security 版本

134855_NKHh_2447963.png

2 : 配置

 

3:  通过上面的配置 发起会话时会生产 _csrf 对象

140328_gA7Y_2447963.png

4: 请求url时需在Header头中设置token变量,否则会报错

141605_q5bY_2447963.png

 

141851_XdEj_2447963.png

 

5: 验证方法 将token设置为“111111”

142231_ikmw_2447963.png

 

最初的一些迷惑,点击大多数页面正常访问,只有几个页面报错,为什么会这样呢?

CSRF 防范为什么对get请求不起作用。

因为第一次get请求是不会带上任何token的,如果连get请求都验证的话意味着网站是无法访问的。

而且根据规范而言,get请求只是去服务器请求资源,不会修改任何资源。POST请求意味着要修改资源,因此必须对POST请求进行最基本的验证,比如请求Header头是否带有token。

 

 

 

 

转载于:https://my.oschina.net/qidis/blog/845533

weixin_34138255
关注
spring-mvc-showcase
07-13
Spring MVC 展示 通过小而简单的示例演示 Spring MVC Web 框架的功能。 在查看了这个展示之后,您应该对 Spring MVC 可以做什么有一个很好的理解,并... $ cd spring-mvc-showcase $ mvn tomcat7:run [-Dmaven.tomcat
spring-mvc-showcase:演示Spring MVC Web框架的功能
02-15
Spring MVC展示柜 通过小而简单的示例演示Spring MVC Web框架的功能。 在回顾了这个展示之后,您应该对Spring MVC可以做什么有一个... $ cd spring-mvc-showcase $ mvn jetty:run 在以下位置访问已部署的Web应用程序:
16、Spring MVC 之 Web Security
carl.zhao的专栏
11-05 1528
Spring Security是一个单独的项目,它可以无缝的和Spring MVC集成。Spring Security提供会特性保护web应用来自恶意的攻击。
攻击JavaWeb应用[5]-MVC安全
weixin_33796177的博客
03-08 1114
园长 · 2013/07/25 13:31注:这一节主要是消除很多人把JSP当作了JavaWeb的全部的误解,了解MVC及其框架思想。MVC是用于组织代码用一种业务逻辑和数据显示分离的方法,不管是Java的Struts2、SpringMVC还是PHP的ThinkPHP都爆出过高危的任意代码执行,本节重在让更多的人了解MVC和MVC框架安全,由浅到深尽可能的照顾没Java基础的朋友。所谓攻击Java...
转:攻击JavaWeb应用[5]-MVC安全
weixin_30289831的博客
06-07 1044
转:http://static.hx99.net/static/drops/tips-347.html 攻击JavaWeb应用[5]-MVC安全 园长·2013/07/25 13:31 注:这一节主要是消除很多人把JSP当作了JavaWeb的全部的误解,了解MVC及其框架思想。MVC是用于组织代码用一种业务逻辑和数据显示分离的方法,不管是Java的Struts2、Spri...
Spring Web MVC框架简介
weixin_30783913的博客
07-28 694
Web MVC framework框架 Spring Web MVC框架简介 Spring MVC的核心是`DispatcherServlet`,该类作用非常多,分发请求处理,配置处理器映射,处理视图view,本地化,时间区域和主题,也支持文件上传。默认的处理器依赖于`@Controller`和`RequestMapping`注解,提供了大量的灵活的处理方法。spring3.0中就介...
Spring Web MVC
raquelle的记忆宫殿
10-18 2123
原文链接:https://docs.spring.io/spring/docs/current/spring-framework-reference/web.html#mvc 1.1. Introduction Spring Web MVC is the original web framework built on the Servlet API and included in
【Spring实战】----开篇(包含系列目录链接)
weixin_30455365的博客
05-09 260
【Spring实战】----开篇(包含系列目录链接) 置顶2016年11月10日 11:12:56 阅读数:3617 终于还是要对Spring进行解剖,接下来Spring实战篇系列会以应用了Spring技术的Java Web的应用mango为例,来分析Spring各个模块的技术,包括源码解析等,谨以此记!!! 【Spring实战】----开发环境配置 【...
Spring MVC中文文档翻译发布
weixin_33854644的博客
12-19 442
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring4.x官方参考文档中文版——第21章 Web MVC框架(25)
Hermaeus Mora's Apocrypha
11-05 874
Web安全、“约定优先于配置“的支持、ControllerClassNameHandlerMapping控制器
Spring Tutorials
abguorui0928的专栏
05-22 1769
In this series of tutorials, we provide step by step examples on how to use the Spring framework.
一个改进版的spring-mvc-showcase
03-28
"一个改进版的spring-mvc-showcase"是一个项目示例,它基于Spring MVC框架进行了一些优化和增强。Spring MVC是Spring框架的一个模块,主要用于构建Web应用程序。它提供了一个灵活的模型-视图-控制器(MVC)架构,...
spring-mvc-showcase.zip
08-18
"spring-mvc-showcase.zip" 文件包含了一个名为 "spring-mvc-showcase-master" 的项目,这个项目是一个完整的 Spring MVC 示例应用,旨在展示其核心特性和功能。 一、Spring MVC 基础 Spring MVC 提供了一种优雅的...
C语言 | 第十章 | 函数 作用域
ZJC744575的博客
10-05 1214
为完成某一功能的程序指令(语句)的集合,称为函数。在C语言中,函数分为:自定义函数、系统函数(查看C语言函数手册)函数还有其它叫法,比如方法等,在本视频课程中,我们统一称为 函数。返回类型 函数名(形参列表){执行语句...;// 函数体return 返回值;// 可选形参列表:表示函数的输入函数中的语句:表示为了实现某一功能代码块函数可以有返回值,也可以没有, 如果没有返回值,返回类型 声明为 void。
JDK1.0主要特性
FoolRabbit的专栏
10-06 357
JDK1.0主要特性。
JavaScript ArrayBuffer的读写与类型转换
白瑕 的博客
10-01 522
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
Netty 相比原生IO模型的优势
最新发布
lssffy的博客
10-09 335
Java提供了多种I/O模型,每种模型都有其适用的场景和特点,随着网络应用需求的变化,I/O模型也在不断发展。阻塞I/O(BIO,Blocking I/O)传统的I/O模型,使用简单,但每次I/O操作都会阻塞线程。每个请求需要独立的线程来处理,这在并发请求较少时问题不大,但在高并发情况下,线程资源将成为瓶颈。非阻塞I/O(NIO,Non-Blocking I/O)引入了多路复用技术,一个线程可以处理多个连接,避免了BIO中每个连接占用一个线程的问题。通过Selector。
JAVA开源项目 旅游管理系统 计算机毕业设计
as230627的博客
10-03 1355
旅游管理系统基于Springboot框架、JAVA编程语言、MYSQL数据库开发完成,“操作简单,功能实用”这是本软件设计的核心理念,本系统力求创造最好的用户体验。
Spring MVC 3入门与控制器模型详解
"Mastering Spring MVC3" 是一本深入讲解Spring MVC框架的指南,该框架是Spring框架的一部分,由VMware的SpringSource公司提供。这本书旨在帮助读者理解并掌握Spring MVC的编程模型,特别是@Controller组件,以及其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值