csrf攻击 java_java网页程序采用 spring 防止 csrf 攻击 转

最新推荐文章于 2023-10-09 02:13:35 发布
最新推荐文章于 2023-10-09 02:13:35 发布
阅读量100 收藏
点赞数
文章标签: csrf攻击 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35215045/article/details/114453845
版权

银行项目开发过程中,基本都会采用 spring 框架,所以完全可以不用自己开发 filter 去拦截 csrf 攻击的请求,而直接采用实现 spring 提供的 HandlerInterceptor 来实现。 从本质上来说,这也是一个 filter.  我这里就直接实现它来 防止 csrf 攻击.

基本思路:

1. 用户登录之后,后台程序生产一个 csrftoken 的 token ,放在 cookies 中,并且记录在 session

中。

2. 当客户端发出请求的访问后台程序的时候,经过自己实现的HandlerInterceptor 来拦截.

3.

拦截的基本方法是检查请求的参数中是否有csrftoken ,并检查这个值,是否合法有效(不为空,并且得到的参数等于cookies

中保存的值,而且还要等于session 中的值,那么就是合法的)

package com.yihaomen.intercepter;

import

javax.servlet.http.Cookie;

import

javax.servlet.http.HttpServletRequest;

import

javax.servlet.http.HttpServletResponse;

import

org.springframework.web.servlet.HandlerInterceptor;

import

org.springframework.web.servlet.ModelAndView;

public class

CsrfIntercepter implements HandlerInterceptor {

public  static final

String CSRFNUMBER = "csrftoken";

public boolean

preHandle(HttpServletRequest request,HttpServletResponse response, Object

handler) throws Exception {

String keyFromRequestParam =

(String) request.getParameter(CSRFNUMBER);

String keyFromCookies="";

boolean result=false;

Cookie[] cookies =

request.getCookies();

if(cookies!=null){

for (int i =

0; i < cookies.length; i++) {

String name =

cookies[i].getName();

if(CSRFNUMBER.equals(name) )

{

keyFromCookies=

cookies[i].getValue();

}

}

}

if((keyFromRequestParam!=null

&& keyFromRequestParam.length()>0 &&

keyFromRequestParam.equals(keyFromCookies)

&&

keyFromRequestParam.equals((String)request.getSession().getAttribute(CSRFNUMBER))))

{

result=true;

}else{

request.getRequestDispatcher("/error/400").forward(request,

response);

}

return

result;

}

public void afterCompletion(HttpServletRequest

arg0, HttpServletResponse arg1,

Object arg2, Exception arg3)

throws Exception {

}

public void

postHandle(HttpServletRequest arg0, HttpServletResponse

arg1,

Object arg2, ModelAndView arg3) throws Exception

{

}

}

rain john
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java防止csrf攻击_java网页程序采用 spring 防止 csrf 攻击.
weixin_42571444的博客
02-13 446
经常开发银行的应用,在安全性方面要求比较高,在安全性保护方面,csrf 攻击是必须测试的项目之一,关于什么是 csrf 攻击,我不想多做解释,网上已经介绍够多了,可以参看 IBM Developer works 的文章 http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ 这篇文章介绍了 csrf 的危害和一般解决办法,在实际开发...
csrf漏洞防御方案_Web常见攻击手段CSRF攻击
weixin_39596090的博客
12-21 745
什么是CSRF攻击?跨站请求伪造(Cross-Site Request Forgery, CSRF),恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 Cookie 可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。尽管听起来跟XSS跨站脚本攻击有点相似,但事实上CSRF与XSS差别很大,XSS利用的是站点内的信任用户,而CSRF则是通...
java csrf攻击,Spring-Security对CSRF攻击的支持
weixin_28784019的博客
03-19 122
何时使用CSRF保护什么时候应该使用CSRF保护?我们的建议是使用CSRF保护,可以通过浏览器处理普通用户的任何请求。如果你只是创建一个非浏览器客户端使用的服务,你可能会想要禁用CSRF保护。(即所有处理来自浏览器的请求需要是CSRF保护,如果后台服务是提供API调用那么可能就要禁用CSRF保护)配置CSRF保护CSRF保护默认情况下使用Java配置启用@EnableWebSecuritypubl...
java 跨站请求伪造攻击_跨站请求伪造(CSRF
weixin_39771351的博客
02-25 275
1. 什么是跨站请求伪造(CSRF)CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者sessionRiding,通常缩CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信...
java判断用户是否在某一个区域登录_Java安全编码之CSRF
weixin_40002238的博客
12-02 255
此文章为该系列的第二篇。上一篇:Java安全编码之sql注入。简介CSRF攻击者可以利用该漏洞诱使用户执行他们不打算执行的操作。它允许攻击者从不同网站攻击某一网站的某一用户。使他们执行一些非预期的操作。在这里实验的是我们登陆后,通过CSRF漏洞来修改用户的手机号。框架此次我们使用SpringBoot作为基础框架,登录框架采用shiro。这里没有具体的dao层配置说明SpringBoot...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
使用SpringSecurity处理CSRF攻击的方法步骤 春Security是当前最流行的Java Web应用程序安全框架之一,它提供了强大的安全功能,包括身份验证、授权、CSRF防护等。CSRF(Cross-site request forgery)是一种常见的...
基于JSP的Java Web项目的CSRF防御示例
01-07
在基于JSP的Java Web项目中,了解如何防御CSRF攻击至关重要,因为这可以保护用户的敏感数据和应用的完整性。 **CSRF攻击原理** CSRF攻击通常发生在用户已登录一个网站并保持会话的情况下,攻击者通过构造恶意链接...
ss.rar_java security_spring security_springsecurity4xss
09-23
它提供了一整套的解决方案,包括身份验证、授权、会话管理以及防止常见攻击,如跨站脚本(XSS)、跨站请求伪造(CSRF)等。Spring Security 的核心设计理念是“最小权限原则”,即用户只能访问他们被明确允许访问的...
csrf_attack_example
06-01
在"csrf_attack_example"这个例子中,我们可能看到一个用于演示CSRF攻击Java项目。该项目可能包含了模拟攻击的代码以及防御措施的实现,帮助开发者了解如何识别和防止这类攻击。 1. **CSRF攻击原理**:攻击者通常...
webcsrf攻击的应对之道
02-03
应对web应用中的CSRF攻击的对应之策
防止CSRF攻击.txt
11-06
1. Hello World 2. 介绍 3. 关于认证技术 3.1 Cookies Hashing 3.2 HTTP来路 3.3 验证码 4. 一次性令牌 5. 最后的话
CSRF攻击的应对之道
11-30
CSRF 背景与介绍 CSRF 攻击实例 CSRF 攻击的对象 CSRF 攻击的对象 Java 代码示例
Java Spring Security 安全框架:(十七)Spring Security 中 CSRF
地球村
10-12 451
Spring Security 中 CSRF1.什么是 CSRF2.Spring Security 中 CSRF2.1 实现步骤2.1.1 编控制器方法2.1.2 新建 login.html2.1.3 修改配置类 从刚开始说明 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护 1.什么是 CSRF CSRF(Cross-site request forgery)跨
csrf java_SpringSecurity 中的 CSRF实现
weixin_34704521的博客
02-23 340
1. 基础知识##csrf就是诱导已登录过的用户在不知情的情况下,使用自己的登录凭据来完成一些不可告人之事。比如利用img标签或者script标签的src属性自动访问一些敏感api,或者是伪造一个form标签,action的是一些敏感api,通过js自动提交表单等。1.1 防御手段###原则上修改功能的API,都要避免使用GET方式。然后就是两种防护手段,一个是校验referer,一个是csrf...
Java Web 应用的安全攻防之 CSRF 漏洞分析
最新发布
禅与计算机程序设计艺术
10-09 777
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one-click attack”或者Session riding,其利用网站对用户浏览器的信任,通过伪装成用户正常操作的动作,达到恶意盗取用户信息、执行违规操作等目的,是一种常用的Web应用安全漏洞。CSRF在很多Web应用中都存在着严重的隐患,攻击者可以盗用用户的登录信息、Cookie等,进而冒充用户进行各种恶意操作。因此,保护用户的个人信息安全、系统安全应首要考虑。
CSRF攻击浅析
南小瓜的专栏
09-08 351
引子 最近遇到一一个CRSF漏洞攻击,xss攻击经常经常听说,CSRF是什么,那么赶紧查一下资料吧,在此记录一下。 CSRF CRSF--Cross Site Request Forgery,跨站请求伪造,攻击者诱骗受害者访问第三方网站,在受害者访问第三方网站时,攻击者就可以拿到受害者的相关的信息,在受害者不知觉的情况下进行访问。假设小明在网上购物刚结算完,这时突然弹出了一个公告提示,小明好...
一文读懂CSRF攻击与防御
java爱好者
06-26 304
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 CSRF攻击介绍及防御
java csrf_Java解决CSRF问题
06-08
这样可以防止恶意攻击者通过程序自动提交表单。 4. 使用CSRF Token:在每个表单中添加一个CSRF Token,要求用户在提交表单时携带这个Token。服务器端对Token进行验证,如果验证失败,则认为请求不合法。可以使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值