java拦截csrf攻击,在SpringMVC中使用拦截器(interceptor)拦截CSRF攻击

最新推荐文章于 2023-06-19 17:52:07 发布
最新推荐文章于 2023-06-19 17:52:07 发布
阅读量621 收藏
点赞数
文章标签: java拦截csrf攻击

(1)登录页面:

从上面的代码可知,为了防止CSRF攻击,因此在form表单里添加了一个隐藏字段“_csrf”,其值是生成的一个随机小数

(2)在SpringMVC的配置文件中添加拦截器:

从上面的代码知道,在这个文件中添加了一个 mvc:interceptors 标签,表示一系列的拦截器集合,然后下面定义了对登录时form表单提交地址“/check.html”进行拦截。下面一行的bean属性就是定义了自定义拦截器的类所在的路径

注:后面那个拦截器这里不用管,我在写后面的文章时才会用到

(3)自定义拦截器LoginInterceptor:

这个自定义拦截器的逻辑很简单,就是把form表单隐藏域“_csrf”中的值和session中的“_csrf”值进行比较。如果二者相同,则说明该请求是从前台form表单中传进来的,而不是其他网站的伪造请求(PS:因为这种方式没法向session中定义“_csrf”参数);同时也防止form表单的重复提交(PS:因为第一次验证过后session中的“_csrf”就已经被移除了,除非前台刷新页面才会重新生成),避免了爆破撞库等安全隐患。当然,为了进一步降低安全隐患,这里的form表单还应该添加复杂的动态验证码。我这里是由于为了让示例更简洁,因此就把这一步给省略了

(4)验证:

第一次提交表单,发现可以正常到达后台进行验证

第二次点击浏览器的“返回键”,返回到表单页面之后重复提交,可以发现直接被拦截了。效果如下:

4f63ab39099fcfecc253301096474c35.png

本文转自 pangfc 51CTO博客,原文链接:http://blog.51cto.com/983836259/1877586,如需转载请自行联系原作者

如获藕似投桃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解如何在spring boot使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
csrf 原理与解决方案
水墨江南
10-09 6343
一.CSRF是什么?   CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号...
跨站请求伪造(CSRF)、主机头攻击、非GET/POST方法预防,一篇就够!
最新发布
m0_47905795的博客
06-19 895
当前在处理系统安全测试缺陷问题时,发现诸多安全问题,记录解决过程和方法,分享共勉。解释:在计算机网络,主机头攻击是一种网络安全攻击方式,它利用了网络协议栈的缺陷,以伪造的IP地址为源地址向网络发送数据包,目的是在欺骗目标主机,使其认为这些数据包是从指定的合法源发出的,并从而欺骗目标主机执行一些攻击者预期的动作。主机头攻击通常也被称作,攻击者会伪造数据包的。
Spring MVCCSRF攻击防御
Sunny的专栏
08-05 3844
原文地址:http://moon-walker.iteye.com/blog/2397907,https://www.oschina.net/code/snippet_1029551_27153#45401 此文仅作为当时解决此问题记录 CSRF攻击 CSRF攻击全称为:Cross-site request forgery,直接翻译为:跨站请求伪造。直接看名称还是有点难以理解,容易跟XSS攻...
spring拦截冲突问题及解决
wenli666的博客
01-13 1442
一、背景 最近在一个springmvc+mtbatis项目配置自定义拦截时发现了一些问题,主要就是由<mvc:annotation-driven />这狗比引起的,害的我找了好久,再加上网上各种抄袭博客内容相同,真正解决问题的很少,所以记录下来,以供各位尽早出坑。 二、解决方案 1.如果没有使用<mvc:annotation-driven />,直接使用常规自定义...
Springboot实现csrf拦截
初学者乐园的博客
03-10 6466
Springboot实现csrf拦截,仅供参考: /** * csrf拦截 * */ @Component("csrfInterceptor") public class CsrfInterceptor extends HandlerInterceptorAdapter { @Autowired private Configuration configuration; ...
CSRF安全漏洞
Given Wu
10-31 327
先看看跨站请求伪造(CSRF攻击)理解 一 概念 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 二 过程 1 受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/wit...
安全01-后台增加Referer校验防范CSRF跨站请求伪造
windows_apple的博客
12-01 3300
CSRF文名字,跨站请求伪造。攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。 防范方案: 1、验证HTTP Referer字段。 2、请求地址添加token并验证(token不放在cookie,放在http请求参数,服务端对其进行验证) 3、将token加入http头属性,避免了token出现在浏览,被泄露。 Referer验证方案: 根据HTTP协议,在HTTP头部有一个Re
在Django预防CSRF攻击的操作
09-17
主要介绍了在Django预防CSRF攻击的操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
PHP开发csrf攻击的简单演示和防范
10-19
CSRF的全名为Cross-site request forgery,它的文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对...
CSRF漏洞攻击原理及防御方案
xv7777666的博客
04-07 2612
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求所有的用户验证信息都是存在于 cookie ,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。但是,如果用户还未退出网站A,或者当时恰巧刚访问网站A不久,他的浏览与网站A之间的session 尚未过期,浏览的cookie 之含有用户的认证信息。这时,悲剧发生了,这个url 请求就会得到响应,黑客就能以用户的权限修改密码,且用户毫不知情。在通常情况下,验证码能很好遏制CSRF攻击
2022-09-07 请求头referer拦截防止csrf攻击
Young的博客
09-07 1742
工作用到的对csrf攻击的简单防范方法
Java xss攻击拦截Java CSRF跨站点伪造请求拦截
蕃薯耀的博客
05-07 444
Java xss攻击拦截Java CSRF跨站点伪造请求拦截 ================================ ©Copyright 蕃薯耀2021-05-07 https://blog.csdn.net/w995223851 一、Java xss攻击拦截 XssFilter过滤 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain;...
Spring mvc拦截防御CSRF攻击
热门推荐
jrn1012的专栏
10-07 1万+
CSRF(具体参考百度百科)       CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请
Java利用拦截处理XSS漏洞
sunon_的博客
04-29 3310
Java利用拦截处理XSS漏洞 当应用程序的新网页包含不受信任的、未经恰当验证或转义的数据时,或者 使用可以创建 HTML 或 JavaScript 的浏览 API 更新现有的网页时,就会出 现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览执行脚本,并劫持用户 会话、破坏网站或将用户重定向到恶意站点。 在表单提交或者 url 参数传递前,对需要的参数进行过滤; 2.过滤用户输入的 检查用户输入的内容是否有非法内容。如<>(尖括号)、” (引号)、 ‘(单引号)、%(百分比符号
Java web解决CSRF攻击漏洞
goodmentc的专栏
12-11 1731
一、概述 简单介绍一下csrf攻击漏洞。就是你的网站cookie和session信息可以被其他网站盗用,用于非法请求。 应用开发环境:IDEA+JDK1.8 开发框架:Spring boot +thymeleaf+shiro 测试:第三方安全公司渗透测试。 二、解决方法 这里只讲主动防御方法。 总体思路是:用户登录时,服务端分配一个随机token,存储到session里。用户进行其他请求时,从session里取出这个token放到请求头headers里,服务端收到请求时,从请求头里取出token,和sess
Spring官方提供【CSRF攻击】解决方案
qq_35040959的博客
01-16 1578
·Spring官方提供【CSRF攻击】解决方案
spring mvc实现csrf安全防御简记
nizen的专栏
08-06 1万+
1.csrf是什么 csrf全称是Cross-site request forgery,http://en.wikipedia.org/wiki/Csrf 危害:使受害用户在不经意间执行了不是用户意愿的请求。最终导致泄密和执行了其他高危害操作。 2.一般防御做法 防御基本原理:本质上是做好用户数据提交的完整性,保证用户提交的内容是用户发起的非篡改过的请求。 通常做法是,在用户在访问页面的
springmvc拦截
06-10
Spring MVC 拦截Interceptor)是一种强大的机制,它可以拦截客户端请求并在控制处理请求之前或之后执行一些操作。拦截可以用于许多用例,例如身份验证、日志记录、性能监视、跨站点请求伪造(CSRF)防护等。 在 Spring MVC 拦截是基于 Java 的接口 org.springframework.web.servlet.HandlerInterceptor 实现的。此接口定义了三个方法,它们是: - preHandle(): 在控制处理请求之前调用,返回值为布尔类型。如果该方法返回 true,则继续执行后续拦截或者控制处理请求;如果该方法返回 false,则停止执行后续拦截或者控制处理请求。 - postHandle(): 在控制处理请求之后、视图呈现之前调用。可以通过该方法修改 ModelAndView 的模型数据或者视图。 - afterCompletion(): 在视图呈现之后调用,用于清理资源。 要使用拦截,需要在 Spring MVC 配置文件进行配置。可以通过 <mvc:interceptors> 标签或者实现 WebMvcConfigurer 接口进行配置。以下是一个拦截的示例代码: ```java public class MyInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 在控制处理请求之前执行 return true; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { // 在控制处理请求之后、视图呈现之前执行 } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { // 在视图呈现之后执行 } } ``` 在配置文件进行配置: ```xml <mvc:interceptors> <bean class="com.example.MyInterceptor" /> </mvc:interceptors> ``` 这样就可以将 MyInterceptor 拦截应用到所有的控制了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值