无csrf防护的html页面,Springs CSRF保护仅* HTML登录页面

最新推荐文章于 2023-09-14 21:47:26 发布
最新推荐文章于 2023-09-14 21:47:26 发布
阅读量225 收藏
点赞数
文章标签: 无csrf防护的html页面

我正在尝试利用Spring Security内置的CSRF保护。这些是我正在使用的spring版本:

Spring Framework版本-4.2.1

spring安全-4.0.2

Spring安全性文档提到,还必须保护登录页面不受CSRF攻击。我看到启用CSRF保护(并且没有传递令牌)时,登录不起作用-符合预期。

我的登录页面是纯HTML页面(不是JSP),并且我无法使用任何Spring或JSTL标记。我正在考虑实施一种类似于此处所述的解决方案-

如以上链接所述(作者的博客在评论中链接到接受的答案),该解决方案是在登录页面上进行AJAX调用,该调用将获取CSRF令牌的值,然后将其包含在登录请求中

但是,spring文档还提到,一旦访问csrfToken,就会创建一个新的HttpSession。我有几个问题-

我的ajax调用无法获得csrf令牌,因为我必须在登录之前调用它。

考虑到ajax调用不安全,一旦访问CSRF令牌就立即生成新的HttpSession的事实也引起了人们的关注。

该应用程序的其余部分仅进行AJAX或REST调用,我计划实现客户端拦截器,以便在用户登录后将CSRF令牌包含在标头中(据我了解,用户会话有一个CsrfToken)

有没有人对使用spring的CSRF保护纯HTML登录页面有想法?

徐竑洋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
laravel框架中表单请求类型和CSRF防护实例分析
12-20
本文实例讲述了laravel框架中表单请求类型和CSRF防护。分享给大家供大家参考,具体如下: laravel中为我们提供了绑定不同http请求类型的函数。 Route::get('/test', function () {}); Route::post('/test', function () {}); Route::put('/test', function () {}); Route::patch('/test', function () {}); Route::delete('/test', function () {}); Route::options('/test', funct
CSRF防御方案
hdwlwang的博客
04-24 3918
我们也可以用自定义HTTP头的方法来防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
CSRF 攻击的防范措施
程序员徐师兄的博客
07-13 2011
CSRF 攻击是一种常见的 Web 攻击,可以通过利用用户已登录的身份,向目标网站发送恶意请求,从而实现攻击目的。为了避免 CSRF 攻击,开发者需要采取一些防范措施,例如随机令牌、Referer 校验和 SameSite Cookie 等。建议采用多种防范措施,以增强 Web 应用程序的安全性。
WEB安全入门:如何防止 CSRF 攻击?
AzulSystems的博客
02-19 1378
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。
CSRF漏洞原理攻击与防御(非常细)
Karka_的博客
06-07 1081
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
csrf防护机制
凉茶铺的博客
07-17 2000
CSRF(Cross-siterequestforgery),中文名称跨站请求伪造你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括个人隐私泄露以及财产安全。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如。...
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
CSRF漏洞攻击原理及防御方案
xv7777666的博客
04-07 2673
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。但是,如果用户还未退出网站A,或者当时恰巧刚访问网站A不久,他的浏览器与网站A之间的session 尚未过期,浏览器的cookie 之中含有用户的认证信息。这时,悲剧发生了,这个url 请求就会得到响应,黑客就能以用户的权限修改密码,且用户毫不知情。在通常情况下,验证码能很好遏制CSRF攻击。
CSRF漏洞的防护措施
m0_55017965的博客
04-15 473
2,对HTTP请求头部REFERER字段进行验证(原理:攻击者构造的恶意链接其发送的HTTP请求的REFERER字段肯定不是服务端本身)1,HTTP请求数据包增加Token认证信息(原理:因为Token是随机且需要服务端验证通过的,所以可以避免CSRF攻击的发生)4,对于网站的密码修改等涉及重要更改的操作,设置需要输入旧密码才支持修改。3,网站的敏感信息等更改操作,增加验证手段,如增加验证码验证。
防止CSRF攻击三种方法
key_3_feng的博客
02-23 2906
如何防止 CSRF 攻击,具体来讲主要有三种方式:充分利用好 Cookie 的 SameSite 属性、验证请求的来源站点和使用 CSRF Token。这三种方式需要合理搭配使用,这样才可以有效地防止 CSRF 攻击。
csrf漏洞例子(html、css、JavaScript、php)
04-26
demo例子操作步骤 1、登录获取身份认证(这里用到session) ...一旦目标登录了网站访问了这个网页,就会利用session给jake转账100元 可以在目录下查看journal.txt查看转账日志//每刷新一次页面就会转一次账
Shiro开启CSRF表单防护
12-08
Shiro开启CSRF表单防护
第二节 无防护CSRF漏洞利用-01
最新发布
09-15
第二节 无防护CSRF漏洞利用-01
spring security CSRF防护的示例代码
08-26
主要介绍了spring security CSRF防护的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
【 安全】什么是CSRF攻击?如何避免?开发的时候怎么预防?
DreamSun的博客
09-14 2979
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
CSRF的攻击与法防御
m0_61869253的博客
03-18 209
CSRFTester是一款CSRF漏洞的测试工具。CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。
CSRF漏洞及防护策略
若明天不见
07-25 1000
CSRF全称为Cross Site Request Forgery,译为跨站请求伪造。CSRF指攻击者盗用了用户的身份,以用户的名义在其不知情的情况下发送恶意请求。CSRF的常见攻击常见包括:以用户的名义发送邮件、发送消息、购买商品、虚拟货币转账等。 本文主要描述了CSRF原理、CSRF的攻击类型及相关防护策略
CSRF攻击原理和防护措施讲解
阿飞
04-16 3751
CSRF(Cross Site Request Forger)跨站请求伪造详细讲解
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
weixin_45114101的博客
12-26 2393
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
增加对html表单的csrf保护 方法
06-07
要增加对 HTML 表单的 CSRF 保护,可以采取以下方法: 1. 在表单中添加 CSRF Token 字段 在表单中添加一个随机生成的 CSRF Token 字段,并在服务器端验证该字段的有效性。可以使用一些现成的框架来生成和验证 CSRF ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值