csrf 生成java,一种在SpirngMVC3中防御CSRF攻击的实现

最新推荐文章于 2024-03-17 16:33:20 发布
最新推荐文章于 2024-03-17 16:33:20 发布
阅读量217 收藏
点赞数
文章标签: csrf 生成java

关于CSRF是什么东西,请参见我的博文:《浅析CSRF》。本文将给出一种在 SpringMVC3+Velocity 的框架下防御CSRF攻击的解决方案。主要思想参考 EYAL LUPU[1] 的解决方案,但使用Velocity宏来进行Token值的传递,而不是使用spring form标签。

一、方案概要

在服务器端生成私有的会话级token,使用Velocity的宏命令在客户端的Form表单中插入这个token;在表单提交后对,服务器端对token值进行校验,根据结果来区分该次请求是否合法:正确就放行,不正确就就阻断请求。

在这里,我们约定:凡是更新资源的操作,都通过POST向服务器端发送。这也是符合HTTP规范的约定。

二、Token生成

使用一个 CSRFTokenManager 类来进行token生成的工作,代码如下:

CSRFTokenManager.javacode view1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54package com.javan.security;

import java.util.UUID;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpSession;

/**

* A manager for the CSRF token for a given session. The {@link #getTokenForSession(HttpSession)} should used to obtain

* the token value for the current session (and this should be the only way to obtain the token value).

*/

public final class CSRFTokenManager{

/**

* The token parameter name

*/

static final String CSRF_PARAM_NAME = "xToken";

/**

* The location on the session which stores the token

*/

public final static String CSRF_TOKEN_FOR_SESSION_ATTR_NAME = CSRFTokenManager.class.getName() + ".tokenval";

public static String getTokenForSession(HttpSession session){

String token = null;

// cannot allow more than one token on a session - in the case of two requests trying to

// init the token concurrently

synchronized (session) {

token = (String) session.getAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME);

if (null == token) {

token = UUID.randomUUID().toString();

session.setAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME, token);

}

}

return token;

}

/**

* Extracts the token value from the session

*

* @param request

* @return

*/

public static String getTokenFromRequest(HttpServletRequest request){

String token = request.getParameter(CSRF_PARAM_NAME);

if (token == null || "".equals(token)) {

token = request.getHeader(CSRF_PARAM_NAME);

}

return token;

}

private CSRFTokenManager(){

};

}

getTokenForSession方法用于检查HTTP session中是否存在CSRF token:存在则返回;不存在则生成并存储到session中,然后返回。

三、Token依附到Form

由于我的前端使用 Velocity 进行渲染,并且不使用 Spring form标签,所以为了将token依附到Form表单中,我使用 Velocity 的宏指令进行渲染工作。

SpringMVC 中的配置,主要是配置 Velocity Tools:

mvc-context.xmlcode view1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

class="org.springframework.web.servlet.view.velocity.VelocityConfigurer">

utf-8

utf-8

class="org.springframework.web.servlet.view.velocity.VelocityViewResolver">

.vm

Toolbox.xml中定义生成 CSRF token 的 tool:

toolbox.xmlcode view1

2

3

4

5

6

7

csrfTool

application

com.javan.util.CSRFTool

工具类CSRFTool.java:

CSRFTool.xmlcode view1

2

3

4

5

6

7

8

9

10

11package com.javan.util;

import javax.servlet.http.HttpServletRequest;

import com.javan.security.CSRFTokenManager;

public class CSRFTool {

public static String getToken(HttpServletRequest request) {

return CSRFTokenManager.getTokenForSession(request.getSession());

}

}

页面渲染CSRF token的宏命令:

macros-default.vmcode view1

2

3

4

5

6

7

8

9#** CSRFToken

* Generate a input field of type 'hidden' of token to avoid CSRF attack

*#

#macro( CSRFToken $id)

#if(!$id || $id == "")

#set($id="xToken")

#end

#end

在前端的Form表单中添加token值:

1

2

3

4

#CSRFToken()

...

四、验证Token

当请求提交后,在服务器端验证token值,在这里定义一个拦截器CSRFHandlerInterceptor:

CSRFHandlerInterceptor.javacode view1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43package com.javan.security;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import org.springframework.web.servlet.resource.DefaultServletHttpRequestHandler;

/**

* A Spring MVC HandlerInterceptor which is responsible to enforce CSRF token validity on incoming posts

* requests. The interceptor should be registered with Spring MVC servlet using the following syntax:

*

*

*

*

*

* @see CSRFRequestDataValueProcessor

*/

public class CSRFHandlerInterceptor extends HandlerInterceptorAdapter{

@Override

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception{

if (handler instanceof DefaultServletHttpRequestHandler) {

return true;

}

if (request.getMethod().equalsIgnoreCase("GET")) {

// GET - allow the request

return true;

} else {

// This is a POST request - need to check the CSRF token

String sessionToken = CSRFTokenManager.getTokenForSession(request.getSession());

String requestToken = CSRFTokenManager.getTokenFromRequest(request);

if (sessionToken.equals(requestToken)) {

return true;

} else {

response.sendError(HttpServletResponse.SC_FORBIDDEN, "Bad or missing CSRF value");

return false;

}

}

}

}

在bean配置文件中配置:

1

2

3

4

五、注意事项

如果项目web.xml中指定了error-page错误页面(比如403状态码对应的页面等),那么需要注意CSRFHandlerInterceptor拦截的问题。

如果验证成功,请求将沿着处理链继续传递;如果验证失败,请求将被暂停,发出一个HTTP 403的状态代码作为响应。但是问题来了,如果设置了error-page,Servlet 容器会先根据响应状态码将原始请求转发(forward)到具体的错误页面,然后发送到客户端浏览器。由于使用了拦截器,这次forward请求会再次被拦截,验证方法也会被触发,会再次验证失败。前端看不到403的错误提示页面。具体解决方案参见这篇文章[2]。

源码已放到Github上,有需要的童鞋请移步

weixin_39593718
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
csrf java_SpringSecurity CSRF实现
weixin_34704521的博客
02-23 339
1. 基础知识##csrf就是诱导已登录过的用户在不知情的情况下,使用自己的登录凭据来完成一些不可告人之事。比如利用img标签或者script标签的src属性自动访问一些敏感api,或者是伪造一个form标签,action写的是一些敏感api,通过js自动提交表单等。1.1 防御手段###原则上修改功能的API,都要避免使用GET方式。然后就是两种防护手段,一个是校验referer,一个是csrf...
csrf 生成java_java相关:详解利用spring-security解决CSRF问题
weixin_33640562的博客
02-28 358
java相关:详解利用spring-security解决CSRF问题发布于 2020-7-20|复制链接摘记: CSRF介绍CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。具体SCRF的介绍和攻击方式请参看百度百科的介绍和一位大牛的分析:< ..CS...
Java代码实现角度探讨CSRF(未完待续)
拜占庭GeekMake的博客
07-03 4535
“图难于其易,为大于其细。天下难事,必作于易;天下大事,必作于细",出自老子的《道德经》以及韩非的《韩非子-喻老》。这句话大概意思是解决难事要从简单方面入手,做大事情要从细微角度着手。Web系统安全亦是如此,CSRF攻击已出现多年,安全从业者也提供了许多有针对性的解决方案。实际项目开发工作,除了一些资深开发工程师,大部分程序开发人员对CSRF的具体攻击形式与原理理解还不够深入。本文将以Java
CSRF跨站网站攻击+用springMVC拦截器拦截攻击
随笔一记/**
08-03 450
什么是跨站网站攻击? 这种方式是利用网站对用户网页浏览器的信任实现的。 例子: 用户A不久前使用过网站B,然后点击到某个页面的连接C内,这个链接C是去访问网站B并且做一些A不知道的操作的。 由于A不久前用过网站B,B以为这个A的真实操作,所以执行了。 这就是CSRF跨站网站攻击。 具体说明在维基百科: https://zh.wikipedia.org/wiki/跨站请求伪造 那么 如何使用spr...
Spring mvc拦截器防御CSRF攻击
热门推荐
jrn1012的专栏
10-07 1万+
CSRF(具体参考百度百科)       CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请
5分钟科普CSRF攻击防御,Web安全的第一防线
02-25
一、CSRF介绍二、CSRF攻击的危害三、CSRF攻击原理及过程四、CSRF漏洞检测五、CSRF漏洞预防六、最后聊聊xssCSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常缩写为...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发广泛存在。在SpringSecurity框架下,实现CSRF跨站攻击防御是非常重要的。本文将详细介绍...
CSRF攻击防御,Web安全的第一防线
01-27
CSRF(跨站请求伪造)攻击...总之,CSRF攻击一种严重的安全威胁,开发者应当采取多种防御措施,如Token验证、Referer检查等,确保Web应用程序的安全性。同时,定期进行安全审计和漏洞扫描是预防CSRF攻击的关键步骤。
Java代码审计安全篇-CSRF漏洞
最新发布
m0_63138919的博客
03-17 1261
本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Web 安全之 CSRF 攻击防御措施
qq_36196358的博客
11-27 334
Cross Site Request Forgery,文是:跨站点请求伪造。 CSRF 攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 举个例子 简单版: 假如博客园有个加关注的 GET 接口,blogUserGuid 参数很明显是关注人 Id,如下: htt
CSRF攻击的应对之道
11-30
CSRF 背景与介绍 CSRF 攻击实例 CSRF 攻击的对象 CSRF 攻击的对象 Java 代码示例
基于springmvc的轻量级安全认证框架
08-08
抛弃Shiro、Spring Security等安全框架繁琐的配置,改为注解实现权限管理,配合Spring MVC的RequestMapping注解,完美实现细粒度的权限控制。
CSRF攻击防御JAVA程序利用token前后端验证每一次请求进行防御
生活没有圈的博客
09-02 3222
整体思路是:访问页面就生成token,保存到session,并且前端将token放进header或者追加到请求地址最后面。后端拿到header或者请求token后比对session与herder或者请求token是否一致,一致测是同一次请求。有效的防止了,攻击者不从规定页面请求接口进行篡改利用。 每次请求,地址或者header携带TOKEN到服务端验证,防止CSRF攻击 下面是JAVA后端工具类 package com.invoice.util; import java.io.IOException
java csrf防御_前后端分离架构下CSRF防御机制
weixin_39594312的博客
03-04 485
背景1、什么是CSRF攻击?这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章:如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后,便立刻收到了短信:你的银行里的钱已经转移到这个人的帐户了。2、有哪些防御方案?上面这个例子当然有点危言耸...
html token生成,如何在Java提交带有生成值的隐藏csrf_token_login字段的html登录表单...
weixin_42512509的博客
06-09 283
我需要从网站自动下载文件。文件下载按钮只有在登录后才会显示,我提供了用户名和密码。在登录表单有两个隐藏字段其之一是用生成的值csrf_token_login:如何在Java提交带有生成值的隐藏csrf_token_login字段的html登录表单很清楚如何在Java(使用java.net.HttpURLConnection),如果我刚才登录,该代码密码(在Using java.net.URL...
java拦截csrf攻击,在SpringMVC使用拦截器(interceptor)拦截CSRF攻击
weixin_36039452的博客
03-22 635
(1)登录页面:从上面的代码可知,为了防止CSRF攻击,因此在form表单里添加了一个隐藏字段“_csrf”,其值是生成的一个随机小数(2)在SpringMVC的配置文件添加拦截器:从上面的代码知道,在这个文件添加了一个mvc:interceptors 标签,表示一系列的拦截器集合,然后下面定义了对登录时form表单提交地址“/check.html”进行拦截。下面一行的bean属性就是定义了...
Java 安全之:csrf防护实战分析
weixin_30423977的博客
09-02 335
  上文总结了csrf攻击以及一些常用的防护方式,csrf全称Cross-site request forgery(跨站请求伪造),是一类利用信任用户已经获取的注册凭证,绕过后台用户验证,向被攻击网站发送未被用户授权的跨站请求以对被攻击网站执行某项操作的一种恶意攻击方式。   上面的定义比较抽象,我们先来举一个简单的例子来详细解释一下csrf攻击,帮助理解。   假设你通过电脑登录银...
Spring security防止CSRF攻击
Lzc的博客
07-22 1901
在一个spring boot项目,需要防止CSRF攻击,按理说应该集成spring security才对。 但是不想使工程变得太复杂,这时可以只把spring security的相关filter引入来进行。 在pom添加相关依赖 <dependencies> <dependency> <groupId>org.spr...
Spring MVC防止csrf攻击的拦截器示例
lhever_的博客
03-01 4749
package com.hikvision.cms.pms.base;import java.util.HashSet; import java.util.Set;import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse;import org.apache.commons.l
"深入了解CSRF攻击防御
CSRF(Cross Site Request Forgery) 是一种网络安全漏洞,攻击者利用用户已登录的身份在不知情的情况下执行非本意的操作。CSRF课程.pdf是一门专门讲解CSRF基础知识、攻击原理和防御方法的课程。课程内容主要包括CSRF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值