ajax请求安全性,Java中通过ajax验证请求的安全性

最新推荐文章于 2024-04-25 23:25:03 发布
最新推荐文章于 2024-04-25 23:25:03 发布
阅读量301 收藏
点赞数
文章标签: ajax请求安全性

不知道大家在开发项目时,常常为了项目接口被其他人无故乱调用而苦恼,比如商城系统中创建订单接口,被他人知道你的接口规则后,就会通过非法途径频繁的调用该接口,使数据库中的订单表大量增加一些无用的数据。今天在这里通过ajax来对请求接口做一些简单的安全验证。

下面不多说(新建一个SSM框架的web工程,主要有index.jsp,test.jsp,和TestController控制器),直接上代码:

首先,是test.jsp页面:

在test.jsp页面通过隐藏域的方式ajax提交数据,使用Java中UUIdUtils创建随机值作为校验标准。

//设置请求安全验证

session.setAttribute("random", UUIDUtils.create().replace("_", "_"));

%>

昵称:

密码:

通过ajax向接口(test/testRequestSafety.do)提交数据时,需要在发送ajax请求之前向http的header里面加入验证信息。

$(function(){

$("#btn").click(function(){

var r = $("#random").val();

var name = $("#name").val();

var pass = $("#pass").val();

alert(r);

$.ajax({

type: "post",

url: "test/testRequestSafety.do",

data: {

name: name,

pass: pass

},

beforeSend: function(xhr){

//发送ajax请求之前向http的header里面加入验证信息

xhr.setRequestHeader("token", r);

},

success: function(res) {

if(res.errcode == 0){

alert(res.msg);

window.location.href = "index.jsp";

}else {

alert(res.msg);

}

}

});

});

});

接下来就是在TestController中加以验证了,验证代码如下,

cdf62d8a31854140ae64e39d6fc66dd6.jpg

其实,验证方法就是通过获取在test.jsp页面中存在session中的random和发送ajax请求前设置在请求头中token的值来进行比较,二者一样则请求安全,否则请求不合法。

/**

* 验证请求是否安全

* @param request

* @param random 存放在session中的随机值

* @return

*/

private Boolean checkUrlSafety(HttpServletRequest request, String random){

String token = request.getHeader("token");

System.out.println("token:" + token);

if(token == null || "".equals(token)){

return false;

}

if(!random.equals(token)){

return false;

}

return true;

}

57b8225905de47999258ea15adf4687a.jpg

点击请求按钮,页面会弹出提示框

ce1f5e99e3f7460ba9531b6fdacd7e30.jpg

同时,在Java后台能看到打印信息

03fc553d5ebf4b1b855a143c2865d1a4.jpg

发觉ajax请求数据成功,random和token值相等,点击确定按钮,跳转到index.jsp页面。

cfca9620804d40e8b46541ab9e24b5df.jpg

这就可以看到该请求是一个合法的请求。

同时后台控制台看到token值为空,可知该接口调用非法,则后台拦截,不执行。

测试结束了。。。。。

当然,这只是一个简单的请求安全校验,更加复杂的还需后面继续勤勉努力探索,谢谢大家!!!

weixin_39886547
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前后端ajax请求交互验证(通用代码实现)
空山新雨后,天气晚来秋
10-14 1383
目录 案例1:用户注册 案例2:修改操作 提示:本文使用的是原生的ajax和js 案例1:用户注册 前端 <form th:method="post" name="fm" th:action="@{../cusRegPath/regi}" onsubmit="return checkForm()"> <div class="content2"> &............
关于ajax请求报文的验证,获取有效的请求
积跬步,至千里
10-03 963
最近简单的学习了一下 ajax请求验证验证的机制是根据http请求的 requset header发送的,接下来看看例子 $(function () { $.ajax({ headers: { userName: "admin", paasword: "123" }, **//在请求的报文添加headers给到相应的数据,我这是固定了** type:...
JavaWeb AJAX和JSON详解详解详解
最新发布
weixin_63601058的博客
04-25 770
AJAX:(Asynchronous Javascript And XML) 翻译成文就是“异步JavaScript和XML”。即使用Javascript语言与服务器进行异步交互,传输的数据为XML(当然,传输的数据不只是XML,也可以是json格式数据)。
ajax验证作用,ajax简单实时验证功能实现方法
weixin_28841265的博客
08-05 419
Ajax 即“Asynchronous Javascript And XML”(异步 JavaScript 和 XML),是指一种创建交互式网页应用的网页开发技术。本文主要介绍了ajax实现简单实时验证功能,需要的朋友可以参考下,希望能帮助到大家。Ajax = 异步 JavaScript 和 XML(标准通用标记语言的子集)。Ajax 是一种用于创建快速动态网页的技术。Ajax 是一种在无需重新加...
html+ajax安全性,Ajax安全性问题
weixin_39622225的博客
06-10 133
Ajax或“非同步JavaScript和XML”是一个相对较新的和动态的Web技术,其工作在异步方式与服务器进行交互。在传统的Web方法使一个新的浏览器刷新整个页面,并重新加载它,这是既耗时又耗费带宽的要求。使用AJAX,子程序可以不完全重新加载页面请求新的服务器数据,从而给用户带来更快的和丰富的体验。它发生在后台用户不知情的情况下,用户看到的是一个流畅的体验。XMLHttpRequest对象是用...
从前端角度看ajax如何保护接口的安全性
diaolanbeng0962的博客
05-16 560
一、前言   在web,使用Ajax调用API,撇开跨域不讲,怎么做安全验证,防止别的网站调用呢?假设没有做安全保障,任何用户都可以直接访问接口,这回暴露出极大的安全隐患。 二、后端怎么做?   1、一些接口强制用户必须登录,通过查看sessionId来做判别,没登录则不返回数据或者返回401或者403;   2、cookie校验+session;   3、通过判断refer...
Java后台判断ajax请求及处理过程详解
08-19
然而,当涉及到登录验证、会话管理等场景时,需要特别处理AJAX请求,以确保用户交互的顺畅性和安全性。 一、问题描述: 在用户认证的场景下,通常会使用过滤器(Filter)或拦截器(Interceptor)来检查用户是否已...
SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐)
08-28
我们可以使用同样的解决方案来处理移动端请求验证问题,确保移动端请求安全性。 知识点8:MyBatis配置 在使用MyBatis框架时,我们需要配置MyBatis的配置文件,包括数据库连接信息、SQL语句等。同时,我们还需要...
解决拦截器对ajax请求的拦截实例详解
08-31
在Web开发,拦截器(Interceptor)是一种常用的机制,它...这有助于保持应用的安全性和用户体验,特别是在需要进行身份验证和权限控制的场景下。理解并正确使用这些技术对于优化Web应用程序的架构和功能至关重要。
Ajax请求session失效该如何解决
10-23
在Web应用程序,Session是服务器用来跟踪用户状态的重要机制。...这种做法确保了无论是常规请求还是Ajax请求,当Session失效时都能正确地通知用户并引导他们重新登录,从而保持应用的安全性和用户体验。
Ajax 异步请求-校验用户名唯一性
11-08
在Web开发Ajax(Asynchronous JavaScript and XML)是一种创建动态网页的技术,允许在不刷新整个页面...注意在实际开发,还要考虑错误处理、安全性(防止XSS和CSRF攻击)、性能优化(如使用缓存)等方面的问题。
通过生成Token解决Ajax请求安全问题AjaxTokenTest
07-24
通过页头生成Token,进行请求验证,解决Ajax请求安全问题。目前为止我做的最多的防止ajax请求攻击的就是添加验证码、添加随机Token,限制同一请求在规定时间内的最大请求数量、服务器端校验数据正确性、尽量使用POST方法。 此程序是在ajax请求的http头添加一个随机Token来增加ajax请求安全性。此程序由网友提供思路本人完成改进测试。
关于AJAX安全性
思月行云
10-27 457
摘要: 日前网络流行围绕AJAX和安全风险的讨伐声浪让人不绝于耳。这种火热的新技术已经被铺天盖地地应用在各种web应用(构建如Gmail、Google Maps这些基于web的应用),但在其炙手可热的光环背后隐藏着一个黑暗的鬼怪——AJAX正在为心怀恶意的hacker打开着后门。但这并不完全正确:多数web站点都是不安全,但AJAX并不是罪魁祸首。  AJAX真的不安全?! 前言    ...
java 安全验证方法
weixin_33877092的博客
06-27 426
输入数据验证:虽然为方便用户而在客户端层上提供数据验证,但仍必须使用 Servlet 在服务器层上执行数据验证。客户端验证本身就不安全,因为这些验证可轻易绕过,例如,通过禁用 Javascript。一份好的设计通常需要 Web 应用程序框架,以提供服务器端实用程序例程,从而验证以下内容:[1] 必需字段[2] 字段数据类型(缺省情况下,所有HTTP 请求参数都是“字符串”)[...
Java Web的安全验证机制
Java技术
10-31 2585
security-constraint部署描述符的security-constraint元素允许不通过编程就可以限制对某个资源的访问。<!ELEMENT security-constraint (display-name?,web-resource-collection+,auth-constraint?, user-data-constraint?)> <!ELEMENT display-nam
ajax 如何保证数据的安全性
w001yy的博客
09-01 414
ajax 如何保证数据的安全性 假如跨站伪造请求成功,怎么保证 ajax 的数据安全性? 问题的根源 答主 bumfod 说的确实有道理。crsf 的成因在一定程度上确实是由于http有状态的原因(cookie维持状态),并不是我之前所说的是 http无状态的原因。 在此如果有人被误导,我表示抱歉。 我们如果能验证请求确实来是用户确认(自愿)发出的,而不是用户误导的情况下发出的,就能解决这个问题。 检查Referer标头确实是一种方案,但是该标头也有可能被篡改,而且浏览器的实现不一。 举个例子 以RESTf
java 第三方接口安全性_提供接口给第三方使用,需要加上校验保证接口的安全性(rsa加密解密)...
weixin_35943077的博客
02-27 1692
最近项目组给了一个需求,需要我这边写一个接口,给第三方使用。当时就想,这不是很简单嘛,唰唰唰,就写好了。突然想到,没有限制条件,那岂不是太不安全了,谁都可以调我这个接口了啊。然后就想了想,emmmm,ras好像可以用的啊,那就直接写写看吧。RSA的加密过程如下:(1)A生成一对密钥(公钥和私钥),私钥不公开,A自己保留。公钥为公开的,任何人可以获取。(2)A传递自己的公钥给B,B用A的公钥对消息进...
ajax请求时,如何验证发送的请求数据
05-31
在服务器端进行数据验证可以确保数据的安全性,因为客户端的数据可以被篡改。例如,可以检查请求数据是否为空、是否符合特定规则等。 3. 使用第三方库进行数据验证:可以使用第三方库来验证数据,如 Validator.js、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值