java csrf解决方案_java – 在不添加所有表单的隐藏输入的情况下,针对CSRF保护旧的Web应用程序...

最新推荐文章于 2022-06-29 10:55:10 发布
最新推荐文章于 2022-06-29 10:55:10 发布
阅读量169 收藏
点赞数
文章标签: java csrf解决方案
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39944146/article/details/115067803
版权

在我们最近的Java Web应用程序安全扫描期间,我们发现了CSRF漏洞.

我知道对于使用像Spring Security这样的安全框架的新应用程序,我们可以轻松地为每个表单添加隐藏的输入并执行其他所需的配置,这将解决问题.

name="${_csrf.parameterName}"

value="${_csrf.token}"/>

但是我们的应用程序仍然使用acegi-security(1.0.2)并且有多个用JSP编写的表单.

在所有这些表单上添加输入类型隐藏的csrf标记似乎非常繁琐.没有所有这些艰苦的工作,是否有更智能的方法来保护我的应用程序.

解决方法:

同步器令牌模式是防止CSRF的最佳方式.

防止CSRF的另一种方法是检查referer标头.一个示例代码,

String request_origin = request.getHeader("referer");

//check if origin of the request

//is coming from known source

if(!knownURIs(request_origin)){

//reject the request

}

else

//process request

但是,如果您使用HTTPS和/或您的站点容易受到XSS / Open重定向的影响,则此方法将无效,这可能很容易绕过此检查.

标签:java,spring-security,csrf

来源: https://codeday.me/bug/20190708/1400067.html

weixin_39944146
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java csrf解决方案_Java 安全之:csrf防护实战分析
weixin_39569753的博客
02-16 1044
上文总结了csrf攻击以及一些常用的防护方式,csrf全称Cross-site request forgery(跨站请求伪造),是一类利用信任用户已经获取的注册凭证,绕过后台用户验证,向被攻击网站发送未被用户授权的跨站请求以对被攻击网站执行某项操作的一种恶意攻击方式。上面的定义比较抽象,我们先来举一个简单的例子来详细解释一下csrf攻击,帮助理解。假设你通过电脑登录银行网站进行转账,一般这类转账页...
防止CSRF攻击.txt
11-06
1. Hello World 2. 介绍 3. 关于认证技术 3.1 Cookies Hashing 3.2 HTTP来路 3.3 验证码 4. 一次性令牌 5. 最后的话
Java解决CSRF问题
asdfgh0077的博客
10-23 200
Java解决CSRF问题
利用Java编码测试CSRF令牌验证的Web API
weixin_33734785的博客
08-17 197
前一篇拙文是利用了Jmeter来测试带有CSRF令牌验证的WebAPI;最近几天趁着项目不忙,练习了用编码的方式实现。 有了之前Jmeter脚本的基础,基本上难点也就在两个地方:获取CSRF令牌、Cookie的传递。 首先添加依赖,在POM.xml中添加以下内容: <!-- https://mvnrepository.com/a...
Java代码实现角度探讨CSRF(未完待续)
拜占庭GeekMake的博客
07-03 4527
“图难于其易,为大于其细。天下难事,必作于易;天下大事,必作于细",出自老子的《道德经》以及韩非的《韩非子-喻老》。这句话大概意思是解决难事要从简单方面入手,做大事情要从细微角度着手。Web系统安全亦是如此,CSRF攻击已出现多年,安全从业者也提供了许多有针对性的解决方案。实际项目开发工作中,除了一些资深开发工程师,大部分程序开发人员对CSRF的具体攻击形式与原理理解还不够深入。本文将以Java
Web应用程序常见漏洞CSRF的入侵检测与防范
03-01
互联网的安全问题一直存在,并且在可预见的未来中没有消弭的迹象...跨站请求伪造(CSRF)的是Web应用程序一种常见的漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web2.0技术的应用的背景下,CSRF攻击完全可以在
Daishi.Armor.WebFramework:保护ASP.NET应用程序免受CSRF攻击
05-05
ARMOR Web框架提供了一种利用此技术来抵制针对ASP.NET应用程序CSRF攻击的方法。 单击有关使用此框架保护ASP.NET应用程序免受CSRF攻击。安装PM> Install-Package Daishi.Armor.WebFramework 样例代码产生金钥ARMOR...
Web应用安全:针对内部网络的CSRF攻击.pptx
06-19
Web应用安全:针对内部网络的CSRF攻击.pptx
Web应用安全:针对内部网络的CSRF攻击.docx
06-17
Web应用安全:针对内部网络的CSRF攻击.docx
Web应用安全:CSRF防范对策.pptx
06-19
在通常情况下,访问一个安全受限页面的请求来自于同一个网站,而如果黑客要对其实施 CSRF攻击,他一般只能在他自己的网站构造请求。因此,可以通过验证Referer值来防御CSRF 攻击。 CSRF防范对策 2、CSRF的主要防范...
java报错 csrf_CSRF Security Error解决办法
weixin_42203796的博客
02-25 327
在myeclipse上部署项目,遇到如下问题:错误描述:org.directwebremoting.dwrp.BaseDwrpHandler - A request has been denied as a potential CSRF attack.org.directwebremoting.dwrp.BaseCallHandler - Exception while processing ba...
使用iframe标签隐藏CSRF代码
weixin_30649859的博客
01-07 242
index.html <iframe src="1.html" width="0" height="0"></iframe> 1.html 中嵌入CSRF代码 <h1>系统升级中,暂时无法访问</h1> 查看日志: 114.xx.xx.xx - - [07/Jan/2018:12:21:55 +0800]...
html表单缺乏csrf防护,表单验证因缺少CSRF而失败
weixin_30394975的博客
06-19 1336
我重置了本地flask环境,但是没有通过捕获它的依赖项,pip freeze然后再将其删除。因此,我不得不重新安装整个堆栈的最新版本。现在,我突然无法使用表单进行验证了。Flask声称CSRF将丢失。def register():form = RegisterForm()if form.validate_on_submit():...return make_response("register.h...
7.CSRF漏洞 POST请求隐藏
qq_34620296的博客
10-14 586
首先是新建一个CSRF PoC html文件 <form action="https://bug.chinacycc.com/action.php" method=POST> <input type="hidden" name="type" value="add&#95;address" /> <input type="hidden" name="info" value="111111" /> <input type="
csrf防御 java_防御CSRF攻击
weixin_35509069的博客
02-23 368
跨站请求伪造(CSRF)是一种安全漏洞,攻击者利用受害者的 session 来通过受害者的浏览器发出请求。攻击者通过受害者的浏览器发送请求,并伪造成是受害者自己发出的请求。建议你先熟悉CSRF,哪些是相关的攻击向量而哪些不是。我们建议从这里开始。很难直接区分哪些请求是安全的而哪些请求容易被CSRF攻击,这是因为没有对插件及未来扩展的明确规范。因为历史遗留原因,浏览器的插件及扩展放宽了信任规则,引入...
java csrf_Java Web项目编码中的CSRF怎么防护?
weixin_29500837的博客
02-15 108
CSRF是Cross Site Request Forgery的缩写(也缩写为CSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情。这些事情用户未必知道和愿意做,你可以把它想做HTTP会话劫持。网站是通过cookie来识别用户的,当用户成功进行身份验证之后浏览器就会得到一个标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问这个网站会带...
【记录】没有CSRF保护的HTML表单 漏洞解决办法
热门推荐
Damionew的博客
02-28 1万+
解决方法:Cookies Hashing:每一个表单请求中都加入随机的Cookie,由于网站中存在XSS漏洞而被偷窃的危险。 在Jsp文件头引入 &lt;%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%&gt; 在登录的jsp中添加 &lt;% //增加随机数,解决 ...
asp html表单没有csrf保护,CSRF在ASP.NET Core中的处理方法详解
weixin_36337756的博客
06-28 749
前言前几天,有个朋友问我关于AntiForgeryToken问题,由于对这一块的理解也并不深入,所以就去研究了一番,梳理了一下。在梳理之前,还需要简单了解一下背景知识。AntiForgeryToken 可以说是处理/预防CSRF的一种处理方案。那么什么是CSRF呢?CSRF(Cross-site request forgery)是跨站请求伪造,也被称为One Click Attack或者Sessi...
html表单csrf攻击的解决方案
sunchanglan151的博客
06-29 1202
java csrf_Java解决CSRF问题
最新发布
06-08
Java中可以通过以下方式解决CSRF问题: 1. 验证请求来源:在服务器端验证请求是否来自合法的来源。可以通过在每个表单添加一个隐藏域,保存一个token值,然后将这个token值与session中保存的token值进行比较。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值