Csrf攻击的解决思路

最新推荐文章于 2024-08-09 14:37:43 发布
最新推荐文章于 2024-08-09 14:37:43 发布
阅读量772 收藏 1
点赞数 1
分类专栏: 安全编程 文章标签: csrf 安全编码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40149557/article/details/88542806
版权

1.什么是Csrf攻击

关于什么是csrf攻击,这里不多赘述,可以参考下面的文章,写的不错。
浅谈CSRF攻击方式,今天这里主要记录如何防御csrf攻击。

2.防御csrf攻击

这里csrf攻击的防御采用以下方案:在用户发送请求之前,先通过ajax请求访问后台,生成一个随机数作为一个token,并将这个token保存在session,同时返回到前台页面,然后前台页面将这个token放在请求中,发送到后台,被过滤器拦截,判断请求中带的token和session中的token进行匹配,如果一致,则转发请求到真正的controller中处理。下面给出代码,因为这是自己这两天和朋友闲着做的一个项目,准备先写后台接口,还没有前台代码,所以这里只给出后台代码。

生成token的方法

/**
 * 工具类
 * @author HXY
 */
public class Utils {

    /**
     * 生成固定长度的token:包含大小写字母和数字
     * @param length 需要的token的长度
     * @return
     */
    public static String createToken(int length) {

        //token
        StringBuffer token = new StringBuffer();
        SecureRandom random = new SecureRandom();

        for (int i = 0; i < length; i++) {
            int num = random.nextInt(3);
            switch (num) {
                case 0:
                    //生成0-9之间的数字
                    token.append((int)random.nextFloat() * 9);
                    break;
                case 1:
                    //生成A-Z之间的字符
                    token.append((char) (65 + (int) (random.nextFloat() * 26)));
                    break;
                case 2:
                    //生成a-z之间的字符
                    token.append((char) (97 + (int) (random.nextFloat() * 26)));
                    break;
                default:
                    break;

            }
        }
        return token.toString();
    }
}

CsrfController ,所有请求在到达后台前,先访问这个controller,获取token,并且将token绑定在请求中,然后发送到后台。这里省去了前台代码。

/**
 * CsrfController 生成token,存储在session中并返回到前台
 * @author HXY
 * @version 1.0
 */
@RestController
public class CsrfController {

    private final static Logger logger = LoggerFactory.getLogger(CsrfController.class);

    /**
     * 在服务端保存token,并将生成的token返回到前台
     * @param request
     * @return 生成的token
     */
    @GetMapping("/honeybee/csrf")
    @ResponseBody
    public HoneyResult createToken(HttpServletRequest request) {
        logger.info("begin create csrfToken...");
        String token = Utils.createToken(128);
        //保存在session中
        request.getSession().setAttribute("token",token);
        logger.info("end create csrfToken...");
        //作为json格式返回到页面
        return new HoneyResult(token);

    }
}

过滤器,拦截所有请求,验证token。

/**
 * 防止csrf攻击的过滤器
 * @author HXY
 */
@WebFilter(urlPatterns = "/*", filterName = "csrfFilter")
public class CsrfFilter extends OncePerRequestFilter {

    private final static String REQUEST_METHOD_POST = "POST";
    private final static String REQUEST_METHOD_GET = "GET";
    private final static Logger logger = LoggerFactory.getLogger(CsrfFilter.class);

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        logger.info("Begin csrf...");

        //服务器端存储的token
        String token_server = (String) request.getSession().getAttribute("token");
        //客户端请求的token
        String token_client = (String) request.getAttribute("token");

        //如果是post请求,则做csrf校验
        if (REQUEST_METHOD_POST.equals(request.getMethod())) {
            if (null != token_client && null != token_server && token_client.equals(token_server)) {
                filterChain.doFilter(request, response);
            }
            logger.info("Csrf parameter is invalid...");
        }else if (REQUEST_METHOD_GET.equals(request.getMethod())){
            filterChain.doFilter(request,response);
        }

        logger.info("End Csrf...");
    }
}

代码是可以运行的。还没有页面,没有测试能不能有效防御csrf攻击。后续会进行严格测试,并进行补充。

代码地址:https://github.com/HXY-0227/honeybee

半__夏
关注
专栏目录
CSRF攻击原理与防御方法
墨痕诉清风的博客
02-25 4600
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
java防止csrf攻击_java网页程序采用 spring 防止 csrf 攻击.
weixin_42571444的博客
02-13 459
经常开发银行的应用,在安全性方面要求比较高,在安全性保护方面,csrf 攻击是必须测试的项目之一,关于什么是 csrf 攻击,我不想多做解释,网上已经介绍够多了,可以参看 IBM Developer works 的文章 http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ 这篇文章介绍了 csrf 的危害和一般解决办法,在实际开发...
CSRF原理及解决方案
weixin_44422272的博客
08-08 627
概念CSRF即Cross Site Request Forgy,跨站请求伪造。 原理 用户浏览并登陆(存在CSRF漏洞的)信任网站A 网站A验证通过,给用户返回一个cookie 用户在未登出的情况下(cookie未过期)登陆了恶意网站B 网站B带上网站A的身份(cookie)对网站A发起请求(修改你的密码,购物,转账,偷窥你的个人信息等) A并不知道请求是B发送的,会处理该恶意请求。 防御CSRF的策略 详情查看 验证 HTTP Referer 字段 在请求地址中添加 token 并验证 在 HTTP
CSRF 解决方案
asxw00的博客
09-18 651
小饥梳理了一遍公司网站所有的接口,发现很多接口都存在这个问题。于是采用了anti-csrf-token的方案。 具体方案如下: 服务端在收到路由请求时,生成一个随机数,在渲染请求页面时把随机数埋入页面(一般埋入 form 表单内,<input type="hidden" name="_csrf_token" value="xxxx">) 服务端设置setCookie,把该随机数作为cookie或者session种入用户浏览器 当用户发送 GET 或者 POST 请求时带上_csrf_t.
就一次!带你彻底搞懂CSRF攻击与防御
最新发布
公众号:该用户快成仙了
08-09 1277
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。----来自维基百科简单来说就是黑客冒充你执行一些恶意行为。跨站可以理解为你登录了A网站,然后访问了恶意B网站。HTTP请求。
csrf 攻击解决方案
pzqingchong的专栏
01-08 428
csrf 攻击解决方案
严重: A request has been denied as a potential CSRF attack.
zjqxr的专栏
04-12 186
crossDomainSessionSecurity false
web网站安全 CSRF介绍及解决方案
半夏_2021的博客
04-26 2101
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”。 是指恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 Cookie 可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事。
实现 CSRF 攻击简单示例
weixin_33989780的博客
06-21 2480
为什么80%的码农都做不了架构师?>>> ...
CSRF攻击与防御原理
小晓晓晓林的博客
08-22 2193
CSRF(Cross Site Request Forgery)跨站域请求伪造,是一种网络的攻击方式,它在2007年曾被列为互联网20大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用,也就是人们所知道的钓鱼网站。 CSRF介绍 CSRF攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻...
mybatis SQL注入攻击 以及XSS攻击csrf攻击
sinat_31396769的博客
12-28 2142
mybatis SQL注入攻击 以及XSS攻击csrf攻击 以上攻击形式跟原理不多做介绍,此处记录处理方案 SQL注入 问题:系统在经过安全扫描是,被告知存在SQL注入的封信,mybatis的预编译是不存在注入风险的,但是在排序字段的处理上,没法使用预编译,同时,在个别字段,存在使用$取值等不规范的操作,以上操作均会出现注入的风险 注入代码实例: 字段添加如下信息,虽然报错,但是会暴露出数据库用户...
CSRF 攻击的应对之道(原文来自IBM Developerworks)
wusuopuBUPT的专栏
07-22 1003
CSRF 背景与介绍 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在
CSRF攻击解决方案
qinheJ的博客
08-09 6607
CSRF 背景与介绍   CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。   然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail...
csrf攻击 java_spring boot中使用spring security的filter防止CSRF攻击
weixin_35346761的博客
02-21 477
在一个spring boot项目中,需要防止CSRF攻击,按理说应该集成spring security才对。但是不想使工程变得太复杂,这时可以只把spring security中的相关filter引入来进行。在pom中添加相关依赖org.springframework.bootspring-boot-starter-freemarkerorg.springframework.securityspr...
Spring MVC防御CSRF、XSS和SQL注入攻击
weixin_33774615的博客
11-01 543
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRFCSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,...
什么是 CSRF 、原理及其解决方式
m0_61869253的博客
01-01 1308
验证 HTTP Referer 字段根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。那么转账的操作一定是用户登录知乎在本站点的页面上操作的,因为可以将Referer字段限制为只允许本站点。在请求地址中添加token并验证CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。
Spring Controller 获取请求参数的几种方法
风雨无阻,执着追求!!!
12-15 3649
1、直接把表单的参数写在Controller相应的方法的形参中,适用于get方式提交,不适用于post方式提交。若"Content-Type"="application/x-www-form-urlencoded",可用post提交          url形式:http://localhost:8080/SSMDemo/demo/addUser1?username=lixiaoxi&pass
Web后端:CSRF攻击及应对方法
风静如云的博客
02-03 1537
CSRF攻击是开发Web后端时需要重点解决的问题。那么什么是CSRF攻击呢?CSRF跨站点请求伪造(Cross—Site Request Forgery),其主要利用的是Cookie的一个弱点,就是Cookie 最初被设计成了允许在第三方网站发起的请求中携带:关于Cookie :HTTP 协议是的,可以通过 Cookie 来维持客户端与服务端之间的“会话状态”。服务端通过响应头设置 Cookie 到客户端,而客户端浏览器会自动在下次向服务器发送请求时添加名为。
CSRF(Cross-Site Request Forgery)漏洞修复方案
qq_40472157的博客
05-29 590
【代码】CSRF(Cross-Site Request Forgery)漏洞修复方案。
CSRF攻击详解与防御策略
CSRF全称为跨站请求伪造(Cross-Site Request Forgery),这是一种网络攻击手段,攻击者利用受害者的已登录状态,伪造受害者的身份,执行未经授权的操作,通常在用户不知情的情况下进行。CSRF的原理主要基于HTTP协议中...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半__夏

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值