SpringBoot添加Referer拦截器最详细实例

最新推荐文章于 2024-08-17 19:05:10 发布
最新推荐文章于 2024-08-17 19:05:10 发布
阅读量3.6k 收藏 6
点赞数
分类专栏: 学习笔记 文章标签: spring boot java Referer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42209368/article/details/120523492
版权

背景:项目进行了安全漏洞扫描,扫描中风险提示需要验证“Referer”头的值。

application-referer.yml配置可访问referer地址

application-referer:
  refererDomain:
    - http://42.228.55.222
    - https://42.228.55.222
    - http://59.207.61.21

 加载application-referer.yml文件获取referer list

package com.kun.boot.adapter.properties;

import lombok.Data;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.List;

@Component
@Data
@ConfigurationProperties(prefix = "application-referer")
public class RefererProperties {
    // 白名单域名
    List<String> refererDomain = new ArrayList<>();
}

 referer拦截器:

package com.kun.boot.adapter;

import com.kun.boot.adapter.properties.RefererProperties;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.net.MalformedURLException;

public class RefererInterceptor extends HandlerInterceptorAdapter {

    @Autowired
    private RefererProperties properties;
    @Override
    public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) {
        String referer = req.getHeader("referer");
        String host = req.getServerName();
        // 只验证POST请求
        if ("POST".equals(req.getMethod())) {
            if (referer == null) {
                // 状态置为404
                resp.setStatus(HttpServletResponse.SC_NOT_FOUND);
                return false;
            }
            java.net.URL url = null;
            try {
                url = new java.net.URL(referer);
            } catch (MalformedURLException e) {
                // URL解析异常,也置为404
                resp.setStatus(HttpServletResponse.SC_NOT_FOUND);
                return false;
            }
            // 首先判断请求域名和referer域名是否相同
            if (!host.equals(url.getHost())) {
                // 如果不等,判断是否在白名单中
                if (properties.getRefererDomain() != null) {
                    for (String s : properties.getRefererDomain()) {
                        if (s.equals(url.getHost())) {
                            return true;
                        }
                    }
                }
                return false;
           }
        }
      return true;
   }
}

注册拦截器使其生效:

package com.kun.boot.adapter;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@EnableWebMvc
@Configuration
public class WebConfig implements WebMvcConfigurer {

   @Bean
   public RefererInterceptor refererInterceptor() {
        return new RefererInterceptor();
    }

    /**
     * 注册拦截器
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //referer拦截
        registry.addInterceptor(refererInterceptor()).addPathPatterns("/**");
    }


}

      由于本项目需要在多个网段访问,故上文在application-referer.yml中需要配置多个地址,需要注意的是yml文件书写数组的格式,另外需要在application.properties中配置加载application-referer.yml,否则会出现上文获取的refererDomain 值为空。

参考文章:SpringBoot安全验证之Referer拦截器_跟派大星学编程-CSDN博客

java小蓝-
关注
专栏目录
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5664
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
springboot拦截器实现拦截器 权限校验,登录demo
11-14
不知道为啥不能设置0。这个是demo,有时间博主吧git整理下 链接发出来
SpringBoot中使用拦截器
最新发布
Annaday的博客
08-17 795
Interceptor(拦截器)是一种面向对象编程(OOP)和软件开发中广泛使用的设计模式,特别是基于请求-响应的应用程序中,如Web应用、RestfulAPI等。
SpringBoot 添加Referer拦截器
cai454692590的博客
05-24 4991
SpringBoot 添加Referer拦截器 拦截器代码 /** * Referer拦截器 */ public class RefererInterceptor extends HandlerInterceptorAdapter { private final static Logger logger = LoggerFactory.getLogger(RefererInterce...
SpringBoot安全验证之Referer拦截器
跟派大星学编程
04-11 1万+
自定义Referer拦截器 public class RefererInterceptor extends HandlerInterceptorAdapter { // URL匹配器 private AntPathMatcher matcher = new AntPathMatcher(); @Autowired private RefererProperties ...
java springboot 通过Referer防止跨站点请求伪造
qq_44154912的博客
10-21 4194
防止跨站点请求伪造 获取 referer 为null, 无法获取 referer 导致过滤失败
cors的原理
qq_40409143的博客
12-01 1330
1.cors是跨域资源的共享 2.该技术通过在在目标域名返回cors响应头来获取该域名的数据 3.核心设置resquest header,分为简单请求和复杂请求 4.简单请求只需要设置Access-Control-Allow-Origin目标源即可,复杂请求则分两步走,第一步是浏览器发起 OPTIONS 请求,第二步才是真实请求。OPTIONS 请求需要把服务器支持的操作通过响应头来表明,如 Access-Control-Allow-Methods: POST, GET, OPTIONS,另外一个重要的响应
SpringBoot对WebSocket添加拦截器——自定义注解
weixin_52707625的博客
06-20 1411
对WebSocket添加拦截器,并自定义注解
springboot+vue学习
qq_28400629的博客
11-06 1309
书籍:Spring Boot + Vue全栈开发 作者:王松 第一章:Spring Boot入门 1.1 简介 1.1.1 优势 快速构建项目 通用性配置 内嵌服务器 1.2 第一个spring boot程序 1.2.1 创建maven工程 目前使用IDEA较多,直接使用IDEA创建springboot工程 第二章:Spring Boot配置 2.1 spring-boot...
Springboot】笔记1
weixin_57858263的博客
07-18 3442
01、基础入门-SpringBoot2课程介绍 在B站边看视频边补充笔记,是在b站那里获取的文档和资料,自己进行笔记的修修改改,仅供参考,方便个人使用的,在源码分析部分,我感觉我看的不是很懂,有没有大佬分享一下源码分析的方法或者技巧,我一看源码就犯困!!! Spring Boot 2核心技术 Spring Boot 2响应式编程 学习要求 -熟悉Spring基础 -熟悉Maven使用 环境要求 Java8及以上 Maven 3.3及以上 学习资料 Spring Boot官网 Sprin
Java微服务架构及设计模式
AI天才研究院
08-06 1244
近几年来,随着互联网+、移动互联网的发展,业务越来越复杂,应用场景多样化,对于传统单体应用形成瓶颈,而微服务架构逐渐流行开来。微服务架构就是将一个大的单体应用拆分成多个小型的服务单元,每个服务单元都可以独立开发,部署,扩展,并且互相协作共同完成整个业务功能。通过这种方式,应用系统可以更加灵活,弹性,易于维护和迭代升级,也避免了单体应用存在的过度集中化风险和难以应付日益增长的需求。
springboot实现拦截器之验证登录示例
08-31
本篇文章主要介绍了springboot实现拦截器之验证登录示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring boot如何使用spring AOP实现拦截器
08-30
本篇文章主要介绍了spring boot如何使用spring AOP实现拦截器,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java面试题及答案整理( 2022 年 7月最新版)
m0_67698950的博客
05-31 1493
发现网上很多Java面试题都没有答案,所以花了很长时间搜集整理出来了这套Java面试题大全,希望对大家有帮助哈~ 博主已将以下这些面试题整理成了一个Java面试手册,是PDF版的。 小伙伴们有兴趣想了解内容和更多相关学习资料的请点赞收藏+评论转发+关注我,后面会有很多干货。我有一些面试题、架构、设计类资料可以说是程序员面试必备!所有资料都整理到网盘了,需要的话欢迎下载!私信我回复【000】即可免费获取 一、Java 基础 1. JDK 和 JRE 有什么区别? JDK:Java Develop
SpringBoot 通过拦截器验证Referer 防御CSRF攻击
热门推荐
哎幽的成长
10-10 1万+
问题: **CSRF概念:**CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为...
SpringBoot WebFlux 系列】 header 参数解析
小灰灰blog的专栏
09-11 1265
SpringBoot WebFlux 系列】WebFlux 之 header 参数解析 上一篇 weblfux 主要介绍了 path 参数的解析与映射关系,在我们进入 url 参数/post 表单之前,先看一下另外的一种参数–请求头中的参数如何处理 I. 项目环境 本项目借助SpringBoot 2.2.1.RELEASE + maven 3.5.3 + IDEA进行开发 1. 依赖 使用 WebFlux,最主要的引入依赖如下(省略掉了 SpringBoot 的相关依赖,如对于如何创建 Sprin..
拦截器后台安全验证
weixin_33985507的博客
06-19 144
package com.huiminSys.web;import java.util.Date;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpSession;import org.apache.struts2.ServletActionContext;import com.huiminSys.d...
springboot预防跨站请求CSRF Referer防盗链
qq_25064691的博客
03-23 872
当没有预防跨站请求,输入任何Refer,都会是页面响应200。 加入预防跨站请求,输入不正确的Refer,响应会是400. 代码如下: import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值