tomcat防cc_Tomcat怎样防止跨站请求伪造(CSRF)

最新推荐文章于 2023-05-07 00:17:08 发布
最新推荐文章于 2023-05-07 00:17:08 发布
阅读量506 收藏
点赞数
文章标签: tomcat防cc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42297810/article/details/113029023
版权
本文介绍了CSRF(跨站请求伪造)的概念、危害,并以Tomcat为例详细阐述了其内置的CSRF Prevention Filter如何防止此类攻击。通过解析过滤器的工作流程,展示了如何在session中保存token并对比请求中的token,以及如何通过encodeURL添加nonce到请求URL中,确保请求的安全性。
摘要由CSDN通过智能技术生成

对于CSRF,可能一些朋友比较陌生。我们下面先简单介绍下。

什么是CSRF呢,我们看下Wikipedia的说明:

Cross-site request forgery,即跨站请求伪造,也称为 "One Click Attach" 或者"Session Riding",常缩写成CSRF。是通过伪装来自受信任用户的请求来利用受信任的网站。

其中,说起CSRF,经常会举的一个例子,是这样的:

用户A在访问网上银行,在银行网站里进行了一些操作后。

之后点击了一个陌生的链接。而这个链接,是用户B提供的一个恶意网页W,网页W内也包含访问和用户A相同银行信息的链接,可能是转帐,也可能是修改密码。

此时如果A的认证信息还未过期,就会被直接利用,成功帮助W进行了银行网站的对应操作,而这一切,都是在A不知情的情况下进行的。

为了防范CSRF,常见的方式有:

请求中包含随机token信息

Cookie中包含csrf token信息

其他的验证请求头Refer等...

在Tomcat中,默认提供了一个防范CSRF的好工具: CSRF Prevention Filter。

Tomcat默认提供了各类的Filter,处理不同的场景和需求。今天介绍的CSRF Prevention Filter也是其中的一个。

整个Filter的工作流程可以概括成以下内容:

该Filter为Web应用提供了基本的CSRF 保护。它的filter mapping对应到/*

并且所有返回到页面上的链接,都通过

最低0.47元/天 解锁文章
易胜华
关注
Tomcat 7 新特性学习之一 - 防止CSRF攻击
iteye_5555的博客
11-08 1786
Tomcat 7 Beta版本出来已经有段时间了,看了JavaEye上的朋友,还是有几个非常勤奋每天都在学习的朋友,他们能够每天学习,坚持下来,实属不易,他们非常的年轻,有几个,我还见过面,小伙子们的好学精神实在让人敬佩。这个社会很浮躁,我自己也是这样,尤其在杭州这种城市里生活,会有一定的压力,毕竟人总是想要更好的生活:想买大大的房子,买个自己喜欢的车子,自己的小孩上学不用着急她的学费。做人的乐趣...
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat怎样防止跨站请求伪造(CSRF) 1
Tomcat怎样防止跨站请求伪造(CSRF)
Tomcat那些事儿
09-16 1032
对于CSRF,可能一些朋友比较陌生。我们下面先简单介绍下。什么是CSRF呢,我们看下Wikipedia的说明:Cross-site request forgery,即跨站请求伪造,也称为...
Tomcat中使用CSRFPreventionFilter阻止跨站请求伪造
allway2的博客
07-26 939
为解决跨站请求伪造,在Tomcat中启用CSRFPreventionFilter,如果使用中文需要在CSRFPreventionFilter前增加中文Filter放置中文乱码。之后在JSP和Servlet中使用response.encodeURL()函数包裹所有连接。
from表单的安全措施,csrf_token
weixin_43641304的博客
12-28 1644
表单验证,防止跨站攻击 {% csrf_token %}  {#  随机生成一个  value  的值,值为字符串,用于表单验证,防止跨站攻击(生成默认隐藏,不显示在页面上,只显示在结构里)   #} 生成效果 ...
cross-application-csrf-prevention:正确执行跨站请求伪造
05-15
本文档概述了在Rails内置的跨站请求伪造机制中发现的问题,并包含可缓解上述问题的反CSRF解决方案的设计规范。 动机 在调查CSRF令牌相关的错误时,我们发现Rails中实现的CSRF机制存在一些问题。 Rails ...
跨站请求伪造
Chenamao的博客
08-04 2284
目录 跨站请求伪造(Cross site Request,CSRF) 基本概念; 关键点: 目标: 构建CSRF场景: 攻击原理及过程: CSRF和XSS区别与联系: 口令安全 –口令破解 口令(密码)安全威胁 口令的破解方式 ☺ 字典破解 ☺ 口令破解的方式 ☺ 口令破解情况 ☺ Hydra –远程口令破解神器 ☺ 远程口令爆破实例 ☺ 离线密码破解 ☺ 网站后台爆破 跨站请求伪造(Cross site Request,CSRF) 实例:heike用户可以伪造admi
laravel框架中表单请求类型和CSRF护实例分析
12-20
Laravel默认启用CSRF跨站请求伪造护,它通过验证请求中的CSRF令牌来防止恶意第三方提交表单。每个表单需要包含一个名为`_token`的隐藏字段,其值由`csrf_token()`函数生成: ```html ('test') }}" method=...
tomcatcc_tomcat如何利用waf进行
weixin_39621075的博客
01-30 363
近期某一实验室遇到一个问题:web环境是windows+tomcat+mysql,检测到cookie注入,此时又不想修改代码。此时两种方案进行解决:1、利用安软(waf)类进行检测御。这里国内主要有安全狗,360服务器版本,加速乐等。通过对各个软件进行了解,个人推荐使用安全狗。此时直接安装安全狗,会遇到无法安装,提示apache没有安装。因为上述的几个软件在windows下基本上都是有IIS,a...
AJP及CSRF漏洞描述及处理方案
10-20
Apache JServ协议(AJP)是一种二进制协议,可以将来自Web服务器的入站请求代理到 位于Web服务器后面的应用程序服务器。不建议在互联网上公开使用AJP服务。 如果AJP配置错误,可能会允许攻击者访问内部资源。
防止CC攻击
华棋皓
07-30 332
请看回我以前的nignx上的配置,加入这四行 limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m; limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=50r/s; limit_conn conn_limit_per_ip 20; limit_r...
CSRF token为什么可以保护表单提交?底层原理是什么?
最新发布
长风破浪会有时的博客
05-07 740
CSRF token 是一种用于CSRF 攻击的机制,其底层原理是在表单提交或链接跳转等操作中添加一个随机的 token 字段,这个 token 字段由服务器生成并附加在表单中或者链接的 URL 参数中。当用户提交表单或者点击链接时,浏览器会将 token 字段一同发送到服务器端,服务器会校验 token 的合法性,只有当 token 与服务器预期的一致时,请求才会被处理。如果一致,则处理请求,否则拒绝请求。用户访问页面时,服务器会在后端生成一个随机的 token,并将 token 返回给前端页面。
跨站请求伪造CSRF
onion的博客
09-07 752
是什么?   CSRF攻击指诱使用户访问伪造的页面,然后以该用户身份在第三方站点执行一次操作,CSRF攻击是利用用户身份操作用户账户的一种攻击方式。 怎么办? 验证码:CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求。验证码则强制用户必须与应用进行交互,才能完成最终请求。因此在通常情况下,验证码能够很好地遏制CSRF攻击,但该御方式用户体验较差; Referer Check盗链:可...
网站篡改脚本
weixin_34004576的博客
09-25 954
这是我生产中所用的篡改脚本需要的拿走点赞. 扫描定义的数组目录的所有文件的MD5值,然后在用下面个脚本对比 1.2.2.4 扫描deploy目录的md5值脚本 [root@localhost scripts]# cat md5sum_check.sh #!/bin/sh path=( /deploy/factory/tomcat/webapps /deploy/passport/tomcat/w...
linux系统篡改,网站篡改脚本
weixin_42430341的博客
04-30 650
这是我生产中所用的篡改脚本需要的拿走点赞.扫描定义的数组目录的所有文件的MD5值,然后在用下面个脚本对比1.2.2.4 扫描deploy目录的md5值脚本[root@localhost scripts]# cat md5sum_check.sh#!/bin/shpath=(/deploy/factory/tomcat/webapps/deploy/passport/tomcat/webapps/...
创建Filter解决Tomcat CSRFPreventionFilter中文乱码问题
allway2的博客
07-26 233
为解决跨站请求伪造,在TomcatCSRFPreventionFilter后中文出现乱码问题,通过在CSRFPreventionFilter前增加中文Filter后,中文不再乱码。
中小型网站如何CC
weixin_34278190的博客
03-29 317
大公司就不说了,付费CDN,火墙,大流量,一般也会配置专门的安全问题响应团队。今天侧重讨论一下中小型网站如何(优雅)CC***。先说说一般的中小站点安全问题通病:对安全问题不重视,不少iptables都是默认的,主要目标是网站能正常工作,当然也无专门的安全运维人员。(欢迎补充)然后抛砖引玉,说下前段时间帮朋友网站应对CC***时的一些措施,希望各位坛友头脑风暴,看下还有...
CC攻击与Web应用火墙
weixin_40581617的博客
02-24 1512
CC攻击是什么 攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装,称为:CC(ChallengeCollapsar)。 CC主要是用来攻击页面的。大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库压力就越大,被访问的频率也越高,占用的系统资源也就相当可观。 一个静态页面不需要占用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值