java防止csrf攻击_java网页程序采用 spring 防止 csrf 攻击.

最新推荐文章于 2023-09-14 21:47:26 发布
最新推荐文章于 2023-09-14 21:47:26 发布
阅读量444 收藏 1
点赞数
文章标签: java防止csrf攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42571444/article/details/114115561
版权

经常开发银行的应用,在安全性方面要求比较高,在安全性保护方面,csrf 攻击是必须测试的项目之一,关于什么是 csrf 攻击,我不想多做解释,网上已经介绍够多了,可以参看 IBM Developer works 的文章 http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ 这篇文章介绍了 csrf 的危害和一般解决办法,在实际开发过程中,有一些参考价值。

但事实上在我经历过的银行项目开发过程中,基本都会采用 spring 框架,所以完全可以不用自己开发 filter 去拦截 csrf 攻击的请求,而直接采用实现 spring 提供的 HandlerInterceptor 来实现。 从本质上来说,这也是一个 filter. 我这里就直接实现它来 防止 csrf 攻击.

基本思路:

1. 用户登录之后,后台程序生产一个 csrftoken 的 token ,放在 cookies 中,并且记录在 session 中。

2. 当客户端发出请求的访问后台程序的时候,经过自己实现的HandlerInterceptor 来拦截.

3. 拦截的基本方法是检查请求的参数中是否有csrftoken ,并检查这个值,是否合法有效(不为空,并且得到的参数等于cookies 中保存的值,而且还要等于session 中的值,那么就是合法的)

直接上代码,需要相关 spring 的jar 包,自己可以准备好,代码如下:package com.yihaomen.intercepter;

import javax.servlet.http.Cookie;

import javax.

最低0.47元/天 解锁文章
高榕资本
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 改变sessionid_java web登录前后改变sessionId标示的安全性问题解决
weixin_33820059的博客
02-27 2018
在我们打开web页面的时候,会有一个sessionId,登录之后,这个seesionId的值没变,一致存在,这种可能会变成会话固化安全漏洞,因此我们需要解决这种问题。解决方法很简单,在登录后改变这个会话的sessionId,这样这个未授权时的会话seesionId自然就失效,也不会产生固化的僵尸会话。一、在解决该问题之前,需要了解session会话的创建,session的创建方式主要有以下3种:/...
常见web安全问题及解决方案
qq_42569946的博客
09-24 1443
web应用程序常见安全问题及解决方案,如:session劫持session固定、xss攻击CSRF跨站请求伪造
如何防止session伪造攻击
enchanterblue的专栏
05-02 1633
如何防止Session伪造攻击  Session伪造攻击是一种非常流行的针对session攻击方式.它之所以流行的主要原因是:它是一个攻击者获得一个有效的SESSION ID(标识符)最简单的方法.使用这种方法,可以模仿当前用户的SESSION ID,伪装成这个用户,然后进一步进行SESSION劫持攻击.任何促使受害用户使用攻击者提供的SESSION ID的方法都可以称之为SESSION伪造攻击...
java学习笔记(二):Spring-security的Remember-me配置,以及配置Session管理器防止Session fixation
fuermoda的博客
12-18 645
java学习笔记(二):Spring-security的Remember-me配置,以及配置Session管理器防止Session fixation Remember-me配置 今天在完善自己毕设的登录操作时,想为我的登录弄一个记住我的选项,能够使我短时间内可以免登录。好在Spring-security封装好了这个功能,我们只要调用就好。而这个功能在Spring-security有两种实现方式:1)将登录信息发送给浏览器以Cookie的方式存储,登录的时候进行验证拿出Cookie来进行比较。2)将登录信息
java防止session伪造攻击_spring security防御会话伪造session攻击
weixin_31889919的博客
02-13 735
1.攻击场景session fixation会话伪造攻击是一个蛮婉转的过程。比如,当我要是使用session fixation攻击你的时候,首先访问这个网站,网站会创建一个会话,这时我可以把附有jsessionid的url发送给你。http://unsafe/index.jsp;jsessionid=1pjztz08i2u4i你使用这个网址访问网站,结果你和我就会公用同一个jsessionid了...
java shiro jwt,Shiro禁用Session,使用SSM+JWT+Shiro进行无状态RESTful API
weixin_35432846的博客
03-13 852
应用场景:由于项目后端管理系统不只是一个服务,而且不只在Web端运行,还会在移动端App使用,想要使用JWT方式进行无状态的RESTful API交互,也就是登录后生成token并返回给前端,前端每次请求时都在请求头里面添加token,后端验证有效性。所以Shiro自带的Session要禁用掉,同时要重新写JWT的过滤器。使用shiro+ssm+jwt的一些前期准备:禁用sessionJWT实现工...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
春Security是当前最流行的Java Web应用程序安全框架之一,它提供了强大的安全功能,包括身份验证、授权、CSRF防护等。CSRF(Cross-site request forgery)是一种常见的Web攻击方式,攻击者可以欺骗用户在未经授权的...
ss.rar_java security_spring security_springsecurity4xss
09-23
它提供了一整套的解决方案,包括身份验证、授权、会话管理以及防止常见攻击,如跨站脚本(XSS)、跨站请求伪造(CSRF)等。Spring Security 的核心设计理念是“最小权限原则”,即用户只能访问他们被明确允许访问的...
application-sexurity.zip_java security_spring security
09-24
3. **会话管理**:Spring Security可以通过配置控制会话超时、会话固定化等,防止会话劫持CSRF攻击。 4. **授权**:Spring Security支持基于角色的访问控制(RBAC),通过`AccessDecisionManager`和`...
REST-spring-security.rar_java rest_java security_rest_rest secu
09-24
此外,Spring Security还提供了CSRF(跨站请求伪造)防护,这是Web应用普遍面临的一种攻击。对于RESTful API,如果不需要状态保持,通常会禁用CSRF保护,因为CSRF依赖于浏览器的Cookie,而RESTful服务通常不依赖于...
java 伪造session_java-同一用户顶替操作(session过期或无效)
weixin_39701861的博客
02-24 276
packagenet.nblh.system.shiro;importjava.io.IOException;importjava.io.PrintWriter;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax.servlet.Servlet...
java会话固定漏洞_会话劫持和会话固定
weixin_27869497的博客
02-26 358
我们的asp.net应用程序Session劫持Session固定问题 . 我们也实施了SSL .1 ..我在web.config文件中添加了以下代码 .protection="All"timeout="20"name=".ASPXAUTH"path="/"requireSSL="true"slidingExpiration="true"/>--->2 ...加密formathunt...
Servlet - 使用 changeSessionId() 防止会话固定攻击
allway2的博客
09-03 1016
在本教程中,我们使用 Jetty 插件而不是 tomcat7-maven-plugin,因为 tomcat 插件不支持 Servlet 3.1(它支持最高 3.0 的版本)。,黑客获取/设置(通过任何方式)另一个人的会话ID。然后,黑客可以冒充他人并获取敏感信息。在以下示例中,我们将学习如何使用 Servlet 3.1 API 对抗会话固定。此方法将当前会话 id 更改为新的,从而提供针对会话固定攻击的保护。实现 AppSessionIdListener。用于登录后处理的另一个 servlet。
JavaWeb的会话管理(cookie & session)&拦截器/过滤器
a778203081的博客
04-05 1063
javaWeb中会话是,客户端和服务器之间的一次交互。打开浏览器,一顿操作后,最后关闭浏览器,就是一个会话。会话跟踪,用户的数据单独独立的跟随用户的足迹。有两种方法:浏览器端的cookie 服务器端的 Session会话技术。
Java-如何防范CSRF攻击
了解➔熟悉➔掌握➔精通
01-02 4093
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造,也被称为:one click attack / session riding,缩写为:CSRF/XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。 XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的
【 安全】什么是CSRF攻击?如何避免?开发的时候怎么预防?
最新发布
DreamSun的博客
09-14 3984
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
java csrf_Java解决CSRF问题
06-08
这样可以防止恶意攻击者通过程序自动提交表单。 4. 使用CSRF Token:在每个表单中添加一个CSRF Token,要求用户在提交表单时携带这个Token。服务器端对Token进行验证,如果验证失败,则认为请求不合法。可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值