Java 防跨域攻击 解决方案

最新推荐文章于 2024-05-31 10:46:10 发布
最新推荐文章于 2024-05-31 10:46:10 发布
阅读量357 收藏
点赞数
分类专栏: 安全 文章标签: 防跨域攻击 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43085078/article/details/84207181
版权

利用css漏洞进行跨域攻击

#header{

    width:72px;background:url("javascript:document.body.onload = function() { 攻击性javascript代码}) 
}

 

太变态了, 看到没,只要调用了header样式就能实现跨域攻击了。 其实他是利用在设置background图像的时候,会请求给出的图像地址,这里的图像地址被换成了Javascript代码了,所以在请求的时候会执行这段Javascript代码,所以就能造成跨域攻击了哈。

同理,我觉得<img src=”javascript:document.body.onload = function() { 攻击性javascript代码}” />应该也能达到同等效果哈。

@SuppressWarnings("rawtypes")

public static boolean validateRequest(HttpServletRequest request) {

    String referer = "";

    boolean referer_sign = true; // true 站内提交,验证通过 //false 站外提交,

最低0.47元/天 解锁文章
allen_qin007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java 后端处理问题
燕雷的博客
03-09 5983
解决方式:response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Max-Age", "3600");
Java服务器端问题解决方案
08-25
主要介绍了java服务器端问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
java后端解决问题
weixin_39209728的博客
02-29 116
1. response.setHeader("Access-Control-Allow-Origin", "*"); 2. @CrossOrigin(origins = "*",maxAge = 3600)
java - 处理接口的安全性问题
sky198989的博客
04-20 316
转载:https://www.jianshu.com/p/25bef822d50d
cors java 安全问题_Cors实现java后端完全
weixin_35728049的博客
01-14 153
https://blog.coding.net/blog/spring-mvc-cors 这篇文章很详细的介绍了JS的,给出的解决方案是springboot的方式,假如不用spring boot 或者 spring版本低于4.2就需要自己实现;参考了spring boot的实现方式,并有所简化,代码如下:package com.lvluo.web.filter.CorsFilter;impor...
java攻击_Java问题的处理详解
weixin_39677203的博客
02-12 170
1,JavaScript由于安全性方面的考虑,不允许页面调用其他页面的对象,那么问题来了,什么是问题?答:这是由于浏览器同源策略的限制,现在所有支持JavaScript的浏览器都使用了这个策略。那么什么是同源呢?所谓的同源是指三个方面“相同”:1,名相同2,协议相同3,端口相同2,下面就举几个例子来帮助更好的理解同源策略。URL 说明 是否允许通信http://www.a.com/a.j...
java bug汇总——关于问题
一行真人
05-24 211
java bug汇总——关于问题 前后端分离项目,非同源地址会发生问题。因此需要解决问题 解决方案: NGINX解决问题 在网关处解决问题 application.xml配置: spring: cloud: # 配置 gateway: globalcors: cors-configurations: '[/**]': # 匹配所有请求 allowedOrigins: "*" #处理 允许所有的
web session token 和 攻击
harryhare的专栏
10-16 782
主要是推荐一下这篇: 实现一个靠谱的Web认证 下文主要是自己看过的理解。顺便说下这个人的其他文章也很赞。 session 和 token session id 比较常见,就不多说了,这里先科普下无状态的token验证: 干掉状态:从session到token 图是从上面的链接中偷的。 总结下,就是: login_handler(){ signature = hash(user_info, p...
Java攻击解决方案
零全零美
09-02 1455
思路: 判断referer里的地址是否和当前的地址一致,如果不一致则说明是攻击的,否则不是   /** * 验证请求的合法性,攻击 * * @param request * @return */ @SuppressWarnings("rawtypes") publicstatic boolean validateRequest(HttpServlet
Python项目问题解决方案
12-17
2.安装模块(一下代码修改都是在settings.dev下进行的) pip install django-cors-headers -i https://pypi.douban.com/simple 添加应用  INSTALLED_APPS = (  ...  'corsheaders',  ...  ) 中间件设置...
jQuery问题解决方案
12-10
下面把具体解决方案介绍如下。 后台处理路径“/test”的函数: 代码如下: //路径处理 app.get(“/test”,user.test); //处理函数 exports.test=function(req,res){  res.end(“alert(‘JS访问’)”); ...
Vue项目中问题解决方案
01-19
使用http-proxy-middleware 代理解决(项目使用vue-cli脚手架搭建) Jquery jsonp 后台更改header header('Access-Control-Allow-Origin:*');//允许所有来源访问 header('Access-Control-Allow-Method:POST,GET')...
laravel开发中解决方案
12-20
前言 ...下面话不多说了,来随着小编一起看看详细的解决方案吧。 解决方案: 1、新建一个中间件 php artisan make:middleware EnableCrossRequestMiddleware 2、书写中间件内容 <?php namespa
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 1004
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
最新发布
Itmastergo的博客
05-31 799
异常是程序运行过程中出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
Java手动启动jar包
liangweihao的博客
05-29 294
【代码】Java手动启动jar包。
java调用cmd执行命令
weixin_45210565的博客
05-28 260
3、exec(String command, String[] envp) ,在调用外部程序之前设置系统环境变量,该变量仅供command入参使用,envp每个元素为一个系统环境变量,并且字符串格式为“环境变量名=环境变量值”。2、exec(String[] cmdArray) ,调用外部程序,入参cmdArray的元素将组合成为一条完整的外部可执行程序的启动路径或命令。1、exec(String command) ,调用外部程序,入参command为外部可执行程序的启动路径或命令。
java多线程创建方式
weixin_57763462的博客
05-28 1076
这种方式是通过创建一个实现了Runnable接口的类,并实现run()方法来创建线程。然后将这个类的对象作为参数传递给Thread类的构造器,并调用Thread对象的start()方法来启动线程。这种方式是通过创建一个实现了Callable接口的类,实现call()方法,并使用FutureTask或者ExecutorService来创建线程。这种方式的优点在于,由于Java不支持多重继承,如果你的类需要继承其他类,那么实现Runnable接口将是唯一的选择。// 在这里定义线程的执行逻辑。
java解决方案cross
06-02
Java中,我们可以使用CORS(Cross-Origin Resource Sharing)机制来解决问题。CORS是一种机制,允许Web应用程序从不同的访问其资源。下面是一种使用Spring框架实现CORS的方式: 1. 创建一个类来配置CORS: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值