46-互联网安全架构-Web常用攻击手段之防盗链&防止CSRF模拟请求

最新推荐文章于 2024-07-20 09:15:00 发布
最新推荐文章于 2024-07-20 09:15:00 发布
阅读量320 收藏
点赞数
分类专栏: 笔记 文章标签: 互联网安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43594483/article/details/102901545
版权

文章目录

1. 防盗链技术底层实现原理分析
  1. 防盗链技术底层实现原理
    使用http协议请求头中的referer记录请求来源。
    使用过滤器拦截请求,判断请求头中的域名referer与需要限制的域名访问是否一致,如果不一致的请款,说明可能被盗用
2. 使用过滤器实现防盗链技术
@WebFilter(filterName = "imgFilter", urlPatterns = "/imgs/*")
public class ImgFilter implements Filter {

	@Value("${domain.name}")
	private String domainName;

	public void init(FilterConfig filterConfig) throws ServletException {

	}

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		String referer = req.getHeader("Referer");
		if (StringUtils.isEmpty(referer)) {
			request.getRequestDispatcher("/imgs/error.png").forward(request, response);
			return;
		}
		//判断请求头referer域名是否和限制域名一致
		String domain = getDomain(referer);
		if (!domain.equals(domainName)) {
			request.getRequestDispatcher("/imgs/error.png").forward(request, response);
			return;
		}
		chain.doFilter(request, response);
	}

	/**
	 * 获取url对应的域名
	 *
	 * @param url
	 * @return
	 */
	public String getDomain(String url) {
		String result = "";
		int j = 0, startIndex = 0, endIndex = 0;
		for (int i = 0; i < url.length(); i++) {
			if (url.charAt(i) == '/') {
				j++;
				if (j == 2)
					startIndex = i;
				else if (j == 3)
					endIndex = i;
			}

		}
		result = url.substring(startIndex + 1, endIndex);
		return result;
	}

	public void destroy() {

	}
}
3. 什么是csrf攻击

csrf就是伪造token请求攻击

4. API接口幂等性设计方案

乐观锁、悲观锁、去重表、token机制,防止页面重复提交

5.代码实现使用令牌保证接口幂等性

客户端每次在调用接口的时候,需要在请求头中,传递令牌参数,每次令牌只能用一次。
一旦使用之后,就会被删除,这样可以有效防止重复提交。
步骤:
1.生成令牌接口
2. 接口中获取令牌验证

public class TokenUtils {

	private static Map<String, Object> tokenMap = new ConcurrentHashMap<String, Object>();

	// 获取token
	public static synchronized String getToken() {
		// 1.生成令牌
		String token = "token-" + System.currentTimeMillis();
		// 2.存入tokenMap
		tokenMap.put(token, token);
		return token;
	}

	// 验证token,并且删除对应的token
	public static Boolean exisToken(String token) {
		// 1.从集合中获取token
		Object result = tokenMap.get(token);
		if (result == null) {
			return false;
		}
		// 2.删除对应的token
		tokenMap.remove(token);
		return true;
	}
}

@RestController
public class OrderController {

	@Autowired
	private OrderMapper orderMapper;

	// 获取Token
	@RequestMapping("/getToken")
	public String getToken() {
		return TokenUtils.getToken();
	}

	// 验证Token
	@RequestMapping(value = "/addOrder", produces = "application/json; charset=utf-8")
	public String addOrder(@RequestBody OrderEntity orderEntity, HttpServletRequest request) {
		String token = request.getHeader("token");
		if (StringUtils.isEmpty(token)) {
			return "参数错误!";
		}
		if (!TokenUtils.exisToken(token)) {
			return "请勿重复提交!";
		}
		int result = orderMapper.addOrder(orderEntity);
		return result > 0 ? "添加成功" : "添加失败" + "";
	}

}
6.如何防止token伪造请求

如何防止伪造token请求,在互联网电商项目中,会话信息使用令牌方式保存
在互联网没有绝对防止不能抓包分析到令牌
但是可以使用在调用接口的时候,确认是本人操作
使用短信验证码或者图像识别方式。在核心接口上,一定是本人在操作,比如修改密码,支付下单,转账等核心业务

老周老笨
关注
专栏目录
视频防盗链技术方案研究与讲解
持续学习中
08-23 7189
作者:谭东 最近刚完成点播视频防盗链的部署,也对视频防盗链技术方案有了研究与了解。在这里给大家分享下技术方案和原理。 一、先说下为什么要防盗链? 这个主要是: 1、网站方为了防止自己的点播服务器的资源和流量被盗用; 2、保护视频版权; 3、防止视频被下载盗用等。 二、防盗链技术方案 一般盗链者可以直接获取播放地址盗用或者破解播放器盗用、录屏盗用、下载盗用、视频链接破解提取原地址等方式进行盗链。 所以我们在防盗链时要综合这些因素考虑,当然不可能面面俱到,但是能够覆盖大部分常见的手段即可。..
互联网安全架构-Web常用攻击手段防盗链&防止CSRF模拟请求
魔法革1996
01-17 170
Http请求防盗链 什么是防盗链 比如A网站有一张图片,被B网站直接通过img标签属性引入,直接盗用A网站图片展示。 如何实现防盗链 判断http请求头Referer域中的记录来源的值,如果和当前访问的域名不一致的情况下,说明该图片可能被其他服务器盗用。 使用过滤器判断请求头Referer记录请求来源 @WebFilter(filterName = "imgFilter", urlPatterns = "/imgs/*") public class ImgFilter implemen.
CSRF攻击
xiaoming
09-27 217
CSRF攻击产生的原因 (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用也就是人们所知道的钓鱼网站。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方...
防止API滥用:接口安全机制的全面解析
最新发布
青春木鱼的博客
07-20 864
将这些方法结合使用,可以显著提高接口的安全性和防刷能力。确保在实现每种防护机制时,充分考虑用户体验,避免对正常用户造成困扰。
php防止模拟请求
倾城一笑stu
10-30 3385
1.一些网站是采用检测此IP地址登录的密集度,多次登录后需要输入验证码,那么这时CURL模拟的提交就需要去对验证码图片进行分析,这样就会花费大量时间,当然,这种是对于防止登录被爆破,用户资料泄露的。 2.还有一种就是直接在session保存生成的随机码,然后放在input的隐藏域,这种比验证码那种差了许多。 3.注意javascipt本身是无法跨域提交的,不是因为不能做到,而是防止别人
常见Web安全漏洞--------防盗链
weixin_30947043的博客
07-29 108
1,防盗链防止盗用自己服务上的东西。。。 2,XSS服务上有这么一张图: <!DOCTYPE html> <html> <head lang="en"> <meta charset="UTF-8" /> <title></title> </head> <body> &lt...
如何防止机器模拟请求
Leon_Jinhai_Sun的博客
11-15 1184
Token机制,防止页面重复提交  业务要求:页面的数据只能被点击提交一次   发生原因:由于重复点击或者网络重发,或者 nginx 重发等情况会导致数据被重复提交 解决办法: 集群环境:采用 token 加 redis(redis 单线程的,处理需要排队) 单 JVM 环境:采用 token 加 redis 或 token 加 jvm 内存 处理流程: 数据提交前要向服务的申...
Java架构技术栈.txt
09-27
互联网安全架构-Web常用攻击手段防盗链&防止CSRF模拟请求............12分布式解决方案-分布式配置中心-SpringBoot客户端整合Apollo分布式配置中心.......14-分布式解决方案-分布式锁解决解决方案-基于Redis方式...
程序员常用的3大Web安全漏洞防御解决方案:XSS、CSRF及SQL注入(图文详解)
mikechen的互联网架构
01-15 1330
随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施。 01 常见的Web安全问题 1.前端安全 XSS 漏洞 CSRF 漏洞 2.后端安全 SQL 注入漏洞 02 XSS漏洞 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式...
Web安全Day1 - SQL注入实战攻防
hongrisec的博客
02-20 3145
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.Web安全Day1 - SQL注入实战攻防 https://mp.weixin.qq.com/s/zP0MZNhnZG_S9aoHDXzvWA 1. SQL注入 1.1 漏洞简介 结构化查询语言(Structured Query Language...
基于网络安全相关的开源项目技术预研分析报告
sx0522的专栏
11-10 8908
目 录 基于网络安全相关的开源项目技术预研分析报告 1 1. 预研背景 3 2. 预研目的和意义 3 3. 预研目标 3 4. 预研技术描述 3 4.1 态势感知或安全运营中心-OSSIM 3 4.1.1 OSSIM简介 3 4.1.2 OSSIM的功能 4 4.1.3 OSSIM的架构 6 4.1.4 OSSIM各个模块之间的关系 7 4.1.5 OSSIM关联引擎 8 4.1.6 OSSIM部署 11 4.2 入侵检测防御技术-Snort/Security Onion 1...
绕过防盗链技术
05-28
一个简单的代码演示如何绕过网站设置的防盗链技术
php防止模拟请求,php防止伪造跨站请求实现程序_PHP教程
weixin_42300144的博客
03-21 137
class Crumb {CONST SALT = “your-secret-salt”;static $ttl = 7200;static public function challenge($data) {return hash_hmac(‘md5’, $data, self::SALT);}static public function issueCrumb($uid, $action = -...
[nginx]盗链和防盗链场景模拟实现
weixin_34007906的博客
03-11 180
盗链环境模拟 http://www.daolian.com/index.html 这个页面盗用http://www.maotai.com/qq.jpg这个站点页面的图. &lt;!doctype html&gt; &lt;html lang="en"&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;title&gt;毛台&
防盗链模拟
aidupo6157的博客
06-11 112
public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { response.setContentType("text/html;charset=utf-8"); ...
防盗链技术
神父的专栏
12-02 1024
<br />防盗链技术现状:<br />  1、通过识别Referer确认请求来源页面<br />  2、Apache,squid等都能对Referer进行识别<br />  3、通过ActiveX显示的内容不向服务器提供Referer Header(Flash,WindowsMedia视频等)<br />  4、流媒体的RTSP协议也不向服务器提供Referer Header<br />  5、通过服务器端程序代码实现<br />  6、Cookie防盗链<br />  7、修改Location对象进行页
http协议以及防盗链技术
dianzhilian6452的博客
04-10 324
  http协议,又称为超文本传输协议,顾名思义,http协议不仅能传输文本,还能传输图片,视频,压缩包等文件,http协议是建立在tcp/ip协议的基础之上的,http协议对php程序员来讲可以说是重中之重了;   http请求基本结构分为:请求行;消息头;实体内容;   请求行:     GET/xxx/xxx.html HTTP/1.1 //HTTP/1....
一个常规的防盗链方法Referer
u013355306的博客
04-23 244
资源的访问中会有一个“Referer”属性 我们可以建立一个拦截用来验证Referer域名或者ip是否为自己配置的 ,从而决定是否返回! 公司在使用七牛存储视频图片 的时候,需要配置可访问域名! 猜测可能原理也是如此! ...
【Java技术】简单的防盗链技术
weixin_45871207的博客
09-23 187
关键技术: 获取请求头数据refterer String referer = request.getHeader(“referer”); 然后对referer进行判断 效果演示: Java代码: package cn.itgmw.web.request; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet;
CSRF攻击Web安全防护关键
CSRF攻击与防御是Web安全领域至关重要的防线,它涉及到一种名为跨站请求伪造(Cross-Site Request Forgery,简称CSRF或XSRF)的恶意利用手段CSRF攻击通过欺骗用户在不知情的情况下,利用他们已经登录的网站(例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值