2022-09-07 请求头referer拦截器防止csrf攻击

已于 2022-09-07 15:58:53 修改
阅读量1.8k 收藏 6
点赞数
分类专栏: 工具类 SpringBoot2 文章标签: csrf web安全 java
于 2022-09-07 15:47:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44071524/article/details/126747227
版权

该拦截器基于SpringBoot工程,目的是防止跨站请求伪造漏洞,即csrf攻击

一、漏洞测试方法:

例如修改信息的请求为:

GET my?username=BOB&age=18 HTTP/1.1
Host: xxx.com
Referer: xxx.com/my
......

利用抓包工具,将修改信息的请求中的Referer: xxx.com/my 修改为其他内容,再次发送请求

GET my?username=BOB&age=18 HTTP/1.1
Host: xxx.com
Referer: xxx111.com
......

如果执行修改操作成功,即存在跨站请求伪造漏洞。同理,如果使用的是随机token,那么将token值改掉, 修改操作能够执行成功,如成功则存在漏洞。针对所有增删修改类操作接口。

 二、防范方法

本方法仅做参考,具体如何防范可使用框架Spring Security或参考具体项目。

配置拦截器:

package com.shuyun.common.interceptor;


import com.shuyun.common.exception.CustomException;
import com.shuyun.common.utils.StringUtils;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 拦截器
 *
 * @author hanyang
 * @date 2022-08-05
 */

public class RefererInterceptor extends HandlerInterceptorAdapter {

    /**
     * 配置需要进行判断的referer地址白名单
     */
    private String[] urlList = {
            
            //配置到域名即可
            "https://xxx.xxx.xxx"
    };

    /**
     * 拦截规则
     *
     * @param req
     * @param resp
     * @param handler
     * @return
     */
    @Override
    public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) {

        // 从 HTTP 头中取得 Referer 值
        String referer = req.getHeader("Referer");
        System.out.println("referer-->  " + referer);

        // 判断 Referer 是否符合规则开头
        if (StringUtils.isEmpty(referer)) {
            System.out.println("执行正确referer");
            return true;
        } else if (StringUtils.isNotEmpty(referer)) {
            if (isRightUrl(referer,urlList)){
                return isRightUrl(referer,urlList);
            }
            throw new CustomException("跳转页面有风险,请稍后再试!");
        } else {
            //如果不是则抛异常
            throw new CustomException("跳转页面有风险,请稍后再试!");
        }
    }

    /**
     * 判断请求的referer是否在配置的白名单中
     *
     * @author hanyang
     * @date 2022-08-05
     */
    public boolean isRightUrl(String referer, String[] urlList) {

        //标识字符串,如果匹配添加0,不匹配添加1
        StringBuilder flag = new StringBuilder();
        String isMatching = "0";
        String isNotMatching = "1";

        for (String url : urlList) {
            //如果referer匹配,则返回true
            if (referer.trim().startsWith(url)) {
                flag.append(isMatching);
            }
            //一旦有一个不匹配,则加入一个1
            flag.append(isNotMatching);
        }
        //如果包含0,则说明有匹配值
        if (flag.toString().contains(isMatching)) {
            return true;
        }
        return false;
    }


}

将拦截器注册到Spring中

package com.shuyun.common.config;

import com.shuyun.common.interceptor.RefererInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 拦截器注册配置
 *
 * @author hanyang
 * @date 2022-08-05
 */
@EnableWebMvc
@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Bean
    public RefererInterceptor refererInterceptor() {
        return new RefererInterceptor();
    }

    /**
     * 注册拦截器
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //referer拦截
        registry.addInterceptor(refererInterceptor());
    }


}

后续所有请求都会经过拦截器进行拦截,通过白名单校验则会放行,不通过则会抛异常

Rainbow.young
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过验证Referer解决CSRF安全防御问题
向南
09-26 5343
一、背景 JAVAWEB 类项目处于客户验收阶段,在安全扫描处出现 CSRF 问题,通过多个博客中解决思路都无法解决。后来通过同事提醒 可以试试判断 Referer页面来源参数,最终使用该方法解决问题。 二、环境 服务器:Linux 前端:Angular 后端:Springboot Java 三、安全证书 四、解决方法 后端拦截器判断访问来源,其它地方不用修改。 @...
什么是 CSRF 、原理及其解决方式
bluemoon_0的博客
02-19 1477
什么是 CSRF 、原理及其解决方式
Day56:WEB攻防-CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除
qq_61553520的博客
03-30 697
小迪安全-Day56:WEB攻防-CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除
CSRF拦截referer的应对方法
03-29 2563
很多处理CSRF的方案都是对referer做检查,但是对于空referer很多情况是不做拦截的,比如提供给app的接口就不会拦截referer请求。 绕过这种防御的办法有两种: 1.function json(o){alert(o.nick);}">2.https-->http 以上两种请求方式都不会带referer,这样就能实现jsonhijacking等攻击了。 防御这两种攻
渗透测试-一文了解csrf漏洞
lza20001103的博客
04-23 1340
渗透测试-一文了解csrf漏洞
xss和csrf详解
weixin_33737774的博客
08-29 329
XSSCross site scripting,全称“跨站脚本”特点是不对服务器造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论时,提交含有js的内容文本,而服务器没有过滤掉或者转义掉这些脚本,作为内容发布到页面上,那么其他用户在访问的时候就会运行这些脚本。for example:​ // 用 <script type="text/javascript"></scrip...
CSRF防御方案
hdwlwang的博客
04-24 4308
我们也可以用自定义HTTP头的方法来防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
跨站请求伪造-CSRF防护方法
03-12
无论使用何种方法,在服务器端的拦截器必不可少,它将负责检查到来的请求是否符合要求,然后视结果而决定是否继续请求或者丢弃。在Java中,拦截器是由Filter来实现的。我们可以编写一个Filter,并在web.xml中对其...
引导程序:Spring Boot整合Mybatis,Druid,PageHelper,Swagger,AOP,过滤器,拦截器,thymeleaf基础入门演示
02-05
避免XSS攻击和SQL注入攻击自定义AOP配合redis解决重复提交问题自定义拦截器拦截referer来避免CSRF攻击自定义拦截器,集成百里香根据不同的响应状态码替换不同的页面docker集成执行下面命令重建mvn package docker:...
9、CSRF原理.pdf
10-15
系统开发者可以在HTTP请求中以参数的形式加入一个随机产生的token,并在服务器端建立一个拦截器来验证这个token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求。 3. 在HTTP头中...
HTTPHeadModifer一款快速修改HTTP数据包头的BurpSuite插件
08-08
3. **安全策略检查**:修改Content-Type头来测试文件类型过滤,或者修改Referer头来测试防止点击劫持的防护措施。 4. **跨站请求伪造(CSRF)测试**:添加或修改随机CSRF令牌,检查应用对CSRF攻击的防御能力。 ...
Struts 之旅 - 重复提交 token
08-05
7. **注意事项**:虽然 token 机制可以有效地防止重复提交,但并不能完全防止恶意攻击,比如 CSRF(跨站请求伪造)攻击。因此,实际应用中还需要结合其他安全措施,如验证码、Referer 检查等,来提高系统的安全性。 ...
SpringBoot 通过拦截器验证Referer 防御CSRF攻击
热门推荐
哎幽的成长
10-10 1万+
问题: **CSRF概念:**CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为...
网络攻击——CSRF攻击
PUIWAH的博客
03-24 1302
CSRF攻击 CSRF全称是跨站请求伪造(cross site request forgery),CSRF伪装受信任用户,向第三方平台发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。 一个典型的CSRF攻击有着如下的流程: 受害者登录 a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了 b.com。 b.com 向 a.com ...
SpringBoot安全验证之Referer拦截器
跟派大星学编程
04-11 1万+
自定义Referer拦截器 public class RefererInterceptor extends HandlerInterceptorAdapter { // URL匹配器 private AntPathMatcher matcher = new AntPathMatcher(); @Autowired private RefererProperties ...
CSRF漏洞原理与防御方式
dreamthe的博客
09-17 2021
CSRF漏洞原理 CSRF被叫做跨站请求伪造,该怎么理解这句话呢,比如 用户a在浏览器登录了账号,当他发送登录请求时候,服务器验证了账号密码,会返回给一个身份信息存放在cookie里面,浏览器保存,那么以后用户访问服务器带着这个cookie就行了。那么怎么产生攻击的呢,是用户在已经登录的状态下,访问了一个恶意的网站,带浏览器保存的cookie值向服务器发送了恶意请求,服务器会以为是用户的请求,其实这是用户不知情的请求。垮了两个站,一个是用户登录实际网站,一个屙屎攻击者恶意构造网站,所以称作跨站请求伪造。
安全01-后台增加Referer校验防范CSRF跨站请求伪造
windows_apple的博客
12-01 3418
CSRF,中文名字,跨站请求伪造。攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。 防范方案: 1、验证HTTP Referer字段。 2、请求地址中添加token并验证(token不放在cookie中,放在http请求参数中,服务端对其进行验证) 3、将token加入http头属性中,避免了token出现在浏览器中,被泄露。 Referer验证方案: 根据HTTP协议,在HTTP头部中有一个Re
CSRF(Cross-site request forgery)
最新发布
fencecat的博客
07-20 750
CSRF是一个web安全漏洞,该漏洞通过引诱用户来执行非预期的操作。该漏洞使得攻击者能够绕过同源策略,同源策略是一种用来阻止不同网站相互干扰的一种技术。 CSR跨站请求伪造,攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。在CSRF攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户进行点击,用户一旦点击,整个攻击也就完成了。所以CSRF攻击也被称为”one click"攻击
怎么在uni-app的request请求头中设置referer
06-03
在uni-app中可以通过设置请求拦截器来设置请求头。具体来说,可以在main.js中使用uni-app提供的interceptors拦截器,在请求发送前设置referer请求头,示例代码如下: ``` // main.js import Vue from 'vue' import App from './App' Vue.config.productionTip = false App.mpType = 'app' // 设置请求拦截器 uni.addInterceptor('request', { // 请求发送前拦截 async invoke(request) { // 设置referer请求头 request.header['referer'] = 'https://www.example.com/' return request } }) const app = new Vue({ ...App }) app.$mount() ``` 在这个示例代码中,我们在请求拦截器中设置了referer请求头为https://www.example.com/。这样,在每次请求发送时,都会带上referer请求头。当然,你可以根据需要修改这个值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值