安全01-后台增加Referer校验防范CSRF跨站请求伪造

最新推荐文章于 2025-03-22 14:59:21 发布
最新推荐文章于 2025-03-22 14:59:21 发布
阅读量3.7k 收藏 4
点赞数 2
分类专栏: Java 安全 文章标签: 安全漏洞 java web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/windows_apple/article/details/121657788
版权
本文介绍了CSRF(跨站请求伪造)攻击的原理,以及如何通过验证HTTP Referer字段来防范此类攻击。攻击者利用Referer字段的可篡改性或缺失可能导致安全风险。防御措施包括检查请求的Referer是否与预期的官网域名一致,但这种方法存在浏览器兼容性和安全性的挑战。在实际应用中,通常结合其他验证机制如token来增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CSRF,中文名字,跨站请求伪造。攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。

防范方案
1、验证HTTP Referer字段。
2、请求地址中添加token并验证(token不放在cookie中,放在http请求参数中,服务端对其进行验证)
3、将token加入http头属性中,避免了token出现在浏览器中,被泄露。

Referer验证方案:
根据HTTP协议,在HTTP头部中有一个Referer字段,它记录了该HTTP请求所在的地址,表示HTTP请求从那个页面发出的。比如当你访问 http://xxx.com/ebank?account=6000001&amount=10000,用户必须先登录该网站官网,然后通过点击页面的的按钮来触发转账事件。此时,转账请求的Referer值就是转账页面所在的URL,通常是以xxx.com域名开头的地址。如果攻击者要实行CSRF攻击,那么他只能在自己的站点构造请求,此时Referer的值就指向黑客自己的网站。因此要防御CSRF攻击,该网站后台只需要对每一个转账请求验证其Referer值,如果是以xxx.com开头的域名,则是合法请求,相反,则是非法请求并拒绝。这种方法的好处就是简单易行,只需要在后台添加一个拦截器来检查Referer即可。然而这种办法并不是万无一失,Referer的值是由浏览器提供的,一些低级的浏览器可以通过某种方式篡改Referer的值,这就给了攻击者可乘之机;而一些高级浏览器处于安全考虑,可以让用户设置发送HTTP请求时不再提供Referer值,这样当他们正常访问该网站时,因为没有提供Referer值而被误认为CERF攻击,拒绝访问。实际应用中通常采用第二种方法来防御CSRF攻击。

这里简绍第一种方案,验证HTTP Referer字段,在JAVA公共请求拦截器类中,新增对referer的校验,检查请求referer是否与官网域名一致。

//系统官网域名配置
String official_website="www.xxx.com";
String referer = request.getHeader("Referer");
if(null!=referer ){
	if(!referer.split("/")[2].endsWith(official_website)) 
	{
		OutputStream output = response.getOutputStream();
		output.write("请求数据非法".getBytes());
		output.flush();
		output.close();
		return null;
	}
}
防范跨站请求伪造CSRF)攻击的方法
DpgrMl的博客
09-30 388
跨站请求伪造(Cross-Site Request Forgery,简称CSRF)攻击是一种常见的Web安全威胁,攻击者利用用户已登录的身份执行未经授权的操作。本文将介绍一些常用的防范CSRF攻击的方法,并提供相应的源代码示例。CSRF令牌是一种防护措施,它通过在表单或请求中添加一个随机生成的令牌来验证请求的合法性。同时,开发人员还应该保持对最新的安全漏洞和攻击技术的关注,及时采取相应的防御措施来保护Web应用的安全。浏览器的同源策略可以阻止不同源(域名、协议、端口)之间的数据交互,从而防止CSRF攻击。
【项目实战】Web端常见的高风险漏洞与解决方法(CSRF跨站请求伪造 攻击)
本本本添哥
11-25 1264
CSRF(Cross-site request forgery 跨站请求伪造
Referer校验
摩尔__摩尔的博客
10-24 1万+
Referer是http协议中定义的,Referer就是上一个页面的地址,这个是浏览器会在点击一个链接时自动添加到请求头中的查看一个request信息:GET /adjs.php?n=348893119&what=zone:382&charset=utf-8&exclude=,&referer=http%3A//topic.csdn.net/u/20100730/16/fd41a3a3-8976-4
彻底搞懂网络安全中的 CSRF 攻击,从零基础到精通,收藏这篇就够了!
yy1715713348的博客
03-22 877
各位网络安全爱好者,今天咱们来聊聊一个老生常谈但又不得不防的安全漏洞——,也就是跨站请求伪造。别看它名字挺唬人,其实理解起来一点都不难。保证你看完这篇文章,就能像躲避老板突击检查一样,轻松应对 CSRF 攻击!
跨站请求伪造CSRF防护方法
jijithin
08-22 940
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 一、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 ...
Nginx配置referer校验,实现简单的防盗链详解
weixin_43452467的博客
03-11 1127
blocked:请求Referer字段不为空(即存在Referer),但是值被代理或者防火墙删除了,这些值不以“http://”或“https://”开头,通俗点说就是允许“http://”或"https//"以外的请求。arbitrary string:任意字符串,定义服务器名称或可选的URI前缀,主机名可以使用*号开头或结尾,Referer字段中的服务器端口将被忽略掉。regular expression:正则表达式,以“~”开头,在“http://”或"https://"之后的文本匹配。
SpringBoot 通过拦截器验证Referer 防御CSRF攻击
哎幽的成长
10-10 1万+
问题: **CSRF概念:**CSRF跨站请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为...
【网络安全-csrf漏洞 -跨站请求伪造攻击
weixin_65311462的博客
09-02 485
账户劫持:用户的账户可能被控制,进行未经授权的操作,如修改密码、删除数据、发布虚假信息等,造成名誉损失。这导致服务器把用户1的预请求,当成用户2在发起请求-更改个人信息,响应后用户2的信息被修改。用户2:访问外链,被强迫接手并执行用户1的预请求,向服务器发起请求-更改个人信息。用户1:在客户端向服务器发送预请求-更改个人信息,并将预请求外链成图片或网页。用户2-Allen 被骗点击用户1 vince 生成的csrf.html.点的那一瞬间,用户2 Allen的信息被修改。用户被欺骗访问URL等外链。
csrf跨站请求伪造详解
m0_69962105的博客
11-24 1302
钓鱼网站搭建一个类似正规网站的页面用户点击网站链接,给某个用户打钱打钱的操作确确实实提交给了中国银行的系统,用户的钱也确实减少但是唯一不同的是,账户打钱的账户不是用户想要打钱的目标账户,变成了其他用户内部本质在钓鱼网站的页面针对对方账户,只给用户提供一个没有name属性的普通input框然后在内部隐藏一个已经写好带有name属性的input框如何避免上面的问题csrf跨域请求伪造校验网站在给用户返回一个具有提交数据功能的页面的时候会给这个页面加一个唯一标识。
CSRF跨站请求伪造漏洞修复
折腾java的博客
06-09 3363
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
【漏洞】CSRF跨站请求伪造漏洞,springboot修复思路
游游的小博客
02-15 1115
CSRF跨站请求伪造漏洞
校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器
weixin_34372728的博客
12-29 1927
public final static String domainName = "192.168.2.123"; package com.web.interceptors; import org.apache.log4j.Logger; import org.apache.struts2.ServletActionConte...
java Referer校检
weixin_42006948的博客
06-30 90
Java Referer校检 在进行web开发时,我们经常会遇到需要校检请求Referer头信息来防止CSRF攻击(跨站请求伪造攻击)。Referer校检是一种常见的安全措施,通过校检请求头中的Referer信息,可以有效地防止恶意网站伪造请求。在本文中,我们将介绍如何使用Java来实现Referer校检,并提供代码示例...
csrf攻击与防护—2用flask简单演示防范csrf攻击之referer
ACBC12345的博客
12-06 749
接上篇 csrf攻击与防护—1用flask简单演示csrf攻击 以下是根据referer字段防止csrf攻击的新代码: bank.py from flask import render_template, Flask, request, jsonify, make_response app = Flask("haha") YOUR_BANK_COUNT = 1000000000 TOKEN = "0ofjsfnnfgxgxgxgreituto" @app.route("/") def root():
CSRF简单理解---HTTP Referer字段验证(Java实现)
热门推荐
澪月
02-08 1万+
CSRF攻击简单来说就是: 1.你可以通过A网站发送请求“转100块给小明”。 2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。 3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。 所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。 referer的验证原理简单来说就是: 比对HTTP请求发送的网站(re...
Nginx Referer校验模块 防盗链和CSRF ngx_http_referer_module
键盘上流淌的日子
10-16 2753
欢迎大家关注本博,同时欢迎大家评论交流,可以给个赞哦!!!   ngx_http_referer_module用于通过检测"Referer"请求头来防御CSRF漏洞,过滤掉具有无效"Referer"头的请求。   需要注意的是,使用适当的"Referer"标头值来伪造请求非常容易,因此,此模块并不能彻底组织此类请求。应用时,还需考虑到常规浏览器或有效请求可能不会发送"Referer"请求头。   什么是Referer   Http Referer是Header的一部分,当浏览器向web服务器发送请求的时.
2022-09-07 请求referer拦截器防止csrf攻击
Young的博客
09-07 1973
工作中用到的对csrf攻击的简单防范方法
OWASP TOP 10(四)CSRF漏洞(概念、场景复现、GET/POST型、结合XSS、防御方法(referer、token、二次验证)、CSRFTester)
Pluto.的博客
12-22 2544
文章目录OWASP TOP 10CSRF漏洞一、概述1. 什么是CSRF?2. CSRF和XSS的区别3. CSRF场景复现3.1 场景一3.1 场景二4. CRSF的关键点和目标4.1 关键点4.2 目标5. CSRF类别5.1 GET型5.2 POST型二、案例:CSRF与XSS结合添加后台账号三、防御方法1. 无效的防御2. 有效的防御四、CSRF自动化探测 OWASP TOP 10 CSRF漏洞 一、概述 1. 什么是CSRF跨站请求伪造(Cross-site request forgery),
跨站请求伪造CSRF实验
最新发布
04-03
### 关于跨站请求伪造CSRF)实验的设计与实施 #### 实验目标 通过设计并执行一个简单的 CSRF 攻击场景,验证攻击的工作原理以及其可能带来的危害。这有助于理解 CSRF 的本质及其防御方法。 --- #### 实验环境准备 1. **本地开发服务器** 使用 Web 开发框架搭建一个支持用户登录功能的小型应用,例如 PHP 或 Python Flask 应用程序。该应用程序应允许修改用户的某些敏感数据(如密码),以便模拟真实世界中的业务逻辑。 2. **易受攻击的功能模块** 创建一个未加防护的 URL 接口用于更新用户密码或其他操作。例如: ```php <?php session_start(); if ($_SERVER['REQUEST_METHOD'] === 'GET') { $new_password = $_GET['password_new']; $confirm_password = $_GET['password_conf']; if ($new_password && $confirm_password && $new_password === $confirm_password) { echo "Password updated successfully!"; // Simulate password update logic here. } else { echo "Error updating password."; } } ?> ``` 3. **恶意页面构建** 构建一个 HTML 页面,其中包含能够触发 CSRF 攻击的内容。此页面可以通过诱导受害者访问来完成攻击过程。 --- #### 实现步骤 ##### 方法一:基于 GET 请求CSRF 测试 创建一个 HTML 文件,在文件中嵌入超链接或自动加载脚本以发起 CSRF 请求: ```html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>CSRF Test</title> </head> <body> <!-- 隐蔽的超链接 --> <a href="http://localhost/csrf_vulnerable_app/change_password.php?password_new=hacked&password_conf=hacked" style="display:none;" id="csrf-link"></a> <!-- 自动点击链接 --> <script> document.getElementById('csrf-link').click(); </script> </body> </html> ``` 上述代码会在用户打开页面时立即发送一个 GET 请求到指定的目标地址[^4]。 ##### 方法二:基于 POST 请求CSRF 测试 如果目标接口仅接受 POST 请求,则可通过 `<form>` 表单提交方式实现 CSRF 攻击: ```html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>CSRF Form Attack</title> </head> <body onload="document.forms[0].submit()"> <form action="http://localhost/csrf_vulnerable_app/update_user.php" method="POST"> <input type="hidden" name="act" value="add"/> <input type="hidden" name="username" value="attacker"/> <input type="hidden" name="password" value="hackedpass"/> <input type="hidden" name="password2" value="hackedpass"/> <input type="hidden" name="button" value="%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7"/> <input type="hidden" name="userid" value="0"/> </form> </body> </html> ``` 当受害者浏览这个恶意页面时,浏览器会自动向目标站点提交表单数据[^3]。 --- #### 安全测试注意事项 在实际环境中进行此类测试前需获得授权,以免触犯法律。此外,建议使用虚拟机隔离测试网络,防止意外影响其他系统资源。 --- #### 防御措施概述 为了有效抵御 CSRF 攻击,可采取以下策略之一或多组合使用: - 添加一次性令牌(Token)校验机制; - 设置严格的 Referer 和 Origin 头部检查; - 启用 SameSite Cookie 属性限制第三方调用行为[^1]。 --- ### 结论 通过对 CSRF 漏洞的学习和实践,可以更深刻认识到这类威胁的存在形式及潜在风险,并掌握相应的缓解手段。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值