安全01-后台增加Referer校验防范CSRF跨站请求伪造

最新推荐文章于 2025-06-08 15:29:37 发布
最新推荐文章于 2025-06-08 15:29:37 发布
阅读量3.8k 收藏 4
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Java 安全 文章标签: 安全漏洞 java web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/windows_apple/article/details/121657788
本文介绍了CSRF(跨站请求伪造)攻击的原理,以及如何通过验证HTTP Referer字段来防范此类攻击。攻击者利用Referer字段的可篡改性或缺失可能导致安全风险。防御措施包括检查请求的Referer是否与预期的官网域名一致,但这种方法存在浏览器兼容性和安全性的挑战。在实际应用中,通常结合其他验证机制如token来增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CSRF,中文名字,跨站请求伪造。攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。

防范方案
1、验证HTTP Referer字段。
2、请求地址中添加token并验证(token不放在cookie中,放在http请求参数中,服务端对其进行验证)
3、将token加入http头属性中,避免了token出现在浏览器中,被泄露。

Referer验证方案:
根据HTTP协议,在HTTP头部中有一个Referer字段,它记录了该HTTP请求所在的地址,表示HTTP请求从那个页面发出的。比如当你访问 http://xxx.com/ebank?account=6000001&amount=10000,用户必须先登录该网站官网,然后通过点击页面的的按钮来触发转账事件。此时,转账请求的Referer值就是转账页面所在的URL,通常是以xxx.com域名开头的地址。如果攻击者要实行CSRF攻击,那么他只能在自己的站点构造请求,此时Referer的值就指向黑客自己的网站。因此要防御CSRF攻击,该网站后台只需要对每一个转账请求验证其Referer值,如果是以xxx.com开头的域名,则是合法请求,相反,则是非法请求并拒绝。这种方法的好处就是简单易行,只需要在后台添加一个拦截器来检查Referer即可。然而这种办法并不是万无一失,Referer的值是由浏览器提供的,一些低级的浏览器可以通过某种方式篡改Referer的值,这就给了攻击者可乘之机;而一些高级浏览器处于安全考虑,可以让用户设置发送HTTP请求时不再提供Referer值,这样当他们正常访问该网站时,因为没有提供Referer值而被误认为CERF攻击,拒绝访问。实际应用中通常采用第二种方法来防御CSRF攻击。

这里简绍第一种方案,验证HTTP Referer字段,在JAVA公共请求拦截器类中,新增对referer的校验,检查请求referer是否与官网域名一致。

//系统官网域名配置
String official_website="www.xxx.com";
String referer = request.getHeader("Referer");
if(null!=referer ){
	if(!referer.split("/")[2].endsWith(official_website)) 
	{
		OutputStream output = response.getOutputStream();
		output.write("请求数据非法".getBytes());
		output.flush();
		output.close();
		return null;
	}
}
防范跨站请求伪造CSRF)攻击的方法
DpgrMl的博客
09-30 419
跨站请求伪造(Cross-Site Request Forgery,简称CSRF)攻击是一种常见的Web安全威胁,攻击者利用用户已登录的身份执行未经授权的操作。本文将介绍一些常用的防范CSRF攻击的方法,并提供相应的源代码示例。CSRF令牌是一种防护措施,它通过在表单或请求中添加一个随机生成的令牌来验证请求的合法性。同时,开发人员还应该保持对最新的安全漏洞和攻击技术的关注,及时采取相应的防御措施来保护Web应用的安全。浏览器的同源策略可以阻止不同源(域名、协议、端口)之间的数据交互,从而防止CSRF攻击。
CSRF 跨站请求伪造
m0_69043895的博客
04-19 1323
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
Referer校验
热门推荐
luzhangtong的博客
08-24 1万+
Referer是http协议中定义的,Referer就是上一个页面的地址,这个是浏览器会在点击一个链接时自动添加到请求头中的   查看一个request信息: GET /adjs.php?n=348893119&what=zone:382&charset=utf-8&exclude=,&referer=http%3A//topic.csdn.net/u/20...
CSRF跨站请求伪造)详解
最新发布
tubug的博客
06-08 725
CSRF(Cross-Site Request Forgery)是指攻击者诱导用户在已登录某网站的情况下,执行非本意的操作(如转账、改密码等)。它依赖于用户已登录状态下浏览器自动携带 Cookie 的特性。 攻击者发现目标网站存在 CSRF 漏洞,关键操作接口未对请求来源进行身份校验。 攻击者构造包含恶意请求的 Payload(如自动提交的表单、恶意图片、JS 脚本等),并嵌入到钓鱼网页或第三方平台。 通过社交工程手段(如钓鱼邮件、社交消息、伪装广告等)引导用户点击该页面或链接。 用
跨站请求伪造CSRF防护方法
jijithin
08-22 949
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 一、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 ...
Nginx配置referer校验,实现简单的防盗链详解
weixin_43452467的博客
03-11 1283
blocked:请求Referer字段不为空(即存在Referer),但是值被代理或者防火墙删除了,这些值不以“http://”或“https://”开头,通俗点说就是允许“http://”或"https//"以外的请求。arbitrary string:任意字符串,定义服务器名称或可选的URI前缀,主机名可以使用*号开头或结尾,Referer字段中的服务器端口将被忽略掉。regular expression:正则表达式,以“~”开头,在“http://”或"https://"之后的文本匹配。
【网络安全-csrf漏洞 -跨站请求伪造攻击
weixin_65311462的博客
09-02 508
账户劫持:用户的账户可能被控制,进行未经授权的操作,如修改密码、删除数据、发布虚假信息等,造成名誉损失。这导致服务器把用户1的预请求,当成用户2在发起请求-更改个人信息,响应后用户2的信息被修改。用户2:访问外链,被强迫接手并执行用户1的预请求,向服务器发起请求-更改个人信息。用户1:在客户端向服务器发送预请求-更改个人信息,并将预请求外链成图片或网页。用户2-Allen 被骗点击用户1 vince 生成的csrf.html.点的那一瞬间,用户2 Allen的信息被修改。用户被欺骗访问URL等外链。
csrf跨站请求伪造详解
m0_69962105的博客
11-24 1320
钓鱼网站搭建一个类似正规网站的页面用户点击网站链接,给某个用户打钱打钱的操作确确实实提交给了中国银行的系统,用户的钱也确实减少但是唯一不同的是,账户打钱的账户不是用户想要打钱的目标账户,变成了其他用户内部本质在钓鱼网站的页面针对对方账户,只给用户提供一个没有name属性的普通input框然后在内部隐藏一个已经写好带有name属性的input框如何避免上面的问题csrf跨域请求伪造校验网站在给用户返回一个具有提交数据功能的页面的时候会给这个页面加一个唯一标识。
【项目实战】Web端常见的高风险漏洞与解决方法(CSRF跨站请求伪造 攻击)
本本本添哥
11-25 1311
CSRF(Cross-site request forgery 跨站请求伪造
CSRF跨站请求伪造漏洞修复
折腾java的博客
06-09 3456
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
SpringBoot 通过拦截器验证Referer 防御CSRF攻击
哎幽的成长
10-10 1万+
问题: **CSRF概念:**CSRF跨站请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为...
CSRF简单理解---HTTP Referer字段验证(Java实现)
澪月
02-08 1万+
CSRF攻击简单来说就是: 1.你可以通过A网站发送请求“转100块给小明”。 2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。 3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。 所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。 referer的验证原理简单来说就是: 比对HTTP请求发送的网站(re...
校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器
weixin_34372728的博客
12-29 1937
public final static String domainName = "192.168.2.123"; package com.web.interceptors; import org.apache.log4j.Logger; import org.apache.struts2.ServletActionConte...
java Referer校检
weixin_42006948的博客
06-30 142
Java Referer校检 在进行web开发时,我们经常会遇到需要校检请求Referer头信息来防止CSRF攻击(跨站请求伪造攻击)。Referer校检是一种常见的安全措施,通过校检请求头中的Referer信息,可以有效地防止恶意网站伪造请求。在本文中,我们将介绍如何使用Java来实现Referer校检,并提供代码示例...
csrf攻击与防护—2用flask简单演示防范csrf攻击之referer
ACBC12345的博客
12-06 767
接上篇 csrf攻击与防护—1用flask简单演示csrf攻击 以下是根据referer字段防止csrf攻击的新代码: bank.py from flask import render_template, Flask, request, jsonify, make_response app = Flask("haha") YOUR_BANK_COUNT = 1000000000 TOKEN = "0ofjsfnnfgxgxgxgreituto" @app.route("/") def root():
Nginx Referer校验模块 防盗链和CSRF ngx_http_referer_module
键盘上流淌的日子
10-16 2835
欢迎大家关注本博,同时欢迎大家评论交流,可以给个赞哦!!!   ngx_http_referer_module用于通过检测"Referer"请求头来防御CSRF漏洞,过滤掉具有无效"Referer"头的请求。   需要注意的是,使用适当的"Referer"标头值来伪造请求非常容易,因此,此模块并不能彻底组织此类请求。应用时,还需考虑到常规浏览器或有效请求可能不会发送"Referer"请求头。   什么是Referer   Http Referer是Header的一部分,当浏览器向web服务器发送请求的时.
2022-09-07 请求referer拦截器防止csrf攻击
Young的博客
09-07 2003
工作中用到的对csrf攻击的简单防范方法
OWASP TOP 10(四)CSRF漏洞(概念、场景复现、GET/POST型、结合XSS、防御方法(referer、token、二次验证)、CSRFTester)
Pluto.的博客
12-22 2682
文章目录OWASP TOP 10CSRF漏洞一、概述1. 什么是CSRF?2. CSRF和XSS的区别3. CSRF场景复现3.1 场景一3.1 场景二4. CRSF的关键点和目标4.1 关键点4.2 目标5. CSRF类别5.1 GET型5.2 POST型二、案例:CSRF与XSS结合添加后台账号三、防御方法1. 无效的防御2. 有效的防御四、CSRF自动化探测 OWASP TOP 10 CSRF漏洞 一、概述 1. 什么是CSRF跨站请求伪造(Cross-site request forgery),
CSRF(跨站请求伪造攻击)dvwa
12-30
### DVWA 中 CSRF跨站请求伪造攻击)的相关信息 #### CSRF 攻击简介 跨站请求伪造 (CSRF) 是一种网络攻击方式,攻击者可以利用已认证用户的身份,在未经用户同意的情况下发送恶意请求。这种攻击具有很大的隐蔽性和危害性,因为整个过程可能在用户毫不知情的情况下完成[^1]。 #### CSRF 原理流程 为了成功实施一次 CSRF 攻击,需满足几个条件:受害者必须处于登录状态并持有有效会话;目标站点未部署有效的 CSRF 防护机制。一旦这些条件达成,只要受害者触发了由攻击者预设的动作——可能是点击某个链接或是加载特定网页内容,那么攻击便得以实现[^2]。 #### 实际案例分析-DVWA 平台上的 CSRF 模拟练习 以 DVWA (Damn Vulnerable Web Application)为例,这是一个用于测试和学习的安全漏洞平台。在这个平台上可以通过不同级别的难度设置来模拟真实的 CSRF 场景: - **Low Level**: 用户可以直接通过构造 URL 来更改其他用户的密码而无需任何额外验证。 ```http GET /dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change HTTP/1.1 Host: 192.168.0.181 ``` - **Medium Level**: 此级增加了简单的 token 校验,但是这个 token 不是动态变化的,因此仍然容易受到攻击。 ```html <!-- HTML Form with static hidden input field --> <form action="http://192.168.0.181/dvwa/vulnerabilities/csrf/" method="POST"> <input type="hidden" name="user_token" value="static_value"/> New Password:<br> <input type="text" name="password_new"/><br> Confirm new password:<br> <input type="text" name="password_conf"/><br><br> <input type="submit" value="Change"/> </form> ``` - **High Level & Impossible Levels**: 这两个等级引入了更复杂的防护措施,如每次提交都会更新的一次性使用的随机 token 和严格的 Referer 头部检查等,使得攻击变得极其困难甚至不可能实现[^3]。 #### 解决方案与防御策略 针对 CSRF 的常见防范手段包括但不限于以下几个方面: - **使用 Anti-CSRF Tokens**:为每一个表单添加唯一且不可预测的令牌,并确保服务器端能够正确检验此令牌的有效性; - **检查 Referer Header**:确认请求确实来自预期的应用程序源地址; - **采用 POST 方法代替 GET**:虽然这并不能彻底解决问题,但在一定程度上提高了攻击门槛; - **增加 CAPTCHA 或二次确认步骤**:对于涉及重要数据变更的操作,要求用户提供进一步的人机交互证明[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值