记一次解决CSRF的坑

最新推荐文章于 2024-05-08 13:36:14 发布
最新推荐文章于 2024-05-08 13:36:14 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: Java学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xing930408/article/details/102963866
版权

漏洞扫描,需要解决csrf问题,先贴上代码,使用的是过滤器

package com.jdd.appim.web.filter;

import com.alibaba.fastjson.JSONObject;
import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.util.CollectionUtils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.Properties;

/**
 * @author dataochen
 * @Description 拦截请求 防止CSRF漏洞
 * @date: 2019/9/6 14:26
 */
public class CsrfCheckFilter implements Filter {
    private static final Logger LOGGER = LoggerFactory.getLogger(CsrfCheckFilter.class);

    public CsrfCheckFilter(List<String> whiteHost) {
        this.whiteHost = whiteHost;
    }

    public CsrfCheckFilter() {
    }

    /**
     * 域名白名单
     * 无需校验的
     */
    private List<String> whiteHost = new ArrayList<String>();

    @
最低0.47元/天 解锁文章
zhangustb
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
提示DedeCMS:CSRF Token Check Failed的解决办法
PHP错误汇总
11-22 510
我们在织梦后台更改文件时,有时会遇到错误提示:DedeCMS:CSRF Token Check Failed,以下是解决办法: 1、打开dede/config.php,找到第63行: function csrf_check() { global $token; if(!isset($token) || strcasecmp($token, $_SESSION['token']) != 0){ echo '<a href="http://bbs.dedecm
CSRF】学习关于CSRF攻击和防范
NineWaited的博客
03-13 1630
关于CSRF攻击的相关信息,包括如何怎么发生,发生场景和如何防范
在 Spring Boot 应用程序中实现 CSRF 安全
最新发布
Eddie_920的博客
05-08 433
跨站请求伪造(CSRF)是一种常见的 Web 安全漏洞,允许攻击者代表用户执行未经授权的操作。在Spring Boot 中通过使用 Spring Security来保护应用程序免受 CSRF 攻击。在本文中,我们将演示如何在 Spring Boot 应用程序中使用Security的 Java 代码示例实现 CSRF 保护。
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat怎样防止跨站请求伪造(CSRF) 1
[问题已处理]-nginx报错403 CSRF check failed
爷来辣的博客
04-29 3685
wiki使用的是tomcat8090端口 通过nginx转发之后 发现有些界面打不开 post出现了403 CSRF check failed 但是通过8090直接端口访问就没有问题 解决办法 在解析规则下加上 proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_heade...
nginx解决CSRF漏洞(valid_referers)
xiaohuangren_123的博客
03-25 8140
# 定义Referer校验规则. valid_referers server_names 10.19.58.125; if ($invalid_referer) { return 403; }
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
解决django前后端分离csrf验证的问题
09-19
在这种情况下,你需要一个特定的视图来获取CSRF token,以便前端可以将其存储在cookie中。 ```python from django.http import JsonResponse from django.middleware.csrf import get_token def get_token(request...
Django进阶之CSRF解决
09-20
在Django框架中,CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种重要的安全防护机制,用于保护Web应用免受恶意第三方发起的非法操作。本文将深入探讨Django如何实现CSRF保护,以及如何在实际开发中正确...
CSRFTester:一款CSRF漏洞的安全测试工具
01-31
### CSRFTester:一款CSRF漏洞的安全测试工具 #### 一、CSRF漏洞简介 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种针对Web应用的安全威胁,其核心在于利用用户的身份权限去执行非本意的操作。CSRF攻击...
关于django 1.10 CSRF验证失败的解决方法
01-01
不是取消了就是参数没有了,网上搜到的帖子也没说明用的是什么版本的django,所以经常出现搬运过来的代码解决不了问题的情况,不过基本上遇到的不多,最的就是在提交post表单时弄了两天的CSRF验证失败问题,特此...
Django CSRF认证的几种解决方案
09-17
### Django CSRF认证的几种解决方案 #### 一、CSRF攻击简介与原理 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的安全威胁,尤其在网络应用中较为常见。简单来说,CSRF攻击是攻击者利用受害者的...
fastify-csrf:一个 fastify csrf 插件
07-23
fastify-csrf 提供了一系列实用程序,开发人员可以使用它们来保护他们的应用程序。 我们建议使用来实施其中一些缓解措施。 安全性始终是风险缓解、功能和开发人员体验之间的权衡。 因此,我们不会将插件默认配置...
EasyCSRF:一个简单的独立CSRF保护库
05-22
EasyCSRF EasyCSRF是一个用PHP编写的简单,独立的CSRF保护库。 它可用于保护您的表单免受攻击。要求PHP 7.3以上安装通过安装: composer require gilbitron/easycsrf运行composer install然后照常使用: require '...
csrf绕过Referer技巧-01
09-15
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者可以通过构造恶意页面诱骗用户执行非法操作。为了防御CSRF攻击,Web开发者通常会使用Referer头来判断请求的来源是否合法。本文将...
详解Django的CSRF认证实现
09-20
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击手段,攻击者通过让用户在不知情的情况下发起对受信任网站的恶意请求,利用已登录用户的身份执行非授权的操作。这种攻击通常发生在用户已经登录目标...
nginx实现CSRF和XSS防御
热门推荐
xiaomin的博客
01-31 2万+
版权声明:本文为博主原创文章,未经博主允许不得转载。 nginx实现CSRF和XSS防御  最近,因为公司任务要求,搞了一下nginx配置。任务要求是实现CSRF和XSS防护,至于什么是CSRF和XSS请自行学习一下。首先需要解释的是,这里所提到的CSRF和XSS防御全是基于后台基于Nginx配置。 1.CSRF防御 网上搜一下解决方案大概是有四种: (1)验证H
CSRF 跨网站请求伪造攻击使用nginx处理方式
博客模板
03-20 2513
CSRF 跨网站请求伪造攻击,参考 https://blog.csdn.net/futureXgm/article/details/83033735 使用nginx处理,原理就是获取referer如果不是当前请求的地址就拒绝 返回400的http状态码 location /xxx{ if ( $http_referer = ‘~http://localhost/xxx/’ ) { return 4...
JAVA 面试知识点 3 --异常处理(Exception Handling)
一朵小呆毛
11-16 1万+
异常(Exception) 什么是 Exception Exception 是在程序执行过程中发生的一些不希望发生的事情,这些事情如果不被好好处理,就会导致奇怪的结果或者是程序终结。Exception Hander是那些当异常发生时处理这些异常的代码。java和javascript都用try/catch来处理异常。 1. Exceptions in java exception在java里也是个o...
shiro解决csrf
12-01
Shiro可以通过在表单中添加CSRF Token来防止CSRF攻击。CSRF Token是一个随机生成的字符串,它被嵌入到表单中,然后在表单提交时一起发送到服务器。服务器会验证这个Token是否合法,如果不合法则拒绝请求。 下面是使用Shiro防止CSRF攻击的步骤: 1.在表单中添加CSRF Token ```html <form method="post" action="/submit"> <input type="hidden" name="csrfToken" value="$csrfToken"> <!-- 其他表单元素 --> <button type="submit">提交</button> </form> ``` 2.在Shiro配置文件中启用CSRF防护 ```ini [main] # 配置CSRF防护过滤器 csrf = org.apache.shiro.web.filter.authc.CsrfFilter # 配置Shiro过滤器链 authc = org.apache.shiro.web.filter.authc.FormAuthenticationFilter perms = org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter roles = org.apache.shiro.web.filter.authz.RolesAuthorizationFilter logout = org.apache.shiro.web.filter.authc.LogoutFilter anon = org.apache.shiro.web.filter.authc.AnonymousFilter filterChainDefinitions = /** = anon /login = authc /logout = logout /submit = csrf, authc ``` 3.在Controller中验证CSRF Token ```java @PostMapping("/submit") public String submit(@RequestParam("csrfToken") String csrfToken, /* 其他参数 */) { // 验证CSRF Token是否合法 if (!csrfToken.equals(getSession().getAttribute("csrfToken"))) { throw new RuntimeException("CSRF Token不合法"); } // 处理表单提交 // ... } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值