java使用jsp servlet来防止csrf 攻击的实现方法(二)

最新推荐文章于 2024-05-13 08:13:39 发布
最新推荐文章于 2024-05-13 08:13:39 发布
阅读量2.7k 收藏
点赞数
分类专栏: CSRF 文章标签: csrf java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyr05288/article/details/50679412
版权

解决思路:
一、编写filter拦截可能会产生CSRF漏洞的filter

import java.io.IOException;
import java.util.List;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.apache.commons.fileupload.FileItem;
import org.apache.commons.fileupload.FileUploadException;
import org.apache.commons.fileupload.disk.DiskFileItemFactory;
import org.apache.commons.fileupload.servlet.ServletFileUpload;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

//20160216 修复CSRF漏洞
public class CSRFFilter implements Filter{
    protected final Logger logger = LoggerFactory.getLogger(super.getClass());
    @Override
    public void destroy() {
        // TODO Auto-generated method stub

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        // TODO Auto-generated method stub

        HttpServletRequest httpReq = (HttpServletRequest) request;
        String uri = httpReq.getRequestURI();
        logger.info("uri: " + uri);



        if(uri.contains("要拦截的路由")){

            DiskFileItemFactory fac = new DiskFileItemFactory();
            ServletFileUpload upload = new ServletFileUpload(fac);
            //upload.setHeaderEncoding("utf-8");
            List fileList = null;
            try {
                fileList = upload.parseRequest(httpReq);
            } catch (FileUploadException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }

            String random_form = ((FileItem)fileList.get(0)).getString();   //获取directory参数

            //MultipartHttpServletRequest multiRequest = (MultipartHttpServletRequest)(request);
            //String random_form=(String)httpReq.getAttribute("random_form"); //行不通
            String random_session=(String)httpReq.getSession().getAttribute("random_session_form");
            logger.info("random_form:"+random_form);
            logger.info("random_session:"+random_session);

            httpReq.getSession().removeAttribute("random_session_form");
            if(random_form!=null&&random_session!=null&&random_form.equalsIgnoreCase(random_session)){
                chain.doFilter(request, response);
            }else{
                throw new ServletException("Potential CSRF detected!!");
            }
        }else{
            chain.doFilter(request, response);
        }
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {
        // TODO Auto-generated method stub

    }



}

这样会带来问题:springMVC过滤器过滤文件上传,获取参数为空
原因:form属性enctype=”multipart/form-data”时,参数是以流的形式传递给服务端的,filter在spring还没有解释请求时就拦截了。在这获取参数的话要自己根据分隔符解释流。我改用spring的拦截器实现转发请求了。
参考文章:http://www.oschina.net/question/140462_112950?sort=time
http://www.oschina.net/code/explore/cos/multipart/MultipartParser.java

二、采用拦截器

注意:使用
<mvc:annotation-driven />
时,其实它已经注册了一个DefaultAnnotationHandlerMapping ,而后面你自己注册的
<bean class="org.springframework.web.servlet.mvc.annotation.DefaultAnnotationHandlerMapping">
<property name="interceptors">
<list>
<ref bean="basedAccessInterceptor"/>
</list>
</property>
</bean>

优先级没它内部的高,所以一直都不会调用你注册的拦截器。
所以要通过:mvc:interceptors标签单独添加拦截器(spring论坛也有讨论:
http://forum.springsource.org/showthread.php?81238-Conflict-between-lt-mvc-annotation-driven-gt-and-DefaultAnnotationHandlerMapping
参考:
http://static.springsource.org/spring/docs/3.0.x/spring-framework-reference/html/mvc.html中15.12 Configuring Spring MVC)

需要在spring的配置文件中加入这段:

<!-- 自定义拦截器 -->
    <mvc:interceptors>
        <mvc:interceptor>
            <mvc:mapping path="/**"/>
            <bean class="com.my.controller.interceptor.MyInterceptor"></bean>
        </mvc:interceptor>
    </mvc:interceptors>

拦截器定义:

import java.util.List;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.fileupload.FileItem;
import org.apache.commons.fileupload.FileUploadException;
import org.apache.commons.fileupload.disk.DiskFileItemFactory;
import org.apache.commons.fileupload.servlet.ServletFileUpload;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.multipart.MultipartHttpServletRequest;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

public class CSRFInterceptor implements HandlerInterceptor{
    protected final Logger logger = LoggerFactory.getLogger(super.getClass());

    @Override
    public void afterCompletion(HttpServletRequest arg0,
            HttpServletResponse arg1, Object arg2, Exception arg3)
            throws Exception {
        // TODO Auto-generated method stub

    }

    @Override
    public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1,
            Object arg2, ModelAndView arg3) throws Exception {
        // TODO Auto-generated method stub

    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
            Object o) throws Exception {
        // TODO Auto-generated method stub
        boolean flag = true;

        String uri = request.getRequestURI();
        logger.info("CSRFInterceptor uri: " + uri);

        if(uri.contains("要拦截的路由")){

            DiskFileItemFactory fac = new DiskFileItemFactory();
            ServletFileUpload upload = new ServletFileUpload(fac);
           upload.setHeaderEncoding("utf-8");
            List fileList = null;
            try {
                fileList = upload.parseRequest(request);
            } catch (FileUploadException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }

            String random_form = "";
            if(fileList != null && fileList.size()>0){
               random_form = ((FileItem)fileList.get(0)).getString();   //获取directory参数
               logger.info(" CSRFInterceptor fileList random_form:"+random_form);//获取不到
            }
            MultipartHttpServletRequest multiRequest = (MultipartHttpServletRequest)(request);
            random_form=(String)request.getParameter("random_form); 
            logger.info(" CSRFInterceptor random_form 0:"+random_form);
            random_form=(String)multiRequest.getParameter("random_form); //行不通
            String random_session=(String)request.getSession().getAttribute("random_session_form");
            logger.info(" CSRFInterceptor random_form:"+random_form);
            logger.info(" CSRFInterceptor random_session:"+random_session);

            request.getSession().removeAttribute("random_session_form");
            if(random_form!=null&&random_session!=null&&random_form.equalsIgnoreCase(random_session)){
                flag = true;
            }else{
                flag = false;
            }
        }

        return flag;
    }

}

执行正常 但是仍被扫描出存在CSRF漏洞 不明白为什么????

十一路客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于JSPJava Web项目的CSRF防御示例
oscar999的专栏
01-07 894
本篇使用 JSP+Servlet 演示一个最简单CSRF的攻防示例。
基于ServletJava Web项目的CSRF防御概念
oscar999的专栏
12-22 662
本篇创建一个基本的Jave Web 项目, 使用Servlet提供服务, 使用Filter 处理CSRF防御。
java使用jsp servlet防止csrf 攻击实现方法
03-06 182
背景: 1.csrf知识 CSRF(Cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用...
什么是 CSRF 、原理及其解决方式
最新发布
Innocence_0的博客
05-13 658
验证 HTTP Referer 字段根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。那么转账的操作一定是用户登录知乎在本站点的页面上操作的,因为可以将Referer字段限制为只允许本站点。在请求地址中添加token并验证CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。
针对 跨站访问 CSRF漏洞,简单的解决方案
hello_realWorld的博客
05-08 769
CSRF跨站漏洞,是通过  别的站点,间接访问 有漏洞的网址,依然可以造成数据的访问。(转载)1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;4. 网站B接收到用户请求后,返回一些攻击...
Java web解决CSRF攻击漏洞
goodmentc的专栏
12-11 1775
一、概述 简单介绍一下csrf攻击漏洞。就是你的网站cookie和session信息可以被其他网站盗用,用于非法请求。 应用开发环境:IDEA+JDK1.8 开发框架:Spring boot +thymeleaf+shiro 测试:第三方安全公司渗透测试。 、解决方法 这里只讲主动防御方法。 总体思路是:用户登录时,服务端分配一个随机token,存储到session里。用户进行其他请求时,从session里取出这个token放到请求头headers里,服务端收到请求时,从请求头里取出token,和sess
使用JSP+JavaBean+Servlet实现投票系统.zip
07-24
同时,为了保证安全性,还需要考虑防止SQL注入、CSRF(跨站请求伪造)等攻击。 总之,这个项目为学习者提供了一个实践Java Web开发的实例,涵盖了从数据库设计到前端展示,再到后端逻辑处理的全过程。通过深入研究...
bbs.zip_Jsp/Servlet_Java_
08-11
【标题】"bbs.zip" 是一个包含 JspServlet 技术的 Java Web 应用程序,主要用于实现一个小型论坛的功能。这个论坛系统能够支持管理员、普通用户和游客三种类型的用户进行不同的操作和交互。 【Jsp/Servlet】 ...
基于servlet+JSP实现图书管理系统-.zip
08-22
7. 安全性:为了保护系统和用户数据的安全,应实现如输入验证、防止SQL注入、CSRF攻击防范等安全措施。 通过这个项目,学习者可以深入理解ServletJSP的交互过程,掌握如何将后台逻辑与前端展示结合,以及如何使用...
Servlet+JSP实现博客系统
08-15
Servlet+JSP实现博客系统】是一个典型的Web应用程序开发案例,它主要利用Java技术栈,包括ServletJSP,来构建一个动态的、基于数据库的博客平台。在这个系统中,Servlet通常作为控制器处理用户请求,而JSP则用于...
jsp+servlet 简单实现注册,登录,购物车功能
12-08
可能使用了预编译的SQL语句来防止SQL注入攻击。 **4. 登录功能** 登录功能涉及从用户那里获取凭据(如用户名和密码),然后与数据库中的记录进行匹配。Servlet会接收登录请求,校验输入,可能通过哈希和盐值比较...
csrf-servlet-demo:CSRF
05-15
双重提交Cookies模式演示 一个简单的Web应用程序,演示了如何使用模式保护您的网站免受CSRF攻击。 如何运行和检查结果 在任何可用的servlet容器上启动应用程序(我在Tomcat 7.0.62上对其进行了测试)。 在模式下运行浏览器。 打开应用程序,然后按Send按钮(查看结果)。 然后运行(请参阅结果)。
java 防止csrf实现类_防止跨站请求伪造(CSRF)攻击 和 防重复提交 的方法实现
weixin_42297714的博客
02-24 337
importjava.io.IOException;importjava.lang.reflect.Method;importjava.util.UUID;importjava.util.concurrent.ConcurrentHashMap;importjava.util.concurrent.ConcurrentMap;importjavax.servlet.http.Cookie;impo...
验证HTTP Referer字段
紫天专栏
06-25 1万+
1 、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。   1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未
CSRF
chjunjun的博客
09-27 620
CSRF,即 Cross Site Request Forgery,中译是跨站请求伪造,是一种劫持受信任用户向服务器发送非预期请求的攻击方式。 简单来说,攻击者盗用了你的身份,并以你的名义发送恶意请求。 通常情况下,CSRF 攻击攻击者借助受害者的 Cookie 骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操...
SpringMVC防御CSRF及XSS攻击(写的非常好)
热门推荐
qq_31457665的博客
08-02 1万+
本文转自:https://www.cnblogs.com/lupeng2010/p/6518053.html 最近在研究关于web网络安全的知识,本来正在整理相关的资料准备些些关于crsf及xss攻击的东西,结果搜到了这篇文章。。。。。讲的非常的好,从基本原理,到问题场景举例,再到问题解决详尽且严密。果断转了,以下是作者原文,未做改动。 本文说一下SpringMVC如...
Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法
crazy王的学习
12-27 8312
最近项目渗透测试检测出一些安全问题其中一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
Spring安全方案—针对常见漏洞的保护(CSRF)(官方原版)
深圳市多克创新科技有限公司
04-23 985
Spring Security针对常见漏洞的保护—官方原版
表单内容类型(Form content types)
weixin_34343689的博客
09-01 856
表单内容类型(Form content types) NOTES本文原文为: https://www.w3.org/TR/html401...翻译由 本人(赤石俊哉) 整理,若您是原作者并认为此文涉及版权侵犯,我会配合删除。 在 HTML 标签中,form 元素的 enctype 属性指定了用何种方式来编码提交到服务器的表单主体内容。用户...
Java Web开发入门:JSP教程
8. **安全性考虑**:涉及JSP的安全特性,如防止XSS攻击使用HttpOnly和CSRF令牌等。 9. **部署和性能优化**:学会如何将JSP应用部署到生产环境,并对其进行性能调优。 完成这个教程后,您将达到一个中高级的JSP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值