Java web解决CSRF攻击漏洞

最新推荐文章于 2025-10-22 12:05:03 发布
原创 最新推荐文章于 2025-10-22 12:05:03 发布 · 2.1k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #web #csrf

本文介绍了一种常见的网站安全问题——CSRF攻击,并详细阐述了如何利用前后端配合的方式进行有效防御,包括生成并验证token的过程。

一、概述

简单介绍一下csrf攻击漏洞。就是你的网站cookie和session信息可以被其他网站盗用,用于非法请求。
应用开发环境:IDEA+JDK1.8
开发框架:Spring boot +thymeleaf+shiro
测试:第三方安全公司渗透测试。

二、解决方法

这里只讲主动防御方法。
总体思路是:用户登录时,服务端分配一个随机token,存储到session里。用户进行其他请求时,从session里取出这个token放到请求头headers里,服务端收到请求时,从请求头里取出token,和session里面的token进行校验,相同则表示是合法请求,不同则拒绝该请求。

bootraptable

三、关键代码

3.1 前端

前端http请求没有统一,需要根据实际情况来配置。

  1. 需要在相关页面加上隐藏token字段,代码参考:
<input type="hidden" id="csrf_token" class="hidden" th:value="${session.csrf_token}"/>

特别要注意多级子页面,对于上述token的初始化和获取。

  1. ajax请求,需要加如下方法,将token加在请求头中:
 beforeSend: function(XMLHttpRequest) {
        XMLHttpRequest.setRequestHeader("csrf_token",      $("#csrf_token",parent.document).val());
    }
  1. 统一的http请求:
/** 设置全局ajax处理 */
$.ajaxSetup({
    complete: function(XMLHttpRequest, textStatus) {
        if (textStatus == 'timeout') {
            $.modal.alertWarning("服务器超时,请稍后再试!");
            $.modal.enable();
            $.modal.closeLoading();
        } else if (textStatus == "parsererror" || textStatus == "error") {
            $.modal.alertWarning("服务器错误,请联系管理员!");
            $.modal.enable();
            $.modal.closeLoading();
        }
    },
    beforeSend: function(XMLHttpRequest) {
        XMLHttpRequest.setRequestHeader("csrf_token",      $("#csrf_token",parent.document).val());
    }
});

注意事项:
1.bootraptable封装了自己的http请求,如果上述全局配置不生效,需要修改该插件源码:

 $('#' + options.id).bootstrapTable({
					id: options.id,
                    url: options.url,  
                    ajaxOption: {
					"headers": options.csrf_token
                   }

通过ajaxOption将token加入headers中。

3.2 后端

登录接口:

 getRequest().getSession().setAttribute(JWTConst.CONN_CSRF_TOKEN_HEADER, UUID.randomUUID().toString());

编写一个过滤器或者拦截器,我这里是拦截器,区别是过滤器会过滤所有请求包括页面,拦截器只能拦截请求。

 String csrfTokenOld = request.getSession().getAttribute(JWTConst.CONN_CSRF_TOKEN_HEADER).toString();
String csrfToken = request.getHeader(JWTConst.CONN_CSRF_TOKEN_HEADER);

 if (csrfToken == null || "".equals(csrfToken) || !csrfToken.equals(csrfTokenOld)) {
       logger.error(JwtErrEnums.TOKEN_INEXISTENCE.getMsg());
      throw new AuthException(JwtErrEnums.TOKEN_INEXISTENCE);
   }

一般情况下,我们只需要拦截POST请求,我们在设计请求时,包含重要敏感信息的请求建议使用POST方式。

  • 如果系统有自动登录功能,还需要在自动登录时,创建一个csrf_token放入session中:
HttpServletRequest req = (HttpServletRequest)request;
        if(req.getSession().getAttribute(Constants.CONN_CSRF_TOKEN_HEADER) == null) {
            req.getSession().setAttribute(Constants.CONN_CSRF_TOKEN_HEADER, UUID.randomUUID().toString());
        }

四、其他方法

还可以使用spring security框架。下次再介绍。

Java Web 应用的安全攻防之 CSRF 漏洞分析
AI天才研究院
10-09 1181
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one-click attack”或者Session riding,其利用网站对用户浏览器的信任,通过伪装成用户正常操作的动作,达到恶意盗取用户信息、执行违规操作等目的,是一种常用的Web应用安全漏洞CSRF在很多Web应用中都存在着严重的隐患,攻击者可以盗用用户的登录信息、Cookie等,进而冒充用户进行各种恶意操作。因此,保护用户的个人信息安全、系统安全应首要考虑。
CSRF漏洞频发,Java开发者必须掌握的4种防御方案,第3种最有效!
最新发布
CompiGlow的博客
10-22 802
解决CSRF安全难题,Java开发者必备的4种防御方案详解。涵盖同步令牌、验证Referer、基于Cookie的双重提交等适用场景与实现方法,重点解析第3种最有效方案的核心优势。掌握Java CSRF防御方案,提升应用安全性,值得收藏。
csrf java随机数_前后端分离架构下CSRF防御机制
weixin_36454202的博客
02-25 443
背景1、什么是CSRF攻击?这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章:如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后,便立刻收到了短信:你的银行里的钱已经转移到这个人的帐户了。2、有哪些防御方案?上面这个例子当然有点危言耸...
Java Web应用如何抵御CSRF攻击:99%开发者忽略的3个关键细节
LogicWander的博客
10-22 829
掌握Java CSRF防御方案,有效抵御跨站请求伪造攻击。适用于Spring Boot等Java Web应用,通过同步令牌、SameSite Cookie和验证Referer实现可靠防护,提升系统安全性,值得收藏。
Spring官方提供【CSRF攻击解决方案
qq_35040959的博客
01-16 1902
·Spring官方提供【CSRF攻击解决方案
CSRF跨站请求伪造漏洞修复
折腾java的博客
06-09 3565
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
java csrf解决方案_从Java的角度修复CSRF漏洞
weixin_39762441的博客
02-13 1298
漏洞挖掘中,说实话挖过最多的漏洞就属CSRF漏洞了,提交CSRF漏洞很多次,绕过CSRF防御进行攻击也有很多次。CSRF漏洞是一个很容易引发的问题,今天我从Java的角度来说下这个安全漏洞的修复方案。这里不谈挖掘方式,只谈修复方案。很多时候你很熟悉一种安全漏洞,但是涉及到的修复方案你只能大概讲下,具体到代码层你就束手无策了,这不是个优秀的白帽子行为。CSRF一般有两种修复方案1.加随机性token...
java csrf_Java解决CSRF问题
weixin_42512246的博客
02-12 1499
CSRF是什么?CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF可以做什么?你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账....
Web安全之CSRF攻击详解与防护
J老熊
09-08 2409
CSRF攻击是指黑客通过欺骗用户在不知情的情况下向受信任的服务器发送请求,从而执行用户并未授权的操作。由于浏览器的同源策略,浏览器会自动携带当前登录用户的身份凭证(如Cookie),导致服务器误以为请求是合法用户发出的。用户登录电商系统,并在浏览器中保持会话(比如通过Cookie保存登录状态)。攻击者构造一个恶意网站,诱导用户访问该网站。恶意网站通过用户的浏览器向电商系统发送请求,例如提交订单、修改账户信息等。由于用户已经登录,服务器在收到请求时会认为是合法请求,从而执行攻击者的恶意操作。
Java-如何防范CSRF攻击
了解➔熟悉➔掌握➔精通
01-02 4587
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造,也被称为:one click attack / session riding,缩写为:CSRF/XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。 XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的
精选资源
基于JSP的Java Web项目的CSRF防御示例
01-07
在基于JSP的Java Web项目中,了解如何防御CSRF攻击至关重要,因为这可以保护用户的敏感数据和应用的完整性。 **CSRF攻击原理** CSRF攻击通常发生在用户已登录一个网站并保持会话的情况下,攻击者通过构造恶意链接...
web渗透CSRF漏洞
Strategic__的博客
07-25 996
具体而言,攻击者会利用目标用户已登录目标网站的状态(即用户持有有效的身份凭证,如Cookie、SessionID等),通过诱导(如伪装成正常链接、嵌入恶意代码的页面等),让用户在不知情的情况下,向目标网站发送一个与“用户主动操作”格式完全一致的恶意请求。对于高风险操作(如大额转账、密码修改、绑定新手机等),即使请求通过了Token或来源校验,仍需在代码中强制添加二次验证逻辑,确保操作是用户主动发起:要求用户再次输入密码、短信验证码(通过独立通道发送,如手机短信)、邮箱验证码或生物识别(指纹/人脸)。
web csrf java_在Java Web应用程序中阻止CSRF
最佳 Java 编程
06-03 265
web csrf java 跨站点请求伪造攻击CSRF)在Web应用程序中非常常见,如果允许,可能会造成重大危害。 如果您从未听说过CSRF,建议您查看有关它的OWASP页面 。 幸运的是,阻止CSRF攻击非常简单,我将向您展示它们的工作方式,以及如何在基于JavaWeb应用程序中以尽可能不干扰的方式防御它们。 想象一下,您将要在银行的安全网页上进行汇款,当您单击转帐选项时,...
java web 安全防护1-CSRF(Cross-site request forgery 跨站请求伪造)
rainyspring4540的专栏
01-04 761
参考https://www.aliyun.com/zixun/wenji/1280636.html 参考https://www.cnblogs.com/suizhikuo/p/4545981.html 这两篇文章 很全。介绍了CSRF的概念。这里即不赘述了。 这里截取了主要的概要说明,很生动的介绍了CSRF: { CSRF(Cross-site request forgery 跨站请求伪...
java csrf解决方案_Java 安全之:csrf防护实战分析
weixin_39569753的博客
02-16 1212
上文总结了csrf攻击以及一些常用的防护方式,csrf全称Cross-site request forgery(跨站请求伪造),是一类利用信任用户已经获取的注册凭证,绕过后台用户验证,向被攻击网站发送未被用户授权的跨站请求以对被攻击网站执行某项操作的一种恶意攻击方式。上面的定义比较抽象,我们先来举一个简单的例子来详细解释一下csrf攻击,帮助理解。假设你通过电脑登录银行网站进行转账,一般这类转账页...
使用java方式处理跨站请求伪造(CSRF)
weixin_43977799的博客
09-17 6623
什么是CSRF 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任...
Java Web 安全之CSRF
Lyn12030706的专栏
01-31 1354
概念 跨站请求伪造,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 原理 用户登陆A网站 A网站确认身份 B网站页面向A网站发起请求(带A网站身份) 危害 -利用用户登陆态 -盗取用户资金(转账、消费) -用户不知情 -冒充用户发帖背锅 -完成业务请求 -损坏网站名誉 CSRF攻击防御 1. 禁止第三方网站带Cookies
java csrf解决方案_java – 在不添加所有表单的隐藏输入的情况下,针对CSRF保护旧的Web应用程序...
weixin_39944146的博客
03-06 259
在我们最近的Java Web应用程序安全扫描期间,我们发现了CSRF漏洞.我知道对于使用像Spring Security这样的安全框架的新应用程序,我们可以轻松地为每个表单添加隐藏的输入并执行其他所需的配置,这将解决问题.name="${_csrf.parameterName}"value="${_csrf.token}"/>但是我们的应用程序仍然使用acegi-security(1.0.2...
tongweb7.0如何修复csrf攻击漏洞
10-17
以下是在TongWeb 7.0中修复CSRF攻击漏洞可能的解决方案: ### 验证请求来源 通过检查HTTP请求头中的`Referer`或`Origin`字段来确定请求的来源。可以在TongWeb中开发过滤器,对每个请求进行检查,只允许来自可信源的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oyezitan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值