CSRF TOKEN

最新推荐文章于 2025-06-09 12:28:55 发布
最新推荐文章于 2025-06-09 12:28:55 发布
阅读量276 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: spring 文章标签: 测试 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hck341204/article/details/84702168 
package com.uncle5.pubrub.web.common;

import java.util.UUID;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

public final class CsrfTokenManager {

    // 隐藏域参数名称
    static final String CSRF_PARAM_NAME = "CSRFToken";

    // session中csrfToken参数名称
    public static final String CSRF_TOKEN_FOR_SESSION_ATTR_NAME = CsrfTokenManager.class
            .getName() + ".tokenval";

    private CsrfTokenManager() {
    };

    // 在session中创建csrfToken
    public static String createTokenForSession(HttpSession session) {
        String token = null;

        synchronized (session) {
            token = (String) session
                    .getAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME);
            if (null == token) {
                token = UUID.randomUUID().toString();
                session.setAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME, token);
            }
        }
        return token;
    }

    public static String getTokenFromRequest(HttpServletRequest request) {
        return request.getParameter(CSRF_PARAM_NAME);
    }
}




package com.uncle5.pubrub.web.common;

import java.util.Map;

import javax.servlet.http.HttpServletRequest;

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.support.RequestDataValueProcessor;

import com.google.common.collect.Maps;

@Component("requestDataValueProcessor")
public class CsrfRequestDataValueProcessor implements RequestDataValueProcessor {

    @Override
    public String processAction(HttpServletRequest request, String action) {
        // TODO 暂时原样返回action
        return action;
    }

    @Override
    public String processFormFieldValue(HttpServletRequest request,
            String name, String value, String type) {
        // TODO 暂时原样返回value
        return value;
    }

    @Override
    public Map<String, String> getExtraHiddenFields(HttpServletRequest request) {
        //此处是当使用spring的taglib标签<form:form>创建表单时候,增加的隐藏域参数
        Map<String, String> hiddenFields = Maps.newHashMap();
        hiddenFields.put(CsrfTokenManager.CSRF_PARAM_NAME,
                CsrfTokenManager.createTokenForSession(request.getSession()));

        return hiddenFields;
    }

    @Override
    public String processUrl(HttpServletRequest request, String url) {
        // TODO 暂时原样返回url
        return url;
    }

}



package com.uncle5.pubrub.web.security;

import java.net.URLEncoder;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.uncle5.pubrub.web.common.CsrfTokenManager;
import com.uncle5.pubrub.web.common.WebUser;

public class CsrfInterceptor extends HandlerInterceptorAdapter {

    private static final Logger logger = LoggerFactory
            .getLogger(CsrfInterceptor.class);

    @Autowired
    WebUser webUser;

    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {

        if ("POST".equalsIgnoreCase(request.getMethod())) {
            String CsrfToken = CsrfTokenManager.getTokenFromRequest(request);
            if (CsrfToken == null
                    || !CsrfToken.equals(request.getSession().getAttribute(
                            CsrfTokenManager.CSRF_TOKEN_FOR_SESSION_ATTR_NAME))) {
                String reLoginUrl = "/login?backurl="
                        + URLEncoder.encode(getCurrentUrl(request), "utf-8");

                response.sendRedirect(reLoginUrl);
                return false;
            }
        }

        return true;
    }

    private String getCurrentUrl(HttpServletRequest request) {
        String currentUrl = request.getRequestURL().toString();
        if (!StringUtils.isEmpty(request.getQueryString())) {
            currentUrl += "?" + request.getQueryString();
        }

        return currentUrl;
    }
}




<!-- 安全拦截用的 -->
    <mvc:interceptors>
        <mvc:interceptor>
            <mvc:mapping path="/forum/post" />
            <mvc:mapping path="/forum/reply/*" />
            <bean class="com.uncle5.pubrub.web.security.CsrfInterceptor" />
        </mvc:interceptor>        
    </mvc:interceptors>


<%@ taglib prefix="form" uri="http://www.springframework.org/tags/form"%>

<div style="margin: 0 auto; border: 1px solid orange; width: 80%; height: 400px;">
        <form:form action="/forum/post" method="post">
            <span>标题:</span><input type="text" name="title" id="title">
            <textarea name="content" id="content" rows="30" cols="40"></textarea>
            <input type="submit" name="submit" value="submit">
        </form:form>
</div>


<div style="margin: 0 auto; border: 1px solid orange; width: 80%; height: 400px;">
        <form id="command" action="/forum/post" method="post">
            <span>标题:</span><input type="text" name="title" id="title">
            <textarea name="content" id="content" rows="30" cols="40"></textarea>           
            <input type="submit" name="submit" value="submit">
        <input type="hidden" name="CSRFToken" value="35afec82-da7b-449e-9ae9-b38664b5af63" />
</form>
    </div>



1.只有当使用spring的form标签时候,才会在渲染jsp页面时候触发
org.springframework.web.servlet.tags.form.FormTag 类中的

@Override
public int doEndTag() throws JspException {
RequestDataValueProcessor processor = getRequestContext().getRequestDataValueProcessor();
ServletRequest request = this.pageContext.getRequest();
if ((processor != null) && (request instanceof HttpServletRequest)) {
writeHiddenFields(processor.getExtraHiddenFields((HttpServletRequest) request));
}
this.tagWriter.endTag();
return EVAL_PAGE;
}
该方法会调用上文中所说的CsrfRequestDataValueProcessor中的创建隐藏域的方法getExtraHiddenFields来创建csrfToken隐藏域。

2.对相关需要进行防范csrf攻击的post请求地址进行拦截,此处是依赖springMVC中提供的拦截器机制来操作的
<mvc:interceptors>
<mvc:interceptor>
<mvc:mapping path="/forum/post" />
<mvc:mapping path="/forum/reply/*" />
<bean class="com.uncle5.pubrub.web.security.CsrfInterceptor" />
</mvc:interceptor>
</mvc:interceptors>
当用户访问"/forum/post"这个请求时候,会直接进入CsrfInterceptor的preHandle方法,此处针对post请求进行了判断,如果从request中获取的csrfToken不存在或者与session中的csrfToken不相匹配,那么可以不进行后续流程,至于返回404还是返回到登录页面,就随便作者了。


转载地址:http://www.oschina.net/code/piece_full?code=27153#45408
报错:{‘csrf_token‘: [‘The CSRF token is missing.‘]}
m0_53291740的博客
01-22 583
flask实现一个简单的注册界面报错。来包含 CSRF 令牌。
csrf token作用
neu_xiaolu的博客
06-05 1万+
作用: 是防御CSRF攻击。 如何生成? 在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。 应用: 表单中:添加隐藏字段csrf_token,来启用csrftoken验证 <form action="/add-...
csrf-token
weixin_30807677的博客
06-05 281
全文引用ta的博客:https://blog.youkuaiyun.com/bigdaddy_maybe/article/details/82747274 在学习django的时候,在template中写form时,出现错误。要加{% csrf_token %}才可以,之前一直也没研究,只是知道要加个这个东西,具体是什么也不明白。 目的: csrf_token 是为了防止csrf(跨站请求伪造),什么是csr...
CSRF(跨站请求伪造)详解
tubug的博客
06-08 744
CSRF(Cross-Site Request Forgery)是指攻击者诱导用户在已登录某网站的情况下,执行非本意的操作(如转账、改密码等)。它依赖于用户已登录状态下浏览器自动携带 Cookie 的特性。 攻击者发现目标网站存在 CSRF 漏洞,关键操作接口未对请求来源进行身份校验。 攻击者构造包含恶意请求的 Payload(如自动提交的表单、恶意图片、JS 脚本等),并嵌入到钓鱼网页或第三方平台。 通过社交工程手段(如钓鱼邮件、社交消息、伪装广告等)引导用户点击该页面或链接。 用
CSRF 攻击的应对之道
sarck3的专栏
02-12 1160
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
CSRF Token
aheyor的博客
06-09 641
Pikachu的CSRF Token关卡中,若编辑请求未校验TokenToken静态固定,则Burp Suite可直接修改参数完成攻击。A[用户访问表单] --> B[服务端生成Token]欲深入Burp插件配置或Token生成源码,可参考。C --> D[用户提交携带Token的请求]D --> E[服务端校验Token一致性]B --> C[嵌入表单隐藏域/响应头]F -->|是| G[执行操作]F -->|否| H[拒绝请求]用户提交携带Token的请求。E --> F{合法?
csrftoken
rikka
10-28 1286
csrftoken CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。 解决csrf攻击的最...
Invalid CSRF Token(解决方案).md
08-31
Invalid CSRF Token(解决方案).md
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
当你遇到"CSRF token missing or incorrect"的错误时,这通常意味着在处理表单提交时,Django无法找到或验证有效的CSRF令牌。 首先,我们来理解Django中的CSRF机制。Django会在用户首次访问网站时生成一个唯一的...
在django中使用post方法时,需要增加csrftoken的例子
09-17
在Django框架中,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求时添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器中利用已登录用户的权限...
CSRF攻击及防止
zhangmoyan9527的博客
08-14 1216
  CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。   CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证   防止 CSRF 攻...
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 3028
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
security-csrf:Security CSRF(跨站点请求伪造)组件提供了一个CsrfTokenManager类,用于生成和验证CSRF令牌
02-05
安全组件-CSRF 安全CSRF(跨站点请求伪造)组件提供了一个CsrfTokenManager类,用于生成和验证CSRF令牌。 资源资源 并在
csrf-tokenservice:无状态CSRF(跨站请求伪造)令牌服务
04-28
CSRF \ TokenService 无状态CSRF(跨站请求伪造)令牌服务 :meat_on_bone: 安装 $ composer require schnittstabil/csrf-tokenservice 用法 <?php require __DIR__. '/vendor/autoload.php' ; use Schnittstabil \ Csrf \ TokenService \ TokenService ; // Shared secret key used for generating and validating token signatures: $ key = 'This key is not so secret - change it!' ; // Time to Live in seconds; default is 1440 seconds === 24 minutes: $
关于CSRFcsrftoken
06-27 319
CSRF 虽然利用了session验证机制的漏洞,一般使用加密token的方式防御,但是其本身和session以及JWT token没有直接联系。 描述 CSRF利用用户正常登录产生的cookie,利用钓鱼网站传给用户发送一张有内容的表单,并携带用户的正常cookies访问网站,达到将伪造的表单通过用户之手传到网站上的目的。为了避免用户提交其他网站生成的表单,网站在用户登录时签发给用户一...
跨站攻击和利用CSRF token来防御
FinixLei的专栏 (https://github.com/FinixLei)
06-14 1937
跨站攻击: 用户首先访问网银站点,登录成功后,浏览器拿到token 用户并没有登出网银站点,此时又登录一个钓鱼站点 钓鱼站点有一个诱惑链接,用户点了此链接,此链接的内容是一个URL,而此URL的实质就是转账给钓鱼者,用的是网银的标准转账URL. 用户点此链接后,浏览器封装HTTP请求,当看见是访问那个尚未退出的网银站点,就自动加上了cookie与auth token 于是,authentica...
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
CSRF 攻击实验:Token 不与 Session 绑定绕过验证
Flag少侠的博客
05-19 4321
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
csrf_token作用说明
weixin_42578783的博客
12-17 584
https://blog.youkuaiyun.com/bigdaddy_maybe/article/details/82747274
Csrf token
最新发布
06-21
### CSRF Token 的生成、使用及安全性 #### 1. CSRF Token 的生成 CSRF Token 是一种随机生成的字符串,通常在用户会话初始化时由服务器生成并绑定到用户的会话中。生成方法可以包括使用加密算法结合时间戳、用户标识符(如用户ID)以及其他动态信息来确保其唯一性[^3]。例如,可以使用以下 Python 示例代码生成一个基于 HMAC 的 CSRF Token: ```python import hmac import hashlib import time import base64 def generate_csrf_token(secret_key, user_id): timestamp = str(int(time.time())) token_data = f"{user_id}:{timestamp}" hashed = hmac.new(secret_key.encode(), token_data.encode(), hashlib.sha256) return base64.urlsafe_b64encode(hashed.digest()).decode() ``` 此代码片段通过结合用户ID和时间戳生成一个 HMAC 哈希值,并将其编码为 Base64 格式以提高可读性。 #### 2. CSRF Token 的使用 CSRF Token 的主要用途是防止跨站请求伪造攻击。它通过以下方式实现: - **存储**:Token 通常存储在用户的会话中或作为 HTTP-only Cookie 发送到客户端。 - **传输**:在表单提交或 AJAX 请求中,Token 被嵌入到请求体或头部中[^3]。 - **验证**:服务器接收到请求后,将从请求中提取 Token 并与存储在会话中的 Token 进行比较。如果匹配,则认为请求合法;否则拒绝请求。 以下是 HTML 表单中嵌入 CSRF Token 的示例: ```html <form action="/submit" method="POST"> <input type="hidden" name="csrf_token" value="{{ csrf_token }}"> <button type="submit">Submit</button> </form> ``` 在 JavaScript 中通过 AJAX 请求发送 Token 的示例: ```javascript fetch('/submit', { method: 'POST', headers: { 'Content-Type': 'application/json', 'X-CSRF-Token': '{{ csrf_token }}' }, body: JSON.stringify({ data: 'example' }) }); ``` #### 3. CSRF Token 的安全性 为了确保 CSRF Token 的安全性,需要遵循以下原则: - **绑定会话**:Token 必须与用户的会话绑定,避免被其他用户冒用。 - **HTTPS 传输**:所有包含 Token 的通信必须通过 HTTPS 加密,防止中间人攻击。 - **有效期管理**:Token 应具有合理的有效期,过期后需重新生成[^3]。 - **二次验证**:对于关键操作,建议结合短信验证码或 TOTP(基于时间的一次性密码)进行二次验证[^3]。 此外,还需要注意 Token 的存储位置。如果存储在 DOM 中,可能会受到 XSS 攻击的影响;因此推荐使用 HTTP-only Cookie 存储 Token。 #### 示例:CSRF Token 的校验逻辑 以下是一个简单的 Flask 后端校验 CSRF Token 的示例: ```python from flask import request, session, abort def validate_csrf_token(): submitted_token = request.form.get('csrf_token') or request.headers.get('X-CSRF-Token') if not submitted_token: abort(403, "Missing CSRF Token") stored_token = session.get('csrf_token') if not stored_token or submitted_token != stored_token: abort(403, "Invalid CSRF Token") ``` ### 总结 CSRF Token 是一种有效的防御机制,用于防止跨站请求伪造攻击。生成时应确保其唯一性和不可预测性,使用时需绑定用户会话并通过 HTTPS 传输,同时定期更新以提高安全性[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值