跨站点请求伪造

最新推荐文章于 2020-04-09 21:19:16 发布
原创 最新推荐文章于 2020-04-09 21:19:16 发布 · 131 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xhtml

写一个过滤器,下面是doFilter方法,代码如下:

HttpServletRequest request = (HttpServletRequest)req;
HttpServletRespone respone = (HttpServletRespone )res;
httpSession session = (HttpSession) request.getSession();

String referer = request.getHeader("Referer");
String basePath = request.getContextPath();

if (StringUtils.isEmpty(session.getAttribute("username")))
{
    if (request.getServletPath().indexOf("/loginExcute.xhtml") == -1)
    {
        req.getRequestDispatcher("/login.jsp").forword(req, respone);
    }
    else
    {
        if (refer != null && (referer.indexOf(basePath) != -1))
        {
            chain.doFilter(req,res);
        }
        else
        {
            req.getRequestDispatcher("/login.jsp").forward(req,respone);
        }
    }
}
else
{
    if (referer == null && (request.getServletPath().indexOf() != -1))
    {
        chain.doFiler(req, res);
    }
    else if (referer != null && (referer.indexOf(basePath) != -1))
    {
        chain.doFilter(req, res);
    }
    else
    {
        req.getRequestDispatcher("/login.jsp").forward(req, res);
    }
}


此处的代码中forward可以用sendRedirect写,indexOf判断可以contains方法代码。
代码编著:tangsl
java如何解决跨站请求伪造_跨站请求伪造(CSRF)
weixin_39620001的博客
02-13 2257
一、前言跨站请求伪造(Cross-SiteRequest Forgeries, CSRF),是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击;有如下危害:1、利用已通过认证的用户权限更新设定信息;2、利用已通过认证的用户权限购买商品,虚拟货币转账;3、利用已通过认证的用户权限在留言板发表言论;二、攻击原理:第一步:验证用户访问存在CSR...
Django中如何防范CSRF跨站请求伪造攻击的实现
12-26
CSRF跨站请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,...
跨站请求伪造解决方案
weixin_30897079的博客
07-28 415
跨站请求伪造解决方案 AppScan 跨站请求伪造 Token 近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。 前一篇博客介绍了启用了不安全的HTTP方法的解决方案,有兴趣请移步http://www.cnblogs.com/xlyslr/p/5707995.html。 1.跨站请求伪造 首先,什么...
PHP漏洞全解(六)-跨网站请求伪造
zacklin的专栏
04-16 1118
CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻
跨站请求伪造漏洞
weixin_33827965的博客
03-23 166
解决办法:写一个filter进行拦截package frameWork.common.core.filter;import java.io.IOException;import java.util.ArrayList;import java.util.List;import javax.servlet.Filter;import javax.servlet.FilterCha...
CSRF跨站请求伪造
cried_cat的博客
04-15 281
2018/4/15首先看CSRF的全名和百度定义,CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网...
mod_csrf:防止跨站请求伪造的 Apache 模块。-开源
05-30
跨站请求伪造(Cross-Site Request Forgery,简称 CSRF 或 XSRF)是一种网络攻击方式,它利用了用户浏览器已经存储的登录凭证,如Cookie,来执行非授权的操作。这种攻击常见于Web应用中,使得攻击者能够在用户不...
强大的防御跨站请求伪造.pdf
08-01
跨站请求伪造(CSRF,Cross-Site Request Forgery),是一种常见的网络攻击方式,目的在于迫使用户的浏览器执行攻击者期望的操作。攻击者利用了网站对用户的信任,诱使用户在已经登录状态下不知不觉地发起非预期的...
gorilla / csrf为Go Web应用程序和服务提供跨站请求伪造(CSRF)预防中间件:locked:-Golang开发
05-26
gorilla / csrf gorilla / csrf是一个HTTP中间件库,它提供跨站请求伪造(CSRF)保护。 它包括:csrf.Protect中间件/处理程序在连接到路由器大猩猩/ csrf的路由上提供CSRF保护。gorilla / csrf是一个HTTP中间件库...
【PHP-漏洞之一】跨网站请求伪造
Chanson
04-25 565
攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。 攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。 例如:某个购物网站购买商品时,采用http://www.taobao.com/gouma
跨站请求伪造-Cross-site request forgery
weixin_34284188的博客
08-01 201
2019独角兽企业重金招聘Python工程师标准>>> ...
跨站请求伪造(CSRF)
ruins44的博客
03-29 919
CSRF的全名是Cross Site Request Forgery,也就是跨站请求伪造
10大最重要的Web安全风险之五:A5-伪造跨站请求
weixin_34356138的博客
07-03 171
2019独角兽企业重金招聘Python工程师标准>>> ...
Web 安全与 Rational AppScan 入门
weixin_33958366的博客
04-02 128
Web 应用现状 Web 应用的基础概念 在讨论 Web 应用安全之前,先简单介绍一下 Web 应用基础概念,这样便于理解为什么 Web 应用是脆弱的,容易受到***。 1、 什么是 Web 应用 Web 应用是由动态脚本、编译过的代码等组合而成。它通常架设在 Web 服务器上,用户在 Web 浏览器上发送请求,这些请求使用 HTTP 协议,经过因特网和企业的 Web...
SSRF服务器端请求伪造漏洞之——原理及寻找方法
温柔小薛的博客
04-09 1351
原理及寻找方法 简介 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF 是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人) SSRF 形成原因 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的...
跨站请求伪造(CSRF攻击)漏洞原理和解决指南
日拱一卒无有尽,功不唐捐终入海
12-15 9601
跨站请求伪造(CSRF)是一种常见的Web安全漏洞,攻击者利用该漏洞可以以被攻击用户的身份执行未经授权的操作。下面是CSRF攻击的原理:1. 用户登录网站:用户在一个网站上登录,并获取了有效的会话凭证(如Cookie)。2. 攻击者准备攻击页面:攻击者准备一个恶意网页,该网页会在用户浏览器中加载并执行。3. 用户访问恶意网页:用户在登录网站后,访问了攻击者准备的恶意网页,该网页中包含了攻击者构造的恶意请求
安全测试基础(Ⅰ) 安全测试概述
weixin_30924087的博客
10-23 1165
一般来说,版本功能测试完成,对应的用例也实现了自动化,性能、兼容、稳定性测试也完成了以后,我们就需要考虑到系统的安全问题,特别是涉及到交易、支付、用户账户信息的模块,安全漏洞会带来极高的风险。 一.安全测试原则与常见的安全威胁: 1.安全需求: ※认证:对认证的用户的请求返回 ※访问控制:对未认证的用户的权限控制和数据保护 ※完整性:用户必须准确的收到服务器发送的信息 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值