跨站点请求伪造

最新推荐文章于 2018-04-15 14:24:37 发布
最新推荐文章于 2018-04-15 14:24:37 发布
阅读量122 收藏
点赞数
分类专栏: java 文章标签: xhtml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jcicash/article/details/84493461
版权
写一个过滤器,下面是doFilter方法,代码如下: 

HttpServletRequest request = (HttpServletRequest)req;
HttpServletRespone respone = (HttpServletRespone )res;
httpSession session = (HttpSession) request.getSession();

String referer = request.getHeader("Referer");
String basePath = request.getContextPath();

if (StringUtils.isEmpty(session.getAttribute("username")))
{
    if (request.getServletPath().indexOf("/loginExcute.xhtml") == -1)
    {
        req.getRequestDispatcher("/login.jsp").forword(req, respone);
    }
    else
    {
        if (refer != null && (referer.indexOf(basePath) != -1))
        {
            chain.doFilter(req,res);
        }
        else
        {
            req.getRequestDispatcher("/login.jsp").forward(req,respone);
        }
    }
}
else
{
    if (referer == null && (request.getServletPath().indexOf() != -1))
    {
        chain.doFiler(req, res);
    }
    else if (referer != null && (referer.indexOf(basePath) != -1))
    {
        chain.doFilter(req, res);
    }
    else
    {
        req.getRequestDispatcher("/login.jsp").forward(req, res);
    }
}


此处的代码中forward可以用sendRedirect写,indexOf判断可以contains方法代码。
代码编著:tangsl
java如何解决跨站请求伪造_跨站请求伪造(CSRF)
weixin_39620001的博客
02-13 2227
一、前言跨站请求伪造(Cross-SiteRequest Forgeries, CSRF),是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击;有如下危害:1、利用已通过认证的用户权限更新设定信息;2、利用已通过认证的用户权限购买商品,虚拟货币转账;3、利用已通过认证的用户权限在留言板发表言论;二、攻击原理:第一步:验证用户访问存在CSR...
Django中如何防范CSRF跨站请求伪造攻击的实现
12-26
CSRF跨站请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,...
跨站请求伪造解决方案
weixin_30897079的博客
07-28 398
跨站请求伪造解决方案 AppScan 跨站请求伪造 Token 近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。 前一篇博客介绍了启用了不安全的HTTP方法的解决方案,有兴趣请移步http://www.cnblogs.com/xlyslr/p/5707995.html。 1.跨站请求伪造 首先,什么...
PHP漏洞全解(六)-跨网站请求伪造
zacklin的专栏
04-16 1099
CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻
跨站请求伪造漏洞
weixin_33827965的博客
03-23 153
解决办法:写一个filter进行拦截package frameWork.common.core.filter;import java.io.IOException;import java.util.ArrayList;import java.util.List;import javax.servlet.Filter;import javax.servlet.FilterCha...
CSRF跨站请求伪造
cried_cat的博客
04-15 263
2018/4/15首先看CSRF的全名和百度定义,CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网...
mod_csrf:防止跨站请求伪造的 Apache 模块。-开源
05-30
跨站请求伪造(Cross-Site Request Forgery,简称 CSRF 或 XSRF)是一种网络攻击方式,它利用了用户浏览器已经存储的登录凭证,如Cookie,来执行非授权的操作。这种攻击常见于Web应用中,使得攻击者能够在用户不...
强大的防御跨站请求伪造.pdf
08-01
跨站请求伪造(CSRF,Cross-Site Request Forgery),是一种常见的网络攻击方式,目的在于迫使用户的浏览器执行攻击者期望的操作。攻击者利用了网站对用户的信任,诱使用户在已经登录状态下不知不觉地发起非预期的...
【PHP-漏洞之一】跨网站请求伪造
Chanson
04-25 553
攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。 攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。 例如:某个购物网站购买商品时,采用http://www.taobao.com/gouma
跨站请求伪造-Cross-site request forgery
weixin_34284188的博客
08-01 192
2019独角兽企业重金招聘Python工程师标准>>> ...
跨站请求伪造(CSRF)
ruins44的博客
03-29 889
CSRF的全名是Cross Site Request Forgery,也就是跨站请求伪造
10大最重要的Web安全风险之五:A5-伪造跨站请求
weixin_34356138的博客
07-03 154
2019独角兽企业重金招聘Python工程师标准>>> ...
Web 安全与 Rational AppScan 入门
weixin_33958366的博客
04-02 119
Web 应用现状 Web 应用的基础概念 在讨论 Web 应用安全之前,先简单介绍一下 Web 应用基础概念,这样便于理解为什么 Web 应用是脆弱的,容易受到***。 1、 什么是 Web 应用 Web 应用是由动态脚本、编译过的代码等组合而成。它通常架设在 Web 服务器上,用户在 Web 浏览器上发送请求,这些请求使用 HTTP 协议,经过因特网和企业的 Web...
跨站请求伪造(CSRF攻击)漏洞原理和解决指南
日拱一卒无有尽,功不唐捐终入海
12-15 9520
跨站请求伪造(CSRF)是一种常见的Web安全漏洞,攻击者利用该漏洞可以以被攻击用户的身份执行未经授权的操作。下面是CSRF攻击的原理:1. 用户登录网站:用户在一个网站上登录,并获取了有效的会话凭证(如Cookie)。2. 攻击者准备攻击页面:攻击者准备一个恶意网页,该网页会在用户浏览器中加载并执行。3. 用户访问恶意网页:用户在登录网站后,访问了攻击者准备的恶意网页,该网页中包含了攻击者构造的恶意请求
安全测试基础(Ⅰ) 安全测试概述
weixin_30924087的博客
10-23 1147
一般来说,版本功能测试完成,对应的用例也实现了自动化,性能、兼容、稳定性测试也完成了以后,我们就需要考虑到系统的安全问题,特别是涉及到交易、支付、用户账户信息的模块,安全漏洞会带来极高的风险。 一.安全测试原则与常见的安全威胁: 1.安全需求: ※认证:对认证的用户的请求返回 ※访问控制:对未认证的用户的权限控制和数据保护 ※完整性:用户必须准确的收到服务器发送的信息 ...
ESFramework介绍之(17)―― 支持漫游用户和跨区域功能请求
weixin_34190136的博客
03-27 97
    对于漫游用户的支持和跨区域功能请求的支持是ESFramework最基本的目的之一(回顾),在详细讲述解决方案之前,先了解一下关于这个问题的上下文。    在我们前面讲述的4层C/S架构中,每个AS负责一块区域。比如上海AS负责处理所有目标城市为上海的功能请求和管理所有在上海AS上注册的用户(比如PDA用户或手机用户)。如果一个本是在上海注册的用户出差来到了武汉,最方便的,他会连上武汉的AS...
web安全之跨站请求伪造
热门推荐
交换一个思想,能得到俩思想
12-23 2万+
CSRF(Cross-site request forgery),中文名称:跨站请求伪造. 因为这个不是用户真正想发出的请求,这就是所谓的请求伪造;因为这些请求也是可以从第三方网站提交的,所以前缀跨站二字。 CSRF发生的场景如下图所示: 用户登录访问了一个受信任的站, 在用户还没有退出登录的时候,打开另外一个tab页,访问了网站B。 在B网站中,有CSRF攻击代码访问网站A。
appscan 跨站请求伪造 springsecurity
最新发布
12-13
跨站请求伪造(CSRF)是一种常见的网络攻击方式,攻击者通过伪造用户的请求,使受害者在不知情的情况下执行一些非预期的操作。Spring Security 是一个强大的安全框架,可以帮助开发者保护应用程序免受各种安全威胁,包括 CSRF 攻击。 AppScan 是一种自动化安全测试工具,可以帮助开发者和安全专家识别和修复应用程序中的安全漏洞,包括 CSRF 漏洞。 在 Spring Security 中,CSRF 保护是默认启用的。以下是一些关键1. **CSRF 保护机制**:Spring Security 使用同步 Token 来防止 CSRF 攻击。每次请求都会生成一个唯一的 Token,服务器会验证这个 Token 是否有效。 2. **配置 CSRF 保护**:在 Spring Security 配置类中,可以通过以下代码启用或禁用 CSRF 保护: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable(); // 禁用 CSRF 保护 } } ``` 3. **表单提交中的 CSRF Token**:在使用表单提交时,需要在表单中添加一个隐藏字段来包含 CSRF Token: ```html <form action="/submit" method="post"> <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/> <!-- 其他表单字段 --> <button type="submit">Submit</button> </form> ``` 4. **AJAX 请求中的 CSRF Token**:在 AJAX 请求中,可以通过以下方式设置 CSRF Token: ```javascript var token = $("meta[name='_csrf']").attr("content"); var header = $("meta[name='_csrf_header']").attr("content"); $(document).ajaxSend(function(e, xhr, options) { xhr.setRequestHeader(header, token); }); ``` 通过以上配置和措施,Spring Security 可以有效地防止 CSRF 攻击。AppScan 可以帮助识别应用程序中的 CSRF 漏洞,确保应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值