校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器

最新推荐文章于 2025-09-04 17:22:08 发布
最新推荐文章于 2025-09-04 17:22:08 发布 · 4.2k 阅读 · 2
文章标签:

#校验Referer #防范CSRF攻击的拦截器 #跨站请求伪造

本文介绍了一个用于管理员操作的CSRF防御拦截器实现,通过校验Referer头来防范跨站请求伪造攻击。
部署运行你感兴趣的模型镜像

 

 

	public final static	String domainName = "192.168.2.123";

 

 

package com.web.interceptors;

import org.apache.log4j.Logger;
import org.apache.struts2.ServletActionContext;

import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;
import com.trace.web.utils.Constants;

/**
 * 对管理员操作,校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器
 * @author admin
 */
public class AuthInterceptor extends AbstractInterceptor {

	private static final long serialVersionUID = -2154056039548254482L;
	
	private static Logger log = Logger.getLogger(AuthInterceptor.class);

	@Override
	public String intercept(ActionInvocation invocation) throws Exception {
		String referer = ServletActionContext.getRequest().getHeader("Referer");
		if((referer!=null) && (referer.trim().startsWith(Constants.HTTP + Constants.domainName))){
			return invocation.invoke();
		}
		log.info("referer : " + referer);
		return "error";
	}

}

 

 

 

 

 

 

 

 

 

 

 

 

 

捐助开发者

在兴趣的驱动下,写一个免费的东西,有欣喜,也还有汗水,希望你喜欢我的作品,同时也能支持一下。 当然,有钱捧个钱场(右上角的爱心标志,支持支付宝和PayPal捐助),没钱捧个人场,谢谢各位。



 
 
 谢谢您的赞助,我会做的更好!

 

 

 

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

通过验证Referer解决CSRF安全防御问题
向南
09-26 5687
一、背景 JAVAWEB 类项目处于客户验收阶段,在安全扫描处出现 CSRF 问题,通过多个博客中解决思路都无法解决。后来通过同事提醒 可以试试判断 Referer页面来源参数,最终使用该方法解决问题。 二、环境 服务器:Linux 前端:Angular 后端:Springboot Java 三、安全证书 四、解决方法 后端拦截器判断访问来源,其它地方不用修改。 @...
安全01-后台增加Referer校验防范CSRF跨站请求伪造
windows_apple的博客
12-01 3911
CSRF,中文名字,跨站请求伪造攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。 防范方案: 1、验证HTTP Referer字段。 2、请求地址中添加token并验证(token不放在cookie中,放在http请求参数中,服务端对其进行验证) 3、将token加入http属性中,避免了token出现在浏览器中,被泄露。 Referer验证方案: 根据HTTP协议,在HTTP部中有一个Re
使用http动词篡改的认证旁路
折腾java的博客
06-09 2097
可能会升级用户特权并通过 Web 应用程序获取管理许可权可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。 测试结果似乎指示存在脆弱性,因为“测试响应原始响应”完全相同,这表明动词篡改能够绕过站点认证。增加拦截器,判断请求方式是否合法,合法则放行。......
跨站请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 6188
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
Web安全:你所不知道的HTTP Referer注入攻击
haishiqiguai的博客,欢迎你的到来,希望你能在此找到汝心中所求
09-04 1512
本篇文章深入解析了HTTP Referer安全风险,重点介绍了Referer注入攻击,尤其是SQL注入的实现方式。文章通过sqli-labs实战演示,说明攻击者如何通过篡改Referer执行恶意SQL代码,并强调防御的核心在于永不信任客户端输入,需进行严格校验、过滤和使用白名单机制,避免依赖Referer安全决策
http referer 验证防御方法_技术干货 | CSRF攻击原理以及防御
weixin_39559333的博客
11-29 2127
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。XSS攻击相比,CSRF攻击往往不...
跨站请求伪造CSRF攻击原理及预防手段
慢慢
06-02 6426
随机化Token(CSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
CSRF跨站请求伪造漏洞修复
折腾java的博客
06-09 3545
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
【漏洞】CSRF跨站请求伪造漏洞,springboot修复思路
游游的小博客
02-15 1164
CSRF跨站请求伪造漏洞
获取referer_怎么增加referer校验
weixin_39880337的博客
12-08 2818
1.Referer就是上一个页面的地址,这个是浏览器会在点击一个链接时自动添加到请求中的查看一个request信息页面:按F12调试工具可查看2.referer的作用:防止盗连,比如我是个下载软件的网站,在下载页面我先用referer来判断上一页面是不是自己网站,如果不是,说明有人盗连了你的下载地址防盗链方法代码:3.通过设置referer不是安全的,在Java中获取一个网站的HTML内容可以通...
主机验证:用于“主机”和“ Referer”标验证的Express.js中间件,可防止DNS重新绑定攻击
02-04
主机验证 Express.js中间件,可通过验证传入请求中的Host和Referer [sic]标保护Node.js服务器免受攻击。 如果请求不包含列入白名单的Host / Referer,则host-validation将以403 Forbidden HTTP错误响应。 DNS重新绑定是一个精明的漏洞利用,多年来一直没有得到应有的重视。 因此,由于开发人员缺乏有关攻击的知识,或者仅仅是疏忽和漠不关心该攻击,因此大量的服务容易受到攻击。 别做那个人。 入门 # install using npm npm install host-validation const express
Spring mvc拦截器防御CSRF攻击
热门推荐
jrn1012的专栏
10-07 1万+
CSRF(具体参考百度百科)       CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请
AppScan安全扫描:CSRF 攻击 将可能干扰 CSRF 攻击的 HTTP 除去,并使用伪造的 URL 设置 Referer
爱兰河少
01-30 1846
如果一个网站是从其他网站点击后跳转过来,则会在当前的请求中带上Referer信息,该信息指示的是跳转前网页的地址信息,而AppScan安全扫描则会报CSRF 攻击;解决方法:通过拦截器,获取请求中的Referer信息,对Referer信息做过滤处理 1、拦截器信息 可用过csrf-ignore-uri配置白单信息,指定相应的URI信息不做拦截 package cn.com.zwjp.fr...
分布式系统认证解决方案SpringSecurityOAuth2.0(四)整合网关认证授权
DreamsArchitects的博客
08-24 1731
目录一、简介二、搭建网关路由配置转发路由 一、简介 网关整合OAuth2.0有两种思路,一种是认证服务器生成JWT令牌,所有的请求统一在网关层验证,判断权限等操作;另一种是由各资源服务处理,网关只做请求转发。 如果网关选择Zuul可以选择第一种。 如果网关选择Gateway可以选择第二种方式,因为Gateway网关是用的是webFlux 其对@EnableResourceServer不支持,如果要将网关服务也作为资源服务实现比较麻烦。 API网关在认证授权体系中主要负责两件事: 作为OAuth2.0的资源
SpringBoot 通过拦截器验证Referer 防御CSRF攻击
哎幽的成长
10-10 1万+
问题: **CSRF概念:**CSRF跨站请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为...
java springboot 通过Referer防止跨站请求伪造
qq_44154912的博客
10-21 4874
防止跨站请求伪造 获取 referer 为null, 无法获取 referer 导致过滤失败
验证HTTP Referer字段
紫天专栏
06-25 1万+
1 、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。   1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未
系统没有校验Referer请求,存在CSRF漏洞风险
最新发布
10-22
<think>首先,用户的问题是:“我想查找解决系统未校验Referer请求导致CSRF漏洞风险的方法”。这个问题的核心是解决CSRF漏洞风险,特别是由于系统没有校验Referer请求而导致的。 用户提供了两个站内引用: - 引用[1]:解释了Referer验证如何防御CSRF攻击。它描述了Referer字段的作用、验证方法、优缺点。 - 引用[2]:定义了CSRF漏洞,强调了它XSS的区别。 我的回答需要: - 使用中文回答。 - 遵循系统级指令:行内数学表达式用$...$,独立公式用$$...$$(但在这个问题中可能不涉及数学公式,所以我可以忽略)。 - LaTeX语法正确(同样,可能不适用)。 - 回答结构清晰,逐步解决问题。 - 末尾自然地添加引用标识。 - 生成相关问题。 从参考引用中,我提取关键信息: - Referer验证:检查HTTP请求Referer,确保它来自可信域名。 - 缺点:Referer可能被篡改,有些浏览器可能不发送Referer。 - 引用中提到“实际应用中通常采用第二种方法来防御CSRF攻击”,但引用中只提到了Referer验证,没有指定第二种方法是什么。我需要回想常见的CSRF防御方法。 标准CSRF防御方法包括: 1. **Referer检查**:验证Referer是否来自可信域名。 2. **Anti-CSRF Tokens**(CSRF令牌):最常用的方法。服务器生成一个唯一的、不可预测的令牌,嵌入在表单或请求中;用户提交时,服务器验证令牌是否匹配。 3. **SameSite Cookie属性**:设置cookie的SameSite属性为Strict或Lax,限制跨站请求。 4. **其他方法**:如双重提交cookie、使用自定义等。 回答结构: 1. **介绍问题**:解释什么是CSRF风险和Referer验证的意义。 2. **解决方法**:提供多种解决未校验Referer导致的CSRF风险的方法。 - 修复Referer验证:如果可行,实施Referer检查。 - 替代方法:由于Referer验证有缺点,推荐使用更可靠的方法如CSRF令牌。 3. **步骤指导**:清晰地说明如何实施这些方法。 4. **引用来源**:自然地融入引用内容。 5. **生成相关问题**:在末尾添加相关问题。 生成相关问题: - 基于CSRF主题,如Token实现、SameSite属性、测试方法等。 完整回答框架: 1. **引言**:简要解释CSRF风险和Referer验证的作用。 2. **核心解决方法**: - 方法1:实施Referer验证。 - 如何做:在服务器端添加拦截器,检查Referer。 - 优缺点:参考引用[1]。 - 方法2:使用CSRF Token。 - 描述如何实现。 - 方法3:使用SameSite Cookie属性。 - 强调推荐方法(如CSRF Token)。 3. **步骤总结**:给用户一个清晰的行动指南。 4. **结尾**:添加引用标识。 5. **相关问题**:列出几个相关问题。 确保语言自然、流畅。 </think>### 解决系统未校验Referer请求导致的CSRF漏洞风险方法 CSRF跨站请求伪造)漏洞风险源于网站对用户浏览器的信任被滥用,攻击者可以强制用户执行非预期的操作(如转账或数据修改)[^2]。当系统未校验Referer请求时,攻击者更容易伪造请求,因为Referer字段能标识请求的来源域名(如合法应为`xxx.com`)[^1]。针对此风险,以下是几种有效的解决方法。我将逐步解释每种方法,包括实施步骤、优缺点,并优先推荐更可靠的技术。 #### 1. **实施Referer验证(直接修复方案)** 这是最直接的修复方式,通过在服务器端校验Referer来确保请求来自可信域名。 - **实施步骤**: - 在网站后台(如Web应用服务器)添加一个拦截器或中间件。 - 对每个敏感请求(如转账或数据修改操作)检查HTTP中的Referer值。 - 验证Referer是否以可信域名开(例如`https://xxx.com`),否则拒绝请求。 - 示例代码(以Python Flask框架为例): ```python from flask import request @app.before_request def check_referer(): trusted_domain = "https://xxx.com" sensitive_paths = ["/transfer", "/update_profile"] # 定义敏感端点 if request.path in sensitive_paths: referer = request.headers.get('Referer', '') if not referer.startswith(trusted_domain): return "Invalid request: Referer verification failed.", 403 ``` - **优点**: - 简单易行,只需后台代码修改,无需前端变更。 - 适用于大部分场景,能有效拦截外部站点发起的攻击[^1]。 - **缺点**: - Referer可能被篡改(低级浏览器漏洞)或被用户禁用(高级浏览器隐私设置),导致合法请求被误拒[^1]。 - 可靠性较低,不建议作为唯一防御机制。 此方法可作为初步修复,但需结合其他方案增强安全性。 #### 2. **使用Anti-CSRF Token(推荐方法)** 实际应用中,Referer验证的缺陷使其不完美,因此业界更推荐使用Anti-CSRF Token(CSRF令牌)作为核心防御。该方法在请求中嵌入一个唯一的、不可预测的令牌,服务器验证其有效性。 - **实施步骤**: - **生成令牌**:用户登录时,服务器生成一个令牌(如随机字符串),存储在用户会话中。 - **嵌入令牌**:将令牌嵌入表单或请求(如作为隐藏字段`<input type="hidden" name="csrf_token" value="随机值">`)。 - **验证令牌**:用户提交请求时,服务器比较请求中的令牌会话存储的值是否匹配。 - **示例流程**: 1. 用户访问页面时,服务器返回表单:`<form action="/transfer" method="POST"><input type="hidden" name="csrf_token" value="abcd1234"></form>`。 2. 用户提交表单后,服务器验证`csrf_token === session.get('csrf_token')`。 - 代码片段(Node.js Express示例): ```javascript const express = require('express'); const csrf = require('csurf'); const app = express(); app.use(csrf()); // 启用CSRF中间件 app.get('/form', (req, res) => { res.render('form', { csrfToken: req.csrfToken() }); // 传递令牌到前端 }); app.post('/transfer', (req, res) => { // 自动验证令牌,失败则拒绝 if (!req.csrfTokenValid) { return res.status(403).send("CSRF Token验证失败"); } // 处理合法请求 }); ``` - **优点**: - 高度可靠:令牌由服务器控制,攻击者无法预测或篡改。 - 兼容性强:不受浏览器Referer设置影响。 - 行业标准:被OWASP(开放Web应用安全项目)推荐为首选防御机制。 - **缺点**: - 需要前后端协同修改,实施稍复杂。 - 对API请求需额外处理(如使用自定义)。 #### 3. **结合SameSite Cookie属性(增强防御)** 作为补充方案,设置Cookie的SameSite属性可以限制跨站请求,减少CSRF风险。 - **实施步骤**: - 在设置会话Cookie时,添加`SameSite`属性为`Strict`或`Lax`。 - `Strict`:完全禁止跨站请求携带Cookie。 - `Lax`:允许安全方法(如GET)的跨站请求,但阻止POST等危险方法。 - 示例Cookie设置(HTTP响应): ``` Set-Cookie: session_id=123; Secure; HttpOnly; SameSite=Lax ``` - 适用于所有现代浏览器(Chrome、Firefox等)。 - **优点**: - 简单高效:一行代码即可强化防御。 - Referer验证或CSRF Token互补,提升整体安全性。 - **缺点**: - 单独使用不充分:攻击者可能绕过(如旧版浏览器支持不足)。 - 需确保Cookie标记为`Secure`和`HttpOnly`以防止XSS泄露。 #### 实施建议总结 - **优先采用CSRF Token**:这是最可靠的防御方法,尤其适合新系统或高风险场景。 - **组合使用**:针对未校验Referer的漏洞,建议: 1. 新增CSRF Token作为核心防御。 2. 添加SameSite Cookie属性(设置为Lax)。 3. 可选:实施Referer验证作为辅助层(例如用于日志监控)。 - **测试验证**:部署后,使用工具(如OWASP ZAP或Burp Suite)扫描CSRF漏洞,确保修复有效。 通过上述方法,您能有效解决因未校验Referer导致的CSRF风险,大幅提升系统安全性[^1][^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值