通过判断请求Header中的Referer来防止伪造请求

最新推荐文章于 2023-01-07 23:08:48 发布
原创 最新推荐文章于 2023-01-07 23:08:48 发布 · 5.9k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种通过在web.xml中配置REFERER过滤器来增强Web应用安全性的方式。该过滤器能够检查HTTP请求头中的REFERER字段,确保其来源合法,从而防止非法请求访问。

其实不会根本性的解决这个问题。

解决方法:

在web.xml中增加:

    <filter>
        <filter-name>refererFilter</filter-name>
        <filter-class>ltd.miku.web.securityenhance.xss.RefererFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>refererFilter</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

然后RefererFilter的内容是: 

import com.inspur.ssr.web.system.service.impl.ExpireSessionImpl;
import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Service;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.net.MalformedURLException;
import java.net.URL;

@Service
public class RefererFilter implements Filter
{
    private static final Logger logger = LoggerFactory.getLogger(RefererFilter.class);

    public void init(FilterConfig filterConfig) throws ServletException
    {
        logger.debug(" init {} but actually do nothing.", getClass().getName());
    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException

    {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        String rawReferer = httpServletRequest.getHeader("referer");
        boolean legal = false;
        if (StringUtils.isBlank(rawReferer))
        {
            legal = true;
        }
        else
        {
            try
            {
                URL url = new URL(rawReferer);
                String clientIp = httpServletRequest.getRemoteAddr();
                String referIp = url.getHost();
                String localIp = httpServletRequest.getLocalAddr();

                if (StringUtils.equals(clientIp, referIp))
                {
                    legal = true;
                }
                if (StringUtils.equals("localhost", referIp) || StringUtils.equals("127.0.0.1", referIp) || StringUtils.equals(localIp, referIp))
                {
                    legal = true;
                }
            }
            catch (MalformedURLException e)
            {
                e.printStackTrace();
            }
        }

        if (!legal)
        {
            logger.warn(" illegal referer: {}", rawReferer);
            httpServletResponse.sendError(HttpServletResponse.SC_FORBIDDEN);
        }
        else
        {
            chain.doFilter(request, response);
        }

    }

    public void destroy()
    {
        logger.debug(" destroy {} but actually do nothing.", getClass().getName());
    }
}

虽然代码写的比较翔,但是好歹是能用的。。。。。↑↑↑↑↑↑注意有待优化,无法直接生产用↑↑↑↑↑
http请求头中Referer的作用及危害
墨痕诉清风的博客
03-14 2万+
一、Referer Referer是HTTP请求header中的一部分,其表示请求当前资源的客户端来源,当浏览器(或模拟浏览器行为)向web服务器发送请求的时候,头部信息里会携带Referer。 例如:在 www.google.com 里有一个 www.baidu.com 超链接,当点击这个链接跳转到baidu的时候,浏览器向baidu发出的请求信息里就有:Referer=http://www.google.com Referer的正确拼写是referrfer,由于早期的HTTP规范的拼写错误,于
利用Referer请求防止“盗链”
bakelFF的博客
09-29 638
一、介绍 在实际开发中,经常会使用Referer头字段,例如,一些站点为了吸引人气并且提高站点访问量,提供了各种软件的下载页面,但是它们本身没有这些资源,只是将下载的超链接指向其它站点上的资源。而真正提供了下载资源的站点为了防止这种“盗链”,就需要检查请求来源,只接收本站链接发送的下载请求,阻止其它站点链接的下载请求。 二、获取头信息里的referer Referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用Referer请求头识...
关于Http请求headerReferer讲解
积微成著
07-02 2656
什么是RefererReferer 是 Http 请求Header的一部分,当浏览器(或者模拟浏览器行为)向web服务器发送请求的时候,头信息里有包含 Referer 。比如我在www.sojson.com里有一个www.baidu.com链接,那么点击这个www.baidu.com,它的header信息里就有: Referer=https://www.sojson.com 由此可以看出来吧。它就是表示一个来源。看下图的一个请求Referer 信息。 ...
关于EL的理解(二)
m0_59344957的博客
05-14 171
EL如何判空 EL表达式获取指定作用域数据 EL表达式获取请求头数据 EL如何判空: ·${empty 值} 返回true,主要用来判断值是否为空(null,空字符串,空集合) ·${值 eq null } 返回true 的话,表示为空 ·${值 !=null} 返回true,表示内容不为空值 EL表达式获取指定作用域数据: ·${pageScope.键名} 指定获取pageContext作用域中的数据 ·${requestScope.键名} 指定获取...
围绕http请求头中Referer展开的一些知识
热门推荐
好好睡觉
01-07 1万+
referer字段含义 防盗链绕过
http referer 验证防御方法_常见WEB漏洞:JSONP安全与防御
weixin_40003451的博客
11-29 512
01 JSONP1.1 JSONP的概念浏览器的同源策略使得比如 http://www.a.com 的网站没法直接获取 http://www.b.com 的相关数据,那么假如在一些应用场景一定要获取怎么办?JSONP就是一种解决方式,所以说它是解决跨域请求资源而产生的解决方案。1.2 JSONP场景示例类似腾讯或者网易这种大公司,通常采用一套用户系统,在一个地方登陆,其他地方就免登陆,那么专门用作...
java springboot 通过Referer防止跨站点请求伪造
qq_44154912的博客
10-21 4886
防止跨站点请求伪造 获取 referer 为null, 无法获取 referer 导致过滤失败
request.getHeader("referer")防盗链
05-07
HTTP headers是HTTP请求和相应的核心模块,它承载了关于客户端浏览器、请求页面、服务器等相关信息。Referer是HTTP头中的一个属性,告诉服务器我是从哪个页面链接过来的。
使用php伪造referer的方法 利用referer防止图片盗链
10-26
标题中的“使用PHP伪造Referer的方法 利用Referer防止图片盗链”涉及到的是Web开发中的HTTP头部信息处理,特别是如何使用PHP来控制和利用HTTP Referer字段来防止图片资源被其他网站非法引用,即图片盗链。...
精选资源
CSRF(跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造...在跨站请求伪造(CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面
PHP curl伪造IP地址和header信息代码实例
12-18
当使用cURL时,我们可以通过设置`CURLOPT_HTTPHEADER`选项来伪造`HTTP_X_FORWARDED_FOR`头,例如: ```php $headers = [ 'CLIENT-IP' => '202.103.229.40', 'X-FORWARDED-FOR' => '202.103.229.40', ]; $...
PHP伪造referer实例代码
10-30
需要注意的是,该代码仅适用于使用 Referer 信息来判断是否盗链的防盗链系统,对于使用其他特殊方法防盗链的系统,该代码可能不适用。此外,代码中也没有进行安全检测,需要根据实际情况添加安全检测。 该 PHP 伪造...
前后端分离,防止接口被篡改
a947851266的博客
07-08 1817
加密算法有对称加密和非对称加密,AES是对称加密,RSA是非对称加密。之所以用AES加密数据是因为效率高,RSA运行速度慢,可以用于签名操作。 我们可以用这2种算法互补,来保证安全性,用RSA来加密传输AES的秘钥,用AES来加密数据,两者相互结合,优势互补。 其实大家理解了HTTPS的原理的话对于下面的内容应该是一看就懂的,HTTPS比HTTP慢的原因都是因为需要让客户端与服务器端安全地协商出一个对称加密算法。剩下的就是通信时双方使用这个对称加密算法进行加密解密。 1、客户端启动,...
反爬虫,到底是怎么回事儿?
图灵教育
09-03 4197
有位被爬虫摧残的读者留言问:「网站经常被外面的爬虫程序骚扰怎么办,有什么方法可以阻止爬虫吗?」这是个好问题,自从 Python 火了起来,编写爬虫程序的门口越来越低,爬取别人网站数据也...
http referer 验证防御方法_【知识点】5个防御CSRF的小技巧
weixin_39931101的博客
11-29 765
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此...
Referrer策略与防盗链
iceice_L的博客
03-05 1363
碰到后端提供图片链接不可访问,添加 &lt;meta name="referrer" content="no-referrer"&gt;后可以显示。 referrer:http请求header的报文头,指明http请求从哪个页面链接过来的。 referrer策略: no referrer:任何情况都不发送Referrer信息; no referrer when downgrade:仅当...
跨站请求伪造学习笔记
0xdawn的博客
01-30 504
0x00 前言 跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 0x0...
服务器端修改referer,CSRF绕过后端Referer校验
weixin_31640639的博客
08-12 1662
CSRF绕过后端Referer校验分正常情况和不正常的情况,我们这里主要讨论开发在写校验referer程序时,不正常的情况下怎么进行绕过。正常情况正常的情况指服务器端校验Referer的代码没毛病,那么意味着前端是无法绕过的。我之前考虑过的方案:JS修改Referer,失败;让用户点击第三方网站,但是浏览器就是使用第三方网站的referer,失败;不正常的情况不正常的情况指服务器端校验Refere...
跨站请求伪造解决办法之——过滤referer
weixin_34362991的博客
04-06 3956
 当然,referer也是可以伪造的,Http请求本身就没有不能伪造的东西。 所以本方法只能在一定程度上防止非法请求,仅供参考。   项目的web.xml中增加过滤器: &lt;filter&gt; &lt;filter-name&gt;RefererFilter&lt;/filter-name&gt; &lt;filter-class&gt...
java的请求referer属性
最新发布
06-18
<think>我们正在讨论Java中HTTP请求头的Referer属性。根据用户的问题,我们需要解释Referer的作用和用法。引用[1]提到请求头包含客户端请求的相关信息,如用户代理、来源等。Referer正是表示请求来源的头部。引用[2]展示了在Servlet中如何通过HttpServletRequest对象获取Referer头,并用于校验。引用[3]则展示了使用RestTemplate时获取响应头的方法,但用户问题关注的是请求头,尤其是Referer。因此,我们将重点放在Referer请求头的解释和用法上。回答结构:1.解释Referer的作用2.说明在Java中如何获取Referer(主要使用HttpServletRequest)3.给出一个完整的使用示例4.注意事项同时,按照要求生成相关问题。</think>### Java HTTP请求Referer 属性详解 #### 一、Referer 属性的作用 Referer(注意拼写应为"Referrer",但HTTP规范保留"Referer"拼写)是HTTP请求头的重要字段,用于**标识当前请求的来源页面URL**。主要作用包括: 1. **来源追踪** 服务器可识别用户从哪个网页链接跳转而来,例如: - 用户点击A网站的链接访问B网站时,B网站收到的请求头中将包含: `Referer: https://www.site-a.com/page.html` 2. **防盗链机制** 保护资源(如图片/文件)不被第三方网站直接引用: ```java if (referer == null || !referer.contains("my-domain.com")) { response.sendError(403, "Forbidden hotlinking"); } ``` 3. **数据分析** 统计流量来源渠道(搜索引擎/社交媒体/广告等),例如: - `Referer: https://www.google.com/` 表示来自Google搜索 4. **跨站请求安全校验** 配合CSRF保护机制验证请求合法性[^2]。 #### 二、Java 中的获取方法 在Java Web开发中,主要通过`HttpServletRequest`对象获取: ```java // 在Servlet或Controller中 public void handleRequest(HttpServletRequest request) { // 获取Referer头信息 String referer = request.getHeader("Referer"); // 典型应用:来源校验 if (referer != null && referer.startsWith("https://trusted-domain.com")) { // 执行安全操作 } else { // 处理非法来源请求 } } ``` #### 三、使用注意事项 1. **隐私限制** - 浏览器在HTTPS→HTTP跳转或隐私模式下可能不发送Referer - 可通过`<meta name="referrer" content="no-referrer">`禁止发送 2. **安全校验局限** Referer可能被伪造,敏感操作需结合CSRF Token等机制增强安全[^2]。 3. **空值处理** 直接访问URL或从书签打开时Referer为`null`,代码需做判空处理。 #### 四、完整示例:资源防盗链 ```java @RestController public class ResourceController { @GetMapping("/protected-image") public ResponseEntity<byte[]> getImage(HttpServletRequest request) { String referer = request.getHeader("Referer"); // 校验来源是否为本站 if (referer == null || !referer.contains("my-website.com")) { return ResponseEntity.status(403).body("Access forbidden".getBytes()); } // 返回图片资源 byte[] image = Files.readAllBytes(Paths.get("image.png")); return ResponseEntity.ok() .header("Content-Type", "image/png") .body(image); } } ``` > **关键点说明**: > 当用户直接访问`/protected-image`或从外部网站请求时,将返回403错误;仅当从`my-website.com`域内发起请求时才返回图片资源[^1]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值