通过判断请求Header中的Referer来防止伪造请求

最新推荐文章于 2022-10-21 09:41:17 发布
最新推荐文章于 2022-10-21 09:41:17 发布
阅读量5.9k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/moest/article/details/52957924
本文介绍了一种通过在web.xml中配置REFERER过滤器来增强Web应用安全性的方式。该过滤器能够检查HTTP请求头中的REFERER字段,确保其来源合法,从而防止非法请求访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

其实不会根本性的解决这个问题。

解决方法:

在web.xml中增加:

    <filter>
        <filter-name>refererFilter</filter-name>
        <filter-class>ltd.miku.web.securityenhance.xss.RefererFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>refererFilter</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

然后RefererFilter的内容是: 

import com.inspur.ssr.web.system.service.impl.ExpireSessionImpl;
import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Service;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.net.MalformedURLException;
import java.net.URL;

@Service
public class RefererFilter implements Filter
{
    private static final Logger logger = LoggerFactory.getLogger(RefererFilter.class);

    public void init(FilterConfig filterConfig) throws ServletException
    {
        logger.debug(" init {} but actually do nothing.", getClass().getName());
    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException

    {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        String rawReferer = httpServletRequest.getHeader("referer");
        boolean legal = false;
        if (StringUtils.isBlank(rawReferer))
        {
            legal = true;
        }
        else
        {
            try
            {
                URL url = new URL(rawReferer);
                String clientIp = httpServletRequest.getRemoteAddr();
                String referIp = url.getHost();
                String localIp = httpServletRequest.getLocalAddr();

                if (StringUtils.equals(clientIp, referIp))
                {
                    legal = true;
                }
                if (StringUtils.equals("localhost", referIp) || StringUtils.equals("127.0.0.1", referIp) || StringUtils.equals(localIp, referIp))
                {
                    legal = true;
                }
            }
            catch (MalformedURLException e)
            {
                e.printStackTrace();
            }
        }

        if (!legal)
        {
            logger.warn(" illegal referer: {}", rawReferer);
            httpServletResponse.sendError(HttpServletResponse.SC_FORBIDDEN);
        }
        else
        {
            chain.doFilter(request, response);
        }

    }

    public void destroy()
    {
        logger.debug(" destroy {} but actually do nothing.", getClass().getName());
    }
}

虽然代码写的比较翔,但是好歹是能用的。。。。。↑↑↑↑↑↑注意有待优化,无法直接生产用↑↑↑↑↑
http请求头中Referer的作用及危害
墨痕诉清风的博客
03-14 2万+
一、Referer Referer是HTTP请求header中的一部分,其表示请求当前资源的客户端来源,当浏览器(或模拟浏览器行为)向web服务器发送请求的时候,头部信息里会携带Referer。 例如:在 www.google.com 里有一个 www.baidu.com 超链接,当点击这个链接跳转到baidu的时候,浏览器向baidu发出的请求信息里就有:Referer=http://www.google.com Referer的正确拼写是referrfer,由于早期的HTTP规范的拼写错误,于
request.getHeader("referer")防盗链
05-07
HTTP headers是HTTP请求和相应的核心模块,它承载了关于客户端浏览器、请求页面、服务器等相关信息。Referer是HTTP头中的一个属性,告诉服务器我是从哪个页面链接过来的。
http referer 验证防御方法_常见WEB漏洞:JSONP安全与防御
weixin_40003451的博客
11-29 482
01 JSONP1.1 JSONP的概念浏览器的同源策略使得比如 http://www.a.com 的网站没法直接获取 http://www.b.com 的相关数据,那么假如在一些应用场景一定要获取怎么办?JSONP就是一种解决方式,所以说它是解决跨域请求资源而产生的解决方案。1.2 JSONP场景示例类似腾讯或者网易这种大公司,通常采用一套用户系统,在一个地方登陆,其他地方就免登陆,那么专门用作...
java springboot 通过Referer防止跨站点请求伪造
qq_44154912的博客
10-21 4763
防止跨站点请求伪造 获取 referer 为null, 无法获取 referer 导致过滤失败
前后端分离,防止接口被篡改
a947851266的博客
07-08 1762
加密算法有对称加密和非对称加密,AES是对称加密,RSA是非对称加密。之所以用AES加密数据是因为效率高,RSA运行速度慢,可以用于签名操作。 我们可以用这2种算法互补,来保证安全性,用RSA来加密传输AES的秘钥,用AES来加密数据,两者相互结合,优势互补。 其实大家理解了HTTPS的原理的话对于下面的内容应该是一看就懂的,HTTPS比HTTP慢的原因都是因为需要让客户端与服务器端安全地协商出一个对称加密算法。剩下的就是通信时双方使用这个对称加密算法进行加密解密。 1、客户端启动,...
反爬虫,到底是怎么回事儿?
图灵教育
09-03 4159
有位被爬虫摧残的读者留言问:「网站经常被外面的爬虫程序骚扰怎么办,有什么方法可以阻止爬虫吗?」这是个好问题,自从 Python 火了起来,编写爬虫程序的门口越来越低,爬取别人网站数据也...
使用php伪造referer的方法 利用referer防止图片盗链
10-26
标题中的“使用PHP伪造Referer的方法 利用Referer防止图片盗链”涉及到的是Web开发中的HTTP头部信息处理,特别是如何使用PHP来控制和利用HTTP Referer字段来防止图片资源被其他网站非法引用,即图片盗链。...
PHP curl伪造IP地址和header信息代码实例
12-18
当使用cURL时,我们可以通过设置`CURLOPT_HTTPHEADER`选项来伪造`HTTP_X_FORWARDED_FOR`头,例如: ```php $headers = [ 'CLIENT-IP' => '202.103.229.40', 'X-FORWARDED-FOR' => '202.103.229.40', ]; $...
PHP伪造referer实例代码
10-30
需要注意的是,该代码仅适用于使用 Referer 信息来判断是否盗链的防盗链系统,对于使用其他特殊方法防盗链的系统,该代码可能不适用。此外,代码中也没有进行安全检测,需要根据实际情况添加安全检测。 该 PHP 伪造...
http referer 验证防御方法_【知识点】5个防御CSRF的小技巧
weixin_39931101的博客
11-29 743
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此...
关于EL的理解(二)
m0_59344957的博客
05-14 160
EL如何判空 EL表达式获取指定作用域数据 EL表达式获取请求头数据 EL如何判空: ·${empty 值} 返回true,主要用来判断值是否为空(null,空字符串,空集合) ·${值 eq null } 返回true 的话,表示为空 ·${值 !=null} 返回true,表示内容不为空值 EL表达式获取指定作用域数据: ·${pageScope.键名} 指定获取pageContext作用域中的数据 ·${requestScope.键名} 指定获取...
关于Http请求headerReferer讲解
积微成著
07-02 2597
什么是RefererReferer 是 Http 请求Header的一部分,当浏览器(或者模拟浏览器行为)向web服务器发送请求的时候,头信息里有包含 Referer 。比如我在www.sojson.com里有一个www.baidu.com链接,那么点击这个www.baidu.com,它的header信息里就有: Referer=https://www.sojson.com 由此可以看出来吧。它就是表示一个来源。看下图的一个请求Referer 信息。 ...
跨站请求伪造解决办法之——过滤referer
weixin_34362991的博客
04-06 3934
 当然,referer也是可以伪造的,Http请求本身就没有不能伪造的东西。 所以本方法只能在一定程度上防止非法请求,仅供参考。   项目的web.xml中增加过滤器: &lt;filter&gt; &lt;filter-name&gt;RefererFilter&lt;/filter-name&gt; &lt;filter-class&gt...
服务器端修改referer,CSRF绕过后端Referer校验
weixin_31640639的博客
08-12 1617
CSRF绕过后端Referer校验分正常情况和不正常的情况,我们这里主要讨论开发在写校验referer程序时,不正常的情况下怎么进行绕过。正常情况正常的情况指服务器端校验Referer的代码没毛病,那么意味着前端是无法绕过的。我之前考虑过的方案:JS修改Referer,失败;让用户点击第三方网站,但是浏览器就是使用第三方网站的referer,失败;不正常的情况不正常的情况指服务器端校验Refere...
HTTP协议
KevinXin的博客
07-06 334
1. HTTP有哪些⽅法? HTTP 1.0 标准中,定义了3种请求⽅法:GET、POST、HEAD HTTP 1.1 标准中,新增了请求⽅法:PUT、PATCH、DELETE、OPTIONS、TRACE、CONNECT 2. 各个HTTP方法的具体作用是什么? 方法 功能 GET 通常⽤于请求服务器发送某些资源 POST 发送数据给服务器 HEAD 请求资源的头部信息, 并且这些头部与 HTTP GET ⽅法请求时返回的⼀致。 该请求⽅法的⼀个使⽤场景是在下载⼀
referer拒绝了!
奔跑的皮卡丘
08-27 1880
参考文章: https://h5jun.com/post/everything-you-could-ever-want-to-know-and-more-about-controlling-the-referer-header-fastmail-blog.html http://www.ruanyifeng.com/blog/2019/06/http-referer.html 什么是referer 请求头字段允许由客户端指定资源的 URI 来自于哪一个请求地址。 作用 让服务器能够拿到请求资源的来源,可以
php隐藏来路,header隐藏来路跳转方式 防止来路被跟踪Referer跳转的方法
weixin_34501374的博客
03-17 1850
通过header跳转到下级页面,下级页面是无法跟踪到来路的,Referer是隐藏状态因此对于有特殊需求,想跳转到对方网站又不想被对方跟踪到,可以使用这种方案新建个URL.PHP$url=$_GET['url'];header("location:$url");?>然后放到你网站上,访问需要隐藏来路的域名的时候使用http://你的域名/URL.PHP?url=对方网址这样对方统计到的来...
通过request.getHeader("referer")防止用户手动修改URL访问非权限页面
回家换拖鞋的专栏
11-05 5260
在开发web程序的时候,有时我们需要得到用户是从什么页面连过来的,这就用到了referer。 它是http协议,所以任何能开发web程序的语言都可以实现,比如jsp中是: request.getHeader("referer"); php是$_SERVER['HTTP_REFERER']。其他的我就不举例了(其实是不会其他的语言)。 js的话就是这样做:javascript:docum
伪造请求
最新发布
03-23
上述代码展示了如何设置 User-Agent、Referer 和 Cookie 来伪装成特定的客户端[^2]。 #### 使用 Go 语言伪造 HTTPS/TLS 请求 Go 语言提供了原生的支持用于构建复杂的网络请求。如果需要支持高级功能(如 TLS 版本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值