跨站请求伪造解决办法之——过滤referer

最新推荐文章于 2025-05-24 19:30:45 发布
转载 最新推荐文章于 2025-05-24 19:30:45 发布 · 3.9k 阅读 · 4
文章标签:

#java #web.xml #运维

本文介绍了一种通过在web.xml中配置referer过滤器来防止非法请求的方法。该过滤器检查请求头中的referer信息,若referer为空或不包含当前服务器名称,则认为请求非法,并转向错误页面。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 当然,referer也是可以伪造的,Http请求本身就没有不能伪造的东西。

所以本方法只能在一定程度上防止非法请求,仅供参考。

 

项目的web.xml中增加过滤器:

    <filter>
        <filter-name>RefererFilter</filter-name>
        <filter-class>com.sdyy.common.filters.RefererFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>RefererFilter</filter-name>
        <url-pattern>*.do</url-pattern>
    </filter-mapping>

 

项目中增加RefererFilter类:

package com.sdyy.common.filters;

import java.io.IOException;  

import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServlet;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;  

public class RefererFilter extends HttpServlet implements Filter {  

    private static final long serialVersionUID = 1L;  
    private FilterConfig filterConfig;  

    public void init(FilterConfig config) {  
        this.filterConfig = config;  
    }  

    public void doFilter(ServletRequest req, ServletResponse res,  
            FilterChain chain) throws ServletException, IOException {  

        HttpServletRequest request = (HttpServletRequest) req;  
        HttpServletResponse response = (HttpServletResponse) res;  
        // 链接来源地址  
        String referer = request.getHeader("referer");  
        if (referer == null || !referer.contains(request.getServerName())) {  
            /** 
             * 如果 链接地址来自其他网站,则返回错误页面 
             */  
            request.getRequestDispatcher("/WEB-INF/error.jsp").forward(request, response);  
        } else {   
            chain.doFilter(request, response);  
        }  
    }  

    public void destroy() {  
        this.filterConfig = null;  
    }  

}

 

DVWA系列(五)——使用Burpsuite进行CSRF(跨站请求伪造
橘子女侠
05-05 4954
1. CSRF(跨站请求伪造)简介 (1)CSRF CSRF(Cross—site request forgery),跨站请求伪造,是指利用受害者未失效的身份认证信息(cookie,会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账,改密等)。 (2)CSRF与XSS的区别 ...
JS的33个概念—前端安全(跨站脚本攻击XSS和跨站请求伪造CSRF)
jiaojsun的博客
07-26 1299
1.跨站脚本攻击(XSS) 1)定义 跨站脚本攻击是基于web应用中已知的漏洞,服务端,或者依赖的插件系统。利用其中一种方式,攻击者可以把恶意内容放进目标站点传输的内容中。当这种结合的内容到达客户端的浏览器中,它就已经变成从受信任的来源传输的,然后在系统授权下进行操作。通过寻找把恶意脚本注入web页面的方法,攻击者可以获取对敏感页面的访问权限,例如对session cookie和浏览器代表用...
通过request.getHeader("referer")防止用户手动修改URL访问非权限页面
回家换拖鞋的专栏
11-05 5265
在开发web程序的时候,有时我们需要得到用户是从什么页面连过来的,这就用到了referer。 它是http协议,所以任何能开发web程序的语言都可以实现,比如jsp中是: request.getHeader("referer"); php是$_SERVER['HTTP_REFERER']。其他的我就不举例了(其实是不会其他的语言)。 js的话就是这样做:javascript:docum
CSRF(跨站请求伪造)的介绍
最新发布
乐夜之下的博客
05-24 514
本文介绍了CSRF跨站请求伪造攻击的原理和防范措施。通过伪造GET/POST请求,攻击者可利用用户已登录状态执行非法操作。主要防范方法包括:1)Token认证机制;2)SameSite Cookie属性设置(Strict/Lax/None);3)验证Referer/Origin请求头;4)重要操作增加短信/邮件二次验证。这些措施可有效防止CSRF攻击,其中SameSite属性和Token认证是最常用的防护手段。文章提醒开发者应结合多种安全机制,避免单一防护被绕过。
防止非法链接(Referer)
Mr_wxc的博客
10-27 5057
什么是Referer? Referer是header的一部分,当浏览器向服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器借此可以获得一些信息用于处理。 什么是非法链接? 1)直接访问资源(Referer=null) 2)B网站盗用A网站的资源 怎样防止非法链接? 写一个过滤器 获取每次请求头中的Referer 然后判断Referer中的来源值...
防止直接修改url跳转
fighting的博客
12-07 1112
通过getHeather()判断访问的url的父url是否为空,来确定用户是直接输入url访问的,还是程序正常跳转。 request.getHeader("REFERER"); /*mall*/
php获取refer防止csrf,【10.15总结】绕过CSRF的Referer保护
weixin_36239971的博客
03-27 401
今天下午可能要出远门,所以现在就把总结写好了。这个CSRF漏洞存在于IBM的修改邮箱页面,修改邮箱的地址是https://www.ibm.com/ibmweb/myibm/account/sendmail?locale=us-en&email=NEW_EMAIL所以理论上讲,只要修改上面链接中的NEW_EMAIL为自己的邮箱,被攻击者在登录了自己的IBM账户后点击该链接,就能达到修改被攻击...
跨站请求伪造
04-02
### CSRF(跨站请求伪造)原理 CSRF 是一种针对 Web 应用程序的安全漏洞,其核心在于攻击者利用受害者已经登录的状态,在未经受害者同意的情况下提交恶意请求。这种攻击的关键点是浏览器会自动附带用户的认证信息...
Kali渗透测试之DVWA系列6——CSRF(跨站请求伪造)
浅浅的博客
05-11 4057
目录 一、CSRF简介 二、原理示意图 三、实验环境 四、实验步骤 安全级别:Low(四种方法) 安全级别:Medium 安全级别:High 安全级别:Impossible 一、CSRF简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为...
过滤过滤Referer信息
薛三岁
03-22 868
JAVA代码 package com.umcservice.filter; import org.apache.commons.lang3.StringUtils; import org.springframework.web.servlet.handler.HandlerInterceptorAdapter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; /**
2.http请求头中Referer的作用与伪造
热门推荐
wjiaman
10-22 1万+
文章目录一、Referer1.作用2.Refer二、Referer伪造1.伪造为ip地址2.伪造为URL 一、Referer Referer是HTTP请求header中的一部分,其表示请求当前资源的客户端来源,当浏览器(或模拟浏览器行为)向web服务器发送请求的时候,头部信息里会携带Referer。 例如:在 www.google.com 里有一个 www.baidu.com 超链接,当点击...
验证HTTP Referer字段
紫天专栏
06-25 1万+
1 、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。   1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未
利用Referer请求头防止“盗链”
bakelFF的博客
09-29 613
一、介绍 在实际开发中,经常会使用Referer头字段,例如,一些站点为了吸引人气并且提高站点访问量,提供了各种软件的下载页面,但是它们本身没有这些资源,只是将下载的超链接指向其它站点上的资源。而真正提供了下载资源的站点为了防止这种“盗链”,就需要检查请求来源,只接收本站链接发送的下载请求,阻止其它站点链接的下载请求。 二、获取头信息里的referer Referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用Referer请求头识...
Referrer策略与防盗链
iceice_L的博客
03-05 1309
碰到后端提供图片链接不可访问,添加 &lt;meta name="referrer" content="no-referrer"&gt;后可以显示。 referrer:http请求header的报文头,指明http请求从哪个页面链接过来的。 referrer策略: no referrer:任何情况都不发送Referrer信息; no referrer when downgrade:仅当...
反爬虫,到底是怎么回事儿?
图灵教育
09-03 4164
有位被爬虫摧残的读者留言问:「网站经常被外面的爬虫程序骚扰怎么办,有什么方法可以阻止爬虫吗?」这是个好问题,自从 Python 火了起来,编写爬虫程序的门口越来越低,爬取别人网站数据也...
java referer伪造_通过判断请求Header中的Referer来防止伪造请求
weixin_35641153的博客
02-19 1046
其实不会根本性的解决这个问题。解决方法:在web.xml中增加:refererFilterltd.miku.web.securityenhance.xss.RefererFilterrefererFilter/*REQUEST然后RefererFilter的内容是:import com.inspur.ssr.web.system.service.impl.ExpireSessionImpl;imp...
Nginx 防盗链配置
qq_36291550的博客
12-24 605
防盗链是一种通过检测 HTTP 请求中的 Referer 字段来防止资源被盗用的机制。Referer 是 HTTP 请求头的一部分,用于标识请求的来源页面。如果某个请求的来源不在允许的范围内,Nginx 就可以拒绝该请求或返回替代内容。Nginx 防盗链配置是一个简单但非常实用的功能,可以帮助你保护站点资源免受不必要的流量消耗和资源滥用。根据业务需求调整规则,可以实现更灵活的访问控制。在互联网环境中,防盗链是一种有效的技术手段,用于保护网站资源(如图片、视频、音频等)免遭其他网站直接引用。
CSRF(跨站请求伪造) 漏洞与预防(附代码)
SongSir001的博客
08-02 1497
文章目录一、概念二、攻击原理三、防范手段1、校验Referer代码实现1(web.xml配置版):代码实现2(SpringBoot版)2、添加校验 Token3、输入验证码 一、概念 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽...
CSRF跨站请求伪造教程:OWASP CSRFTester工具使用与安全测试
### CSRF跨站请求伪造知识点详述 #### CSRF跨站请求伪造定义 CSRF,即跨站请求伪造(Cross-Site Request Forgery),是一种安全漏洞,攻击者利用用户对网站的信任,诱使用户在已经认证的会话中执行非预期的操作。当...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值