跨站点的请求(web)

恶意网站针对用户可能登陆的某个站点实施跨站点攻击,在用户不知情情况下,让用户做了某些非本意的操作。

一般情况,服务端对每个请求除了验证session,还应对除特殊几个请求外的其它请求都验证请求中唯一标识。一般使用服务端返回的jsessionId放在请求中。

这个jsessionId存在于客户端浏览器的内存中,不知恶意网站js是否可以获取用户正在访问应用的这个jsessionId,若是可以,那不是恶意链接可以动态拼接这个jsessionId了,服务器还是会受到攻击。

 

转载于:https://www.cnblogs.com/hzw-hym/p/4114373.html

Web.xml跨站请求伪造(CSRF)过滤器是通过在web.xml配置文件中设置过滤器,并在过滤器类中继承OncePerRequestFilter.java父类来实现的。在该过滤器中,可以对请求头等进行匹配和判断,如果不符合特定条件,则认为是一种CSRF攻击的请求,并拒绝执行该请求。 具体在过滤器中的doFilter方法中,会接收到ServletRequest对象和ServletResponse对象以及FilterChain对象作为参数。在该方法中,可以对请求进行进一步处理和校验。 需要注意的是,如果初始化方法(init method)无法成功执行,Web容器将无法启动该过滤器的服务。因此,在配置和使用Web.xml跨站请求伪造(CSRF)过滤器时,需要确保初始化方法的正确实现。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Appscan漏洞之跨站请求伪造(CSRF)](https://blog.youkuaiyun.com/arkqyo2595/article/details/101105189)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [AppScan漏洞扫描之-跨站请求伪造](https://blog.youkuaiyun.com/weixin_39675178/article/details/115089193)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值