Java 防跨域攻击 解决方案

最新推荐文章于 2023-06-29 15:15:33 发布
最新推荐文章于 2023-06-29 15:15:33 发布
阅读量424 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全 文章标签: 防跨域攻击 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43085078/article/details/84207181
博客揭示了一种跨域攻击的隐蔽方式,通过在CSS的`header`背景URL中注入JavaScript代码实现。攻击者利用浏览器加载CSS时执行JS代码的特性,发起跨域攻击。同时指出,类似的<img>标签也可能成为攻击途径。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

利用css漏洞进行跨域攻击

#header{

    width:72px;background:url("javascript:document.body.onload = function() { 攻击性javascript代码}) 
}

 

太变态了, 看到没,只要调用了header样式就能实现跨域攻击了。 其实他是利用在设置background图像的时候,会请求给出的图像地址,这里的图像地址被换成了Javascript代码了,所以在请求的时候会执行这段Javascript代码,所以就能造成跨域攻击了哈。

同理,我觉得<img src=”javascript:document.body.onload = function() { 攻击性javascript代码}” />应该也能达到同等效果哈。

@SuppressWarnings("rawtypes")

public static boolean validateRequest(HttpServletRequest request) {

    String referer = "";

    boolean referer_sign = true; // true 站内提交,验证通过 //false 站外提交,验证失败

    Enumeration headerValues = request.getHeaders("referer");

    while (headerValues.hasMoreElements()) {

        referer = (String) headerValues.nextElement();

    }

    // 判断是否存在请求页面

    if (StringUtils.isBlank(referer)) referer_sign = false;

    else {

        // 判断请求页面和getRequestURI是否相同

        String servername_str = request.getServerName();

        if (StringUtils.isNotBlank(servername_str)) {

            int index = 0;

            if (StringUtils.indexOf(referer, "https://") == 0) {

                index = 8;

            }

            else if (StringUtils.indexOf(referer, "http://") == 0) {

                index = 7;

            }

            if (referer.length() - index < servername_str.length()) {// 长度不够

                referer_sign = false;

            }

            else { // 比较字符串(主机名称)是否相同

                String referer_str = referer.substring(index, index + servername_str.length());

                if (!servername_str.equalsIgnoreCase(referer_str)) referer_sign = false;

            }

        }

        else referer_sign = false;

    }

   return referer_sign;

}

【Vue-SpringBug已解决】has been blocked by CORS policy: The value of the······
一键难忘的博客
04-12 2585
这个报错提示是因为在请求中,请求头中设置了 withCredentials 参数为 true,表示请求需要使用凭证(如 cookies、HTTP 认证等)。而在响应头中,Access-Control-Allow-Origin 的值不能是通配符 *,必须是具体的名。另外,如果你在发送请求时需要携带 cookies 或其他凭证,还需要在请求头中设置 withCredentials 参数为 true。如果需要全局配置支持,应该使用上一条回答中提到的方式,在配置类中设置。
java - 处理接口的安全性问题
sky198989的博客
04-20 366
转载:https://www.jianshu.com/p/25bef822d50d
cors java 安全问题_Cors实现java后端完全
weixin_35728049的博客
01-14 190
https://blog.coding.net/blog/spring-mvc-cors 这篇文章很详细的介绍了JS的,给出的解决方案是springboot的方式,假如不用spring boot 或者 spring版本低于4.2就需要自己实现;参考了spring boot的实现方式,并有所简化,代码如下:package com.lvluo.web.filter.CorsFilter;impor...
java后端解决问题
weixin_39209728的博客
02-29 161
1. response.setHeader("Access-Control-Allow-Origin", "*"); 2. @CrossOrigin(origins = "*",maxAge = 3600)
java攻击_Java问题的处理详解
weixin_39677203的博客
02-12 221
1,JavaScript由于安全性方面的考虑,不允许页面调用其他页面的对象,那么问题来了,什么是问题?答:这是由于浏览器同源策略的限制,现在所有支持JavaScript的浏览器都使用了这个策略。那么什么是同源呢?所谓的同源是指三个方面“相同”:1,名相同2,协议相同3,端口相同2,下面就举几个例子来帮助更好的理解同源策略。URL 说明 是否允许通信http://www.a.com/a.j...
Java 后端处理问题
燕雷的博客
03-09 6225
解决方式:response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Max-Age", "3600");
Java服务器端问题解决方案
08-25
Java服务器端问题解决方案 Java 服务器端问题解决方案是指在 Java 服务器端如何解决问题的解决方案问题是指在 Ajax 请求中,因为安全限制,浏览器不能将数据发送到不同源(domain、protocol 或 ...
java解决请求的两种方法
08-25
Java 解决请求的两种方法 Java 解决请求的两种方法是指在 Java Web 开发中解决资源共享(Cross-Origin Resource Sharing,CORS)问题的两种常见方法。...开发者可以根据项目的需求选择合适的解决方案
springboot问题解决方案
08-25
Spring Boot 问题解决方案 Spring Boot 问题是指在不同的源(origin)之间请求资源时出现的安全限制问题。这种限制是为了止恶意脚本攻击,保护用户的隐私和安全。下面我们将详细介绍 Spring Boot ...
Java服务器端问题解决方案详解
文件标题和描述指向的是一个关于解决Java服务器端问题的6页PDF文件。问题通常出现在Web开发中,尤其是当前端JavaScript试图访问另一个下的服务器资源时。这在Web安全策略中被称为同源策略,意味着浏览器...
java架构学习——17. 表单重复提交&止模拟请求&解决方案&XSS攻击
wmq_fly的博客
02-15 867
一、http长连接与短连接 在HTTP/1.0中,默认使用的是短连接。也就是说,浏览器和服务器每进行一次HTTP操作,就建立一次连接,但任务结束就中断连接。如果客户端浏览器访问的某个HTML或其他类型的 Web页中包含有其他的Web资源,如JavaScript文件、图像文件、CSS文件等;当浏览器每遇到这样一个Web资源,就会建立一个HTTP会话。 但从 HTTP/1.1起,默认使用长连接,用以保...
java bug汇总——关于问题
一行真人
05-24 297
java bug汇总——关于问题 前后端分离项目,非同源地址会发生问题。因此需要解决问题 解决方案: NGINX解决问题 在网关处解决问题 application.xml配置: spring: cloud: # 配置 gateway: globalcors: cors-configurations: '[/**]': # 匹配所有请求 allowedOrigins: "*" #处理 允许所有的
web session token 和 攻击
harryhare的专栏
10-16 843
主要是推荐一下这篇: 实现一个靠谱的Web认证 下文主要是自己看过的理解。顺便说下这个人的其他文章也很赞。 session 和 token session id 比较常见,就不多说了,这里先科普下无状态的token验证: 干掉状态:从session到token 图是从上面的链接中偷的。 总结下,就是: login_handler(){ signature = hash(user_info, p...
Java攻击解决方案
零全零美
09-02 1511
思路: 判断referer里的地址是否和当前的地址一致,如果不一致则说明是攻击的,否则不是   /** * 验证请求的合法性,攻击 * * @param request * @return */ @SuppressWarnings("rawtypes") publicstatic boolean validateRequest(HttpServlet
修复Cors漏洞
压力是什么?
09-24 4665
修复Cors漏洞
Java_常瑞鹏 Java Web HttpServletRequest
ddmkmbdq307072的博客
10-26 244
HttpServletRequest对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,HTTP请求头中的所有信息都封装在这个对象中,开发人员通过这个对象的方法,可以获得客户这些信息。 request常用方法 获得客户机信息 •getRequestURL方法返回客户端发出请求时的完整URL。 •getRequestURI方法返回请求行...
Java 解决问题
GiGiBong的博客
04-23 297
解决问题
Java后端解决问题
qq_42858008的博客
03-16 1904
其实问题的产生是在前后端分离的情况下,分离部署产生的浏览器自我保护行为,前端也可以解决问题。以下仅提供了三种后端解决方案
Java中的10种方法止XSS攻击
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,止潜在的安全漏洞和错误数据的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值