跨站请求伪造 CSRF / XSRF<二:应用>
防御的方法主要有两种<java示例>
1.检查Referer字段
HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时,通常来说,Referer字段应和请求的地址位于同一域名下。以上文银行操作为例,Referer字段地址通常应该是转账按钮所在的网页地址,应该也位于www.examplebank.com之下。而如果是CSRF攻击传来的请求,Referer字段会是包含恶意网址的地址,不会位于www.examplebank.com之下,这时候服务器就能识别出恶意的访问。
这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验。
***但这种办法也有其局限性,因其完全依赖浏览器发送正确的Referer字段。虽然http协议对此字段的内容有明确的规定,但并无法保证来访的浏览器的具体实现,亦无法保证浏览器没有安全漏洞影响到此字段。并且也存在攻击者攻击某些浏览器,篡改其Referer字段的可能。
检查Referer字段如下:
@Override
public void doFilter(ServletRequest servletrequest,
ServletResponse servletresponse, FilterChain filterchain)
throws IOException, ServletException { HttpServletRequest httpReq = (HttpServletRequest)servletrequest;
HttpServletResponse httpResp = (HttpServletResponse)servletresponse;
String path = httpReq.getContextPath();
String basePath = servletrequest.getScheme() + "://" + servletrequest.getServerName()
+ ":" + servletrequest.getServerPort() + path + "/"; // 防CSRF 之:HTTP 头设置 Referer过滤
String referer = httpReq.getHeader("Referer"); // REFRESH
if (referer != null && referer.indexOf(basePath) < 0) { //***
//判断为不安全的访问
String ctxPath = httpReq.getContextPath();
httpResp.sendRedirect(ctxPath+"/common/goNoSecurity.do");
return;
}
filterchain.doFilter(servletrequest, httpResp);
}
2.添加校验token
由于CSRF的本质在于攻击者欺骗用户去访问自己设置的地址,所以如果要求在访问敏感数据请求时,要求用户浏览器提供不保存在cookie中,并且攻击者无法伪造的数据作为校验,那么攻击者就无法再执行CSRF攻击。这种数据通常是表单中的一个数据项。服务器将其生成并附加在表单中,其内容是一个伪乱数。当客户端通过表单提交请求时,这个伪乱数也一并提交上去以供校验。正常的访问时,客户端浏览器能够正确得到并传回这个伪乱数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪乱数的值,服务器端就会因为校验token的值为空或者错误,拒绝这个可疑请求。
token的校验规则:
a. 账户登录时产生一个token字段,且将token传入session中;
b.前端发送请求时,利用jsp中的session对象获取到token,一并传到后台;
c.在过滤器中校验请求中的token参数和session中的token参数是否一致;
d.如果一致,则通过;不一致则跳转到不安全页面。
代码如下:
a. 账户登录时产生一个token字段,且将token传入session中;
private void mainLoginDirect(HttpServletRequest request,Map<String, Object> respMap, Integer isLogin, RegAccout account) {
//salt加密
RegSalt rs=regAccoutService.getRegSaltbyAccname(account.getAcc_name());
if (rs==null) {
respMap.put(Const.AJAX_SERVICE_MESSAGE, "无效用户!");
}else{
String password=account.getPassword();
String password1=request.getParameter("password");
String isVip=request.getParameter("isVip");
String salt=rs.getSalt();
if(CryptoUtils.verify(password, password1, salt)){//密码正确
SessionUtil.setAttribute(Const.SESSION_CSRFTOKEN,SRMStringUtil.getUUID());//***创建token,防CSRF
respMap.put("pw", true);
}else{//密码不正确
respMap.put(Const.AJAX_SERVICE_MESSAGE, "密码错误!请重新输入。");
respMap.put("pw", false);
}
}
}
b.前端发送请求时,利用jsp中的session对象获取到token,一并传到后台;
function asyncAjaxMethod(url,params,isasync,fn){
params.csrftoken ="${sessionScope.csrftoken }";//*** 这里获取token
$.ajax({
type: "POST",
async:isasync,
url: getwebroot()+url,
dataType:'json',
data:params,//***
beforeSend: function () {
$("body").append("<div id='spin_wrap'></div>");
$("#spin_wrap").addClass("spin_mask");
spinner.spin(document.getElementById("spin_wrap"));
},
success:function(result){
//关闭loding效果
spinner.spin();
$("body #spin_wrap").remove();
if(result.success==false){
//人为抛出异常,但是要求设置success=false
if(result.ajaxErrorCode==999){
if(hasRemainLoginPop()){//有弹出过登录框
remindLogin_flag=true;
}
if(!remindLogin_flag){
window.wxc.xcConfirm("登录超时,请重新登录", window.wxc.xcConfirm.typeEnum.confirm,
{
onClose:function(){//超时,则弹出登录框
window.plugLogin();
}
});
}
}else if(result.ajaxErrorCode==970){
go_redirect("error/noSecurity.htm");
}else if(result.ajaxErrorCode==980){
go_redirect("error/beKick.html");
}else if( result.ajaxErrorCode==300)
{
var option ={title:"提示",btn:parseInt("0001",2)};
window.wxc.xcConfirm(result.message, window.wxc.xcConfirm.typeEnum.custom,option);
}
else
{
//300:请求参数异常
window.wxc.xcConfirm("操作失败,请稍后再试", window.wxc.xcConfirm.typeEnum.error);
} }else{//默认success==true
if(result.ajaxErrorCode==200){
if(fn!=null && typeof(fn)=="function"){
fn(result);
}
}else{
window.wxc.xcConfirm('抱歉,返回标志错误,请稍后再试或与管理员联系', window.wxc.xcConfirm.typeEnum.error);
}
}
},
//异常未捕获时,跳转到这里
error: function (XMLHttpRequest, textStatus, errorThrown) {
//关闭loding效果
spinner.spin();
$("body #spin_wrap").remove();
if(XMLHttpRequest.status==404){
go_redirect("error/404.html");
}else if(XMLHttpRequest.status==500){
go_redirect("error/500.html");
}else{
window.wxc.xcConfirm('抱歉,程序异常未捕获,请稍后再试或与管理员联系', window.wxc.xcConfirm.typeEnum.error);
}
}
});
return remindLogin_flag;
}
c.在过滤器中校验请求中的token参数和session中的token参数是否一致;
d.如果一致,则通过;不一致则跳转到不安全页面。
if(tarUri.endsWith(".do") && !isWithoutUri(tarUri) && httpReq.getContentType() != null){
String contentType = httpReq.getContentType();
String post_csrftoken = "";
if(contentType != null && contentType.contains("multipart/form-data")){
MultipartHttpServletRequest multiReq = multipartResolver.resolveMultipart(httpReq);
post_csrftoken=multiReq.getParameter(Const.SESSION_CSRFTOKEN);
req = multiReq;
}else{
post_csrftoken=httpReq.getParameter(Const.SESSION_CSRFTOKEN);
}
//csrf防御:判断是否带token
String csrftoken=(String)SessionUtil.getAttribute(Const.SESSION_CSRFTOKEN);
if(post_csrftoken==null || !csrftoken.equals(post_csrftoken)){//***判断token正确性
//判断为不安全的访问
httpResp.sendRedirect(ctxPath+"/common/goNoSecurity.do");
return;
}
}
跨站请求伪造 CSRF / XSRF<二:应用>的更多相关文章
- 跨站请求伪造 CSRF / XSRF<一:介绍>
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一 ...
- .NET Core实战项目之CMS 第十四章 开发篇-防止跨站请求伪造(XSRF/CSRF)攻击处理
通过 ASP.NET Core,开发者可轻松配置和管理其应用的安全性. ASP.NET Core 中包含管理身份验证.授权.数据保护.SSL 强制.应用机密.请求防伪保护及 CORS 管理等等安全方面 ...
- 跨站请求伪造(CSRF)-简述
跨站请求伪造(CSRF)-简述 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 ...
- 跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险
跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险 跨站请求伪造(Cross-Site Request Forgery)或许是最令人难以理解的一种攻击方式了,但也正因如此,它的危险性也被人们所低估 ...
- PHP安全编程:跨站请求伪造CSRF的防御(转)
跨站请求伪造(CSRF)是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法.此处所指的受害者是一个不知情的同谋,所有的伪造请求都由他发起,而不是攻击者.这样,很你就很难确定哪些请求是属于跨站 ...
- django之跨站请求伪造csrf
目录 跨站请求伪造 csrf 钓鱼网站 模拟实现 针对form表单 ajax请求 csrf相关的两个装饰器 跨站请求伪造 csrf 钓鱼网站 就类似于你搭建了一个跟银行一模一样的web页面 , 用户在 ...
- ASP.NET Core 防止跨站请求伪造(XSRF/CSRF)攻击 (转载)
什么是反伪造攻击? 跨站点请求伪造(也称为XSRF或CSRF,发音为see-surf)是对Web托管应用程序的攻击,因为恶意网站可能会影响客户端浏览器和浏览器信任网站之间的交互.这种攻击是完全有可能的 ...
- 跨站请求伪造CSRF(Cross-site request forgery)
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站 ...
- 跨站请求伪造(csrf)中间件整理
一. CSRF中间件 字面意思跨站请求伪造; 即模仿个请求朝服务器发送,django中对跨站伪造的请求有相应的校验 from django.views.decorators.csrf import c ...
随机推荐
- R语言学习-基础篇
从五月10日开始自学R in action,将我的学习所得逐渐发布在博客上. chapter1.新手上路 工作空间:存储着所有用户定义的对象(向量,矩阵,函数,数据框,列表): 当前的工目录保存是R用 ...
- (二)ADS1.2的安装教程以及使用 调试 (不会 AXD 调试工具)
安装教程: 参考百度 http://jingyan.baidu.com/article/cdddd41c7db85253cb00e1ae.html 具体使用看: 杨铸的那本书(嵌入式底层软件驱动开发) ...
- 用canvas画环形圆形图片
效果如图自动绘制不停歇 代码如下 var canvas = document.getElementById('myCanvas'),width = canvas.width,height = canv ...
- 通过代码获取res里生成R.java中的值
引用:http://my.eoe.cn/blue_rain/archive/552.html 有的时候我们生成库文件,需要在里面加入一些UI,并提供出一些xml的资源,那如何在其他项目中使用呢? 我们 ...
- 【转】安装mysql 出现:Fatal error: Can't open and lock privilege tables: Table 'mysql.user' doesn't exist
来源:http://blog.csdn.net/dapeng0112/article/details/37053407 本来初始化配置是这样的: scripts/mysql_install_db -- ...
- IFRAM随内部长宽高变化
<iframe src="" id="iframe_CustomerVisitRecord" width="700" height=& ...
- .net与数据库知识点
<%服务器方法;%> (调用服务器方法,要写;) <=%服务器方法%> (有返回值输出,不能写;) public ActionResult Index(int id = 0) ...
- css3样式控制(鼠标滑过 显示标注信息)
<div class="item"> <h1>A</h1> <div class="tooltip"> < ...
- 如何选择合适的CRM客户关系管理软件?
面对日益激烈的市场竞争,很多企业管理者不断通过各种途径和方式,试图寻找一个合适并行之有效的解决方案,以帮助他们解决企业管理难题,不断提高企业的业绩,获得持续的成功. 企业管理软件的出现填补了企业管理领 ...
- XPlane android 2D手游开发实战
android 飞行射击游戏类 采用 xamarin 跨平台开发技术 纯C#语言编写 操作简单 1.手指拖动飞机 躲避敌机 2.通过吃敌机爆炸后遗落的物品增加各种属性 3.双击战机放大技能 4.目前 ...