预防CSRF之过滤或拦截器token验证

CSRF,跨站请求伪造,伪造受信用户发起请求,获取用户的隐私信息,不流行但极为致命的安全攻击行为,服务端需要增强此类防御

所属分类 JAVA

相关标签 攻击请求安全

CSRF

CSRF (Cross-site request forgery) 跨站请求伪造,伪造信任用户。

跨站请求伪造是通过混淆信任用户的方式,让用户无意间将信任参数授权出去。

以下仅举例,如有雷同纯属巧合。

小张和老王都在逛某个不可言喻的论坛网站,小张发现老王的签名图片非常的棒棒哟。

老王的签名图片实际上大有玄机。

  1. 老王在自己服务器上编写了一段 form 表单指向银行查询账户余额,查询结果返回给自己
  2. 同时在一张非常隐晦的论坛签名图片上绑定一个与自己服务器的连接(异步接口)

小张本身比较懒惰,平时喜欢保存 Cookie 在浏览器上,懒得输入账号密码登录。

小张点了老王那张隐晦的嘿嘿嘿论坛签名图片后,在不知不觉中已经向老王的服务器发了一个异步请求。

老王拿到了 Cookie,老王利用 Cookie 向银行查询小张的余额。

由于该 Cookie 确实是小张的,银行认为是受信任的,正常进行了信息的返回。

于是,老王知道了小张的银行余额,一看,四块二毛八...呸!

在此过程中,老王没有获取到小张的登录账号密码(也不需要),老王的服务器类似一个中转,能够拿到想要的隐私信息。

至于具体如何实施,这部分内容写在刑法内,大家明白这个道理即可。

所以,我们不能乱点链接。

防御方案

常见三种防御手段,本文主要讲述第二种。

  1. 验证 HTTP Referer 字段,HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址,比如我们禁止跨站访问。
  2. 站内URL全部携带Token服务端进行验证
  3. 在HTTP头中自定义属性并验证(通过XMLHttpRequest,局限性大,仅适用于ajax请求)

Token实现

用户登录(鉴权)成功后,我们将一个随机生成的变量放到 session 中。

//鉴权Action中的代码
//生成一段随机字符串,这个很简单,就不详解了
String token = MyStringUtils.getToken();
//放到session中
ServletActionContext.getRequest().getSession().setAttribute("token", token);

本节以 JSP 举例。

<script>
//利用JSP内置的能力,${}直接获取Attribute
//直接取用
var url = "<%=request.getContextPath()%>/viewUsers.action?connToken=${token}";
var token = ${token};//该语句需要定义在JSP文件中
//在JS文件中取用token
url = "<%=request.getContextPath()%>/viewUsers.action?connToken="+token;
</script>

过滤器和拦截器都可以实现token检查,为了区分前后太请求,习惯性分开。

filter过滤器:检查常规Get请求,访问JSP/前端页面资源请求等。

interceptor拦截器:检查Post向后台发起的请求,主要与Action层通信过程。

个人觉得用过滤器更为准确,拦截器的辐射范围有些局限了。

//服务端token
String serverToken = (String)httpRequest.getSession().getAttribute("token");
//客户端token
String clientToken = httpRequest.getParameter("connToken");
//检查token,服务端和请求都有token且一致方可放行
if ((null != clientToken)&&(null != serverToken) && 
                (serverToken.length() > 0) && (clientToken.length() > 0) && 
                    (clientToken.equals(serverToken)))
{
    //放行
}

感谢您的阅读。

米虫

做一个有理想的米虫,伪全栈程序猿,乐观主义者,坚信一切都是最好的安排!

本站由个人原创、收集或整理,如涉及侵权请联系删除

本站内容支持转发,希望贵方携带转载信息和原文链接

本站具有时效性,不提供有效、可用和准确等相关保证

本站不提供免费技术支持,暂不推荐您使用案例商业化

发表观点

提示

昵称

邮箱

QQ

网址

当前还没有观点发布,欢迎您留下足迹!

同类其他

JAVA

listener、filter、servlet的加载次序

在web.xml中经常会看到listener,filter,servlet的相关标签配置,它们分别是监听器、过滤器、容器,都是在项目启动的时候就可以进行初始化的加载动作

JAVA中创建线程的三种方式的使用与区别

JAVA中通过继承Thread类、实现Runnable接口以及实现Callable接口配合Future接口实现创建多线程,三种方式各有优缺点,而第三种则具备更多的增强能力

SpringBoot配置文件生效优先级

SpringBoot 可以通过 spring.profiles.active 属性指定生效不同配置文件来满足多环境要求,多环境更为复杂的场景,就需要理解配置文件生效优先级,考虑直接引入外部配置项和配置文件

自定义filter过滤器拦截未登录(非法)请求

在JAVA的WEB工程中我们可以将JSP页面文件放在WEB-INFO中限制用户进行URL直接访问,但静态资源如js、css文件却是需要被外部直接访问的,直接对外暴露又不太安全,可以通过自定义过滤器处理

Maven的pom配置文件的scope属性

scope属性主要用于控制依赖范围,主要分为编译、打包、运行、测试、依赖传递等各个常见,scope不同于optional提供了更多可选择的配置参数用于应对不同的依赖场景。

JAVA语言中的反射机制的作用原理及使用

JAVA反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意一个方法和属性;动态获取的信息以及动态调用对象的方法的功能。

选择个人头像

昵称

邮箱

QQ

网址

评论提示

  • 头像:系统为您提供了12个头像自由选择,初次打开随机为你选择一个
  • 邮箱:可选提交邮箱,该信息不会外泄,或将上线管理员回复邮件通知
  • 网址:可选提交网址,评论区该地址将以外链的形式展示在您的昵称上
  • 记忆:浏览器将记忆您已选择或填写过得信息,下次评论无需重复输入
  • 审核:提供一个和谐友善的评论环境,本站所有评论需要经过人工审核