Java中的跨站请求伪造
预防
Java 不提供针对 CSRF 攻击的内置保护;开发人员必须通过手动强制执行反 CSRF 令牌或使用许多经过良好测试的可用库之一来实现它。
小服务程序 API
当使用标准的 Servlet API 时,双重提交 cookie 技术可以如下实现。要生成用作标记的随机字符串,可以使用SecureRandom该类,例如:
public class CSRF {public static String getToken() throws NoSuchAlgorithmException{// generate random dataSecureRandom secureRandom = SecureRandom.getInstance("SHA1PRNG");byte[] data = new byte[16];secureRandom.nextBytes(data);// convert to Base64 stringreturn Base64.getEncoder().encodeToString(data);}
}假设使用 JSP 页面呈现 HTML 页面,可以使用以下代码段将 CSRF 令牌添加到表单和响应 cookie:
<%
// generate a random CSRF token
String csrfToken = CSRF.getToken();// place the CSRF token in a cookie
javax.servlet.http.Cookie cookie = new javax.servlet.http.Cookie("csrfToken", csrfToken);
response.addCookie(cookie);
%><form action="/action" method="POST"><input type="hidden" name="csrfToken" value="<%= csrfToken %>"/>
</form>最后,对于每个操作,通过检查 cookie 中的 CSRF 令牌是否与表单中的值匹配来确保请求是合法的:
public void doAction(HttpServletRequest request, HttpServletResponse response) {// get the CSRF cookieString csrfCookie = null;for (Cookie cookie : request.getCookies()) {if (cookie.getName().equals("csrf")) {csrfCookie = cookie.getValue();}}// get the CSRF form fieldString csrfField = request.getParameter("csrf");// validate CSRFif (csrfCookie == null || csrfField == null || !csrfCookie.equals(csrfField)) {try {response.sendError(401);} catch (IOException e) {// ...}return;}// ...
}参考
OWASP -跨站点请求伪造备忘单MITRE - CWE 352
Java中的跨站请求伪造相关推荐
- 在 Asp.Net Core WebAPI 中防御跨站请求伪造攻击
什么是跨站请求伪造 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或 ...
- django中csrftoken跨站请求伪造的几种方式
1.介绍 我们之前从前端给后端发送数据的时候,一直都是把setting中中间件里的的csrftoken这条给注释掉,其实这个主要起了一个对保护作用,以免恶意性数据的攻击.但是这样直接注释掉并不是理智型 ...
- WordPress qTranslate插件跨站请求伪造漏洞
漏洞名称: WordPress qTranslate插件跨站请求伪造漏洞 CNNVD编号: CNNVD-201306-058 发布时间: 2013-06-07 更新时间: 2013-06-07 危害等 ...
- .NET Core实战项目之CMS 第十四章 开发篇-防止跨站请求伪造(XSRF/CSRF)攻击处理...
通过 ASP.NET Core,开发者可轻松配置和管理其应用的安全性. ASP.NET Core 中包含管理身份验证.授权.数据保护.SSL 强制.应用机密.请求防伪保护及 CORS 管理等等安全方面 ...
- WordPress Citizen Space插件跨站请求伪造漏洞
漏洞名称: WordPress Citizen Space插件跨站请求伪造漏洞 CNNVD编号: CNNVD-201307-463 发布时间: 2013-07-23 更新时间: 2013-07-23 ...
- WordPress WP cleanfix插件‘eval()’函数跨站请求伪造漏洞
漏洞名称: WordPress WP cleanfix插件'eval()'函数跨站请求伪造漏洞 CNNVD编号: CNNVD-201305-381 发布时间: 2013-05-20 更新时间: 201 ...
- 跨站请求伪造CSRF防护方法
CSRF(Cross-site request forgery跨站请求伪造,也被称成为"one click attack"或者session riding,通常缩写为CSRF或者X ...
- CSFR(跨站请求伪造)攻击与防御
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSR ...
- 带你了解跨站请求伪造(CSRF),具体代码实现
假如现在有网站A(淘宝)和网站B(黑客网站),某一个晚上你打开淘宝网站正在购物..突然你感觉很无聊,你百度找啊找,找了一个小黄网,其实这是钓鱼网站.此时的情况是你同时打开了淘宝网站和小黄网网站,然后问 ...
- web安全性测试用例(输入、输出、SQL注入、跨站请求伪造(CSRF)、跨站脚本攻击(XSS))实实在在的干货
https://www.cnblogs.com/qmfsun/p/3724406.html 建立整体的威胁模型,测试溢出漏洞.信息泄漏.错误处理.SQL 注入.身份验证和授权错误. 1. 输入验证 ...
最新文章
- [原创]SparkR针对mysql的数据读写操作实现
- linux下memcached安装 和redis安装,jdk,tomcat,mysql 安装
- Python 爬虫 - Instagram异步协程
- dubbo学习笔记 第三章简介dubbo的工作原理
- 为什么叫python编程-为什么建议大家学习Python编程呢?老男孩Python入门
- 60多套html5移动端模板_美容整形高保真移动端原型模板发布
- springboot的redis工具类编写(采用RedisTemplate)(简单的取值,取多个值)。
- org.apache.tomcat.util.scan.StandardJarScanner找不到serializer.jar的问题
- 毕业作文计算机系统与维护,修电脑作文600字
- MySql如何使用索引(二)
- QTP的那些事 -– Visual Relation Identifier Feature: How to use in the real world
- pycharm不认识numpy?_深度学习(CV方向)入坑不完全指南
- 5. laravel 路由(2)
- 【机器学习概率统计】18 隐马尔科夫模型:明暗两条线
- python微信投票平台_Python——开发一个自动化微信投票器【附代码实例方法】
- 计算机顶会:投稿时间 会议介绍
- LUA中判断GameObject是否被Destory
- android drawText()方法中x,y坐标值真正的 意义
- 概率统计Python计算:样本数据的经验分布函数
- 阿里P8专家年薪170万IT男征婚被嘲讽?钱不是万能的!