基于复杂方案OWSAP CsrfGuard的CSRF安全解决方案(适配nginx + DWR)
一、什么是CSRF?
已经有不少博文讲解其过程和攻击手段,在此就不重复了。 O(∩_∩)O 不清楚的同窗,请自行搜索或按连接去了解: http://blog.csdn.net/Flaght/article/details/3873590php
二、CSRFGuard_Project
开源项目 CSRFGuard,介绍了如何使用在 HTTP 请求中加入 token 并验证的方法来抵御 CSRF。 https://www.owasp.org/index.php/Category:OWASP_CSRFGuard_Projecthtml
三、检测CSRF方法?
OWASP上面有一个叫作CSRFTester的工具,能够构建进行测试。
下载连接:https://www.owasp.org/index.php/CSRFTester
教程指引:http://www.zyiqibook.com/article216.htmlnginx
四、如何防护CSRF?
咱们采用CSRFGuard_Project方案 JAVA DOM方式。
配置以下:web
1)引入csrfguard-3.1.0.jar到你的工程: 2)配置web.xml:安全
<!-- 基于复杂方案OWASP CsrfGuard的CSRF安全过滤 -->
<servlet>
<servlet-name>JavaScriptServlet</servlet-name>
<servlet-class>org.owasp.csrfguard.servlet.JavaScriptServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>JavaScriptServlet</servlet-name>
<url-pattern>/JavaScriptServlet</url-pattern>
</servlet-mapping>
<context-param>
<param-name>Owasp.CsrfGuard.Config</param-name>
<param-value>WEB-INF/csrfguard.properties</param-value><!-- 配置文件 -->
</context-param>
<context-param>
<param-name>Owasp.CsrfGuard.Config.Print</param-name>
<param-value>true</param-value>
</context-param>
<!-- session监听器 --><!-- 基于复杂方案CsrfGuard的session监听器 -->
<listener>
<listener-class>org.owasp.csrfguard.CsrfGuardHttpSessionListener</listener-class>
</listener>
<listener>
<listener-class>org.owasp.csrfguard.CsrfGuardServletContextListener</listener-class>
</listener>
<filter>
<filter-name>CSRFGuard</filter-name>
<filter-class>org.owasp.csrfguard.CsrfGuardFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CSRFGuard</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
3)引入配置文件csrfguard.js csrfguard.properties(jar包META-INF里面有) csrfguard.properties配置文件中有几点须要注意:session
能够指定加载的js,为方便管理,我放在WEB-INF目录下:app
org.owasp.csrfguard.JavascriptServlet.sourceFile = WEB-INF/csrfguard.js
org.owasp.csrfguard.TokenName 对于nginx分发多servers的状况,nginx默认过滤带下划线的header,要么改掉nginx的配置,要么改这个参数的值。 参考:http://www.ttlsa.com/nginx/nginx-proxy_set_header工具
#>>>>>>>>>>>>>--author by caizhengluan e-mail: SvenAugustus@outlook.com #Nginx ignores the underlined header variables by default. # Please do not set "TokenName" has any underlines if you can't unkonwn how to change nginx's configuration. org.owasp.csrfguard.TokenName=PAYCSRFTOKEN #<<<<<<<<<<<<<--author by caizhengluan e-mail: SvenAugustus@outlook.com
org.owasp.csrfguard.JavascriptServlet.refererMatchDomain 对于nginx分发多servers的状况,须要设置为false测试
#>>>>>>>>>>>>>--author by caizhengluan e-mail: SvenAugustus@outlook.com # If you have cluster and nginx, please set this value to false.Otherwise, you will can't visit into the servers when you access nginx address. org.owasp.csrfguard.JavascriptServlet.refererMatchDomain = false #<<<<<<<<<<<<<--author by caizhengluan e-mail: SvenAugustus@outlook.com
四、如何具体防护DWR和咱们的页面? 在你的页面最后加上这么一句:this
<!-- OWASP CSRFGuard JavaScript Support --> <script src="<%=request.getContextPath()%>/JavaScriptServlet"></script>
转载自:https://my.oschina.net/langxSpirit/blog/678901
- 1. 基于复杂方案OWSAP CsrfGuard的CSRF安全解决方案(适配nginx + DWR)
- 2. 基于mpvue的小程序markdown适配解决方案
- 3. 基于 Serverless Component 全栈解决方案
- 4. Web安全解决方案
- 5. SSH安全方案的解决方法
- 6. 对于Faithfully yours, nginx.的解决方案
- 7. 被调用方解决方案-Nginx解决方案
- 8. vue手机端适配解决方案
- 9. 屏幕适配解决方案
- 10. Android屏幕适配解决方案
- 更多相关文章...
- • Spring基于Annotation装配Bean - Spring教程
- • Spring基于XML装配Bean - Spring教程
- • 常用的分布式事务解决方案
- • PHP Ajax 跨域问题最佳解决方案
-
每一个你不满意的现在,都有一个你没有努力的曾经。