校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器

时间  2019-11-14
标签 校验 referer 防范 csrf 请求 伪造 攻击 拦截 栏目 系统安全 繁體版
原文   原文链接
  1. public final static String domainName = "192.168.2.123";  

 

 

Java代码   收藏代码
  1. package com.web.interceptors;  
  2.   
  3. import org.apache.log4j.Logger;  
  4. import org.apache.struts2.ServletActionContext;  
  5.   
  6. import com.opensymphony.xwork2.ActionInvocation;  
  7. import com.opensymphony.xwork2.interceptor.AbstractInterceptor;  
  8. import com.trace.web.utils.Constants;  
  9.   
  10. /** 
  11.  * 对管理员操做,校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器 
  12.  * @author admin 
  13.  */  
  14. public class AuthInterceptor extends AbstractInterceptor {  
  15.   
  16.     private static final long serialVersionUID = -2154056039548254482L;  
  17.       
  18.     private static Logger log = Logger.getLogger(AuthInterceptor.class);  
  19.   
  20.     @Override  
  21.     public String intercept(ActionInvocation invocation) throws Exception {  
  22.         String referer = ServletActionContext.getRequest().getHeader("Referer");  
  23.         if((referer!=null) && (referer.trim().startsWith(Constants.HTTP + Constants.domainName))){  
  24.             return invocation.invoke();  
  25.         }  
  26.         log.info("referer : " + referer);  
  27.         return "error";  
  28.     }  

 CSRF攻击原理比较简单,其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。web

1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登陆网站A;apache

2.在用户信息经过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登陆网站A成功,能够正常发送请求到网站A;浏览器

3. 用户未退出网站A以前,在同一浏览器中,打开一个TAB页访问网站B;并发

4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;dom

5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的状况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求实际上是由B发起的,因此会根据用户C的Cookie信息以C的权限处理该请求,致使来自网站B的恶意代码被执行ide

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程