添加Referer Check,防止CSRF攻击

小郝不负流年
小郝不负流年   + 关注
2020-10-04 16:33:54   阅读214   评论0

HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,会带上Referer,通过验证Referer,可以判断请求的合法性,如果Referer是其他网站的话,就有可能是CSRF攻击,则拒绝该请求。 


实现方案:

1、由于可能有多个Referer允许访问,所以首先我们添加配置项

anut.allow.refererPrefixs=http://localhost,http://localhost:8087


2、验证逻辑

/**
 * validReferer Referer Check , 防止csrf
 * Created by Hoscen on 2020/10/4 15:11
 * @param request 
 * @return boolean 
 */ 
public static boolean validReferer(HttpServletRequest request){
    String referrer = request.getHeader("referer");
    if(StringUtil.isBlank(referrer)){
        return true;
    }
    String[] refererPrefixs = SystemPropertiesWithDB.getArray("anut.allow.refererPrefixs");
    for(String rp : refererPrefixs){
        if(referrer.lastIndexOf(rp)==0){
            return true;
        }
    }
    return false;
}


3、添加全局Interceptor

public class RefererInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 验证Referer
        return PermUtil.validReferer(request);
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }

}


注意:此方法不能完全防御CSRF攻击,只能说是增加了攻击的难度。



对我有用,我要     转载  
文章分类: JavaWeb   安全  
所属标签: Referer Check   CSRF  
  • 0条评论
  • 只看作者
  • 按时间|按热度
  • 由于本人多次涉及需要打印这个证明,而每次都会忘记入口,在网上各种搜索各种摸索很是浪费时间。故本次将操作流程整理记录下来,以备忘。同时也分享给大家。1、打开湖北政务服务网,地址:http://zwfw.hubei.gov.cn/s/index.html2、切换区域到“武汉市”3、在“特色服务”模块找到“(个人)武汉市社会保险公共服务平台”4、进入“(个人)武汉市社会保险公共服务平台”,登录账号密码<imgsrc="https://cdnstatic.hoscen.cn/blog/article/184053017752895488/img/497065960be44747825acb86a17483c1.png"style=
  • Failedtoloadprojectconfiguration:cannotparsefileF:/xx/.idea/modules.xml:ParseErrorat[row,col]:[1,1]Message:文件提前结束。解决办法:关闭idea,删掉这个文件,重新打开idea
  • 如何使用postman模拟http发送xml参数报文的POST请求?1、postman工具通过安装软件或使用谷歌插件都可以,这里不再赘述。2、配置postman,选择POST,填写URL;切换到Headers,添加Content-Type:text/xml 3、切换到body,选择raw,XML,下方填写你的请求报文4、点击Send发送请求,如图可以看到响应状态、时间、结果等信息5、讲到这里就结束了,是不是学会了?快去试试吧!
  • 目录:1、安装node.js环境2、安装cnpm3、安装vue-cli脚手架构建工具4、用vue-cli构建项目5、安装项目所需的依赖6、项目运行7、项目打包1、安装node.js环境下载地址:https://nodejs.org/zh-cn/安装过程没有太多好说的,安装完成后 win+R打开命令行输入node -v , 如图,出现版本号说明安装成功。npm包管理器是集成在node中的 , npm -v可以查看版本2、安装cnpm由于有些npm有些资源被屏蔽或者是国外资源的原因,经常会导致用npm安装依赖包的时
  • 很多时候我们需要Linux服务器定时去运行一个脚本来触发一个操作,比如写缓存数据到硬盘、定时备份、定时重启服务、定期清除日志等。下面就简单讲解一下Linuxcrontab命令如何实现自动循环执行shell脚本。一、准备shell脚本比如我们准备一个hello.shvim/hcn/sh/hello.sh#!/bin/bash  DATETIME=$(date"+%Y%m%d%H%M%S") echo"hello, www.hoscen.cn,时间:${DATETIME}"  通过chmod命令赋予该脚本的执行权限chmod755hello.sh测试正确性二、开启crontab服务 linux应该都有crontab,没有的话可以安装一下:yuminstall vixie-cronyuminstall crontabsvixie-cron软
  • 建立服务器内网其他IP端口的隧道,可以将远程的服务映射到本地进行访问。finalshell配置隧道方法:
  • 下载地址:https://adoptopenjdk.net/releases.html?variant=openjdk8&jvmVariant=hotspot选择文件类型:或者,你可以通过我的百度网盘分享直接获取:链接:https://pan.baidu.com/s/1UygOdTh6WNZyS5WP_API6w 提取码:phnh 注意:我这里是下载的32的jdk,你们如果要64位请下载64的。使用:使用上和OracleJDK使用上是没有区别的。区别:1.OracleJDK⼤概每6个⽉发⼀次主要版本,⽽OpenJDK版本⼤概每三个⽉发布⼀次。但这不是固定的,我觉得了解这个没啥⽤处。详情参⻅:https://blogs.oracle.com/java-platform-group/update-and-faq-on-the-java-se-release-cadence。 2.OpenJDK是⼀个参考模型并且是完全开源的,⽽OracleJDK是OpenJDK的⼀个实现,并不是完全开源的; 3.OracleJDK⽐OpenJDK更稳定。OpenJDK和OracleJDK的代码⼏乎相同,但OracleJDK有更多的类和⼀些错误修复。因此,如果您
  • 解决办法:是idea的加载有问题,关闭IDEA,在工程的根目录下删除.idea文件,重新打开IDEA加载就好了。
  • 前言:大部分前端开发Vue用的工具是vscode 或webstorm , 但是作为后端开发习惯了使用idea, 当然开发Vue也要用idea啦。前面已经讲到了《Vue入门篇:(一)环境搭建、项目创建、项目运行、项目打包》, 接下来就讲在idea开发vue项目的环境配置。配置过程:1、打开Setting > Plugins , 搜索vue.js插件并安装。2、打开Setting >Editor >  File Types , 配置HTML文件类型支持 .vue后缀3、打开Setting > Lnaguages .. > JavaScript  , 配置ES64、打开Terminal,执行npm r
  • 本文讲触发el-dialog前动态修改窗口title的方法。1、el-dialog添加title属性el-dialog :title="titleType+'菜单'" :visible.sync="dialogVisible" width="800px" >el-dialog>  2、初始化变量(titleType,名称自己定义)export&