CSRF (Cross-site request forgery) 跨站请求伪造,伪造信任用户。
跨站请求伪造是通过混淆信任用户的方式,让用户无意间将信任参数授权出去。
以下仅举例,如有雷同纯属巧合。
小张和老王都在逛某个不可言喻的论坛网站,小张发现老王的签名图片非常的棒棒哟。
老王的签名图片实际上大有玄机。
小张本身比较懒惰,平时喜欢保存 Cookie 在浏览器上,懒得输入账号密码登录。
小张点了老王那张隐晦的嘿嘿嘿论坛签名图片后,在不知不觉中已经向老王的服务器发了一个异步请求。
老王拿到了 Cookie,老王利用 Cookie 向银行查询小张的余额。
由于该 Cookie 确实是小张的,银行认为是受信任的,正常进行了信息的返回。
于是,老王知道了小张的银行余额,一看,四块二毛八...呸!
在此过程中,老王没有获取到小张的登录账号密码(也不需要),老王的服务器类似一个中转,能够拿到想要的隐私信息。
至于具体如何实施,这部分内容写在刑法内,大家明白这个道理即可。
所以,我们不能乱点链接。
常见三种防御手段,本文主要讲述第二种。
用户登录(鉴权)成功后,我们将一个随机生成的变量放到 session 中。
//鉴权Action中的代码
//生成一段随机字符串,这个很简单,就不详解了
String token = MyStringUtils.getToken();
//放到session中
ServletActionContext.getRequest().getSession().setAttribute("token", token);
本节以 JSP 举例。
<script>
//利用JSP内置的能力,${}直接获取Attribute
//直接取用
var url = "<%=request.getContextPath()%>/viewUsers.action?connToken=${token}";
var token = ${token};//该语句需要定义在JSP文件中
//在JS文件中取用token
url = "<%=request.getContextPath()%>/viewUsers.action?connToken="+token;
</script>
过滤器和拦截器都可以实现token检查,为了区分前后太请求,习惯性分开。
filter过滤器:检查常规Get请求,访问JSP/前端页面资源请求等。
interceptor拦截器:检查Post向后台发起的请求,主要与Action层通信过程。
个人觉得用过滤器更为准确,拦截器的辐射范围有些局限了。
//服务端token
String serverToken = (String)httpRequest.getSession().getAttribute("token");
//客户端token
String clientToken = httpRequest.getParameter("connToken");
//检查token,服务端和请求都有token且一致方可放行
if ((null != clientToken)&&(null != serverToken) &&
(serverToken.length() > 0) && (clientToken.length() > 0) &&
(clientToken.equals(serverToken)))
{
//放行
}
感谢您的阅读。
当前还没有观点发布,欢迎您留下足迹!
常规的WEB工程前后台都会设置相关校验规则,并且保持一致。因此服务端收到不符合校验的参数表示该请求存在恶意篡改行为,应当限制并踢出登录
Spring就像一个大家族,里面包含了很多衍生产品,其中最为出名的就是SpringMVC和SpringBoot,那么这三者之间是什么关系呢?SpringMVC和SpringBoot又专门用来做什么呢?
Eclipse可以直接通过GitRepositories直接创建本地项目与Git仓库关联,clone代码,同步、拉取以及推送代码,对于曾经经常使用SVN插件的小伙伴上手会相对容易。
SpringMVC框架是围绕DispatcherServlet(前端控制器)展开的,本文描述SpringMVC的优点、各个核心类(角色)作用,并说明用户请求数据到最终视图返回完整的数据传输过程
频繁的创建与销毁线程是非常浪费系统资源的行为,多线程编程中是必要考虑到线程复用,线程池就是实现线程复用的一种方式,看看JAVA的线程池如何让使用都有哪些关键参数
Spring家族大行其道的今天,很多人可能未必还记得JAVA中原生Servlet对象的一些知识,实际上SpringMVC就是基于Servlet进行的封装,记录Servlet对象生命周期及数据流转过程