csrf漏洞修复

最新推荐文章于 2025-03-27 16:03:58 发布
最新推荐文章于 2025-03-27 16:03:58 发布
阅读量426 收藏 1
点赞数 1
CC 4.0 BY-SA版权
文章标签: csrf 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoYLong/article/details/134594682
文章介绍了如何通过SpringMVC的CsrfFilterConfig和CsrfFilterInterceptor防止恶意篡改Referer头进行接口访问,确保接口安全。使用CORS配置限制了某些路径对特定来源的访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞说明:通过篡改请求头中的Referer值依旧能够访问到接口。
通过http请求头里面的Referer随意访问接口
在这里插入图片描述

通过下面两个代码类程序来实现你的程序不会被攻击,里面有两个实体,如果你感觉这个程序对你有用,联系我,我私发你,代码就不做过多的解释,原理不难

package com.datalook.manage.filter;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @description:
 * @author: guoyunlong
 * @create: 2023-11-23 13:08
 **/
@Configuration
public class CsrfFilterConfig implements WebMvcConfigurer{

    @Bean
    public CsrfFilterInterceptor myCsrfInterceptor(){
        return  new CsrfFilterInterceptor();
    }
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //这里可以添加多个拦截器
        registry.addInterceptor(myCsrfInterceptor())
                .addPathPatterns("/**")
                //img和resources为静态资源
                .excludePathPatterns("/img/**")
                .excludePathPatterns("/images/**")
                .excludePathPatterns("/resources/**")
                .excludePathPatterns("/actuator/**")
                .excludePathPatterns("/actuator/prometheus/**")
                .excludePathPatterns("/permission/**");

    }

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/login")
                .allowedOrigins("*")
                .allowCredentials(true)
                .allowedMethods("GET", "POST", "DELETE", "PUT")
                .maxAge(3600);
    }

}

package com.datalook.manage.filter;

import com.datalook.util.common.ComponentProperties;
import com.datalook.util.common.StringUtils;
import com.datalook.util.log.LogUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.net.MalformedURLException;
import java.net.URL;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

/**
 * @description:
 * @author: guoyunlong
 * @create: 2023-11-23 13:08
 **/
@Component
public class CsrfFilterInterceptor implements HandlerInterceptor {


    @Autowired
    private ComponentProperties security;


    public boolean preHandle(HttpServletRequest request, HttpServletResponse httpServletResponse, Object o) throws Exception {
        String referer = request.getHeader("Referer");
        String serverName = request.getServerName();
        //如果 referer 为空放行
        if (!StringUtils.hasText(referer)) {
            return true;
        }
        URL url = null;
        try {
            url = new URL(referer);
        } catch (MalformedURLException e) {
            httpServletResponse.setContentType("application/json; charset=UTF-8");
            httpServletResponse.getWriter().write("系统不支持当前域名的访问!");
            LogUtil.error("域名:{}解析异常", url);
        }
        referer = url.getHost();
        if (StringUtils.hasText(referer)) {
            // 不启用或者已忽略的domain不拦截
            if (!security.getCsrf().isEnable() || isExcludesDomain(referer)) {
                return true;
            }
        }
        // 判断是否存在外链请求本站
        if (StringUtils.hasText(referer) && referer.indexOf(serverName) < 0) {
            LogUtil.error("拦截到非法请求:=> 服务器域名:{} => 非法访问域名:{}", serverName, referer);
            httpServletResponse.setContentType("application/json; charset=UTF-8");
            httpServletResponse.getWriter().write("系统不支持当前域名的访问!");
            return false;
        } else {
            return true;
        }
    }


    /**
     * 判断是否为忽略的域名
     *
     * @param urlPath URL路径
     * @return true-忽略,false-过滤
     */
    private boolean isExcludesDomain(String urlPath) {
        if (security.getCsrf().getExcludesDomain() == null || security.getCsrf().getExcludesDomain().isEmpty()) {
            return false;
        }
        return security.getCsrf().getExcludesDomain().stream().map(pattern -> Pattern.compile("^" + pattern)).map(p -> p.matcher(urlPath))
                .anyMatch(Matcher::find);
    }
}

使用postman来测试修复后的结果,如果别人使用随意一个域名是可以访问你的接口或者页面的
在这里插入图片描述

CSRF漏洞及其修复方法
ttyy1112的专栏
02-19 507
*跨站请求伪造(Cross-Site Request Forgery, CSRF)**是一种常见的Web安全漏洞,攻击者通过诱导用户点击恶意链接或提交恶意表单,使得用户的浏览器在无意识中向目标网站发送经过认证的请求,从而执行非授权的操作。
CSRF漏洞复现
zxcvbnmasdflzl的博客
07-07 889
如果可以,再去掉referer参数的内容,如果仍然可以,说明存在CSRF漏洞,可以利用构造外部form表单的形式,实现攻击。如果上述post方式对referer验证的特别严格,有的时候由于程序员对请求类型判断不是很严格,可以导致post请求改写为get请求,从而CSRF。直接以get请求的方式进行访问,如果请求成功,即可以此种方式绕过对referer的检测,从而CSRF。burp生成的exp有一个按钮,需要受害用户点击,改一下exp,改成直接访问链接就直接增加一个用户。如果可以,即存在CSRF漏洞
CSRF安全漏洞修复
Innocence_0的博客
02-02 1179
本处判断只判断接口,对页面进行放行(判断是否为页面的依据是接口的controller和请求页面的controller的继承类不同,接口的集成的类是AbstractAPIController,在每个请求中增加referer字段,如果没有这个字段则说明是伪造的请求。然后判断referer字段的域名和request的请求域名是否相同,如果不同则说明是伪造的请求。页面的集成类是 AbstractController,这两个类是自己写的。除了这些还需要拦截器配置。
客户端伪造(CSRF漏洞修复,nginx配置修复篇。
最新发布
qq_37261852的博客
03-27 572
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web上执行非本意的操作的攻击方法。跟(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是对用户的信任。CSRF攻击利用用户已登录的身份,通过伪造请求执行非法操作,危害极大。
CSRF(Cross-Site Request Forgery)漏洞修复方案
qq_40472157的博客
05-29 707
【代码】CSRF(Cross-Site Request Forgery)漏洞修复方案。
CSRF漏洞的利用及修复
G3et的博客
02-13 1310
CSRF (Cross-Site Request Forgery) 漏洞是一种 Web 应用程序的安全漏洞,它允许攻击者在用户不知情的情况下执行非法操作。CSRF 攻击通过构造恶意请求来发送给受害者,从而实现对受害者帐户的控制。这些请求看起来就像是从用户自己的浏览器发出的,因此服务器会将它们作为正常请求处理。
不安全的http方法、CSRF漏洞修复问题
01-07
不安全的 HTTP 方法、CSRF漏洞修复问题 在本文中,我们将讨论不安全的 HTTP 方法、CSRF 漏洞等问题的修复方法。 一、敏感信息泄露 敏感信息泄露是指攻击者可以通过访问网站目录直接下载文件,进入别的网页,...
python中常见的csrf漏洞修复
07-28
在Python中,常见的修复CSRF(跨站请求伪造)漏洞的方法如下: 1. 随机令牌:为了防止CSRF攻击,可以在每...以上是一些常见的Python修复CSRF漏洞的方法,为了确保应用程序的安全,建议结合多种措施来提高防御的效果。
Python常见安全漏洞修复方法.zip
10-16
本资料"Python常见安全漏洞修复方法.zip"包含了关于Python安全的重要信息,主要文件是"Python常见安全漏洞修复方法.pdf",以下将对其中可能涵盖的关键知识点进行详细阐述。 1. 输入验证不足:Python应用程序...
CSRF漏洞修复建议
lixiaotao_1的博客
11-12 3977
1 关于CSRF 跨站请求伪造,(Cross-site request forgery)。是一种对网站的恶意利用。 CSRF作为一种跨网站的攻击方式,不同于XSS站内攻击。CSRF是通过伪装成受信任的用户请求受信任的网站。 CSRF攻击的原理:攻击者利用目标用户的身份,以目标用户的名义执行某些非法的操作。CSRF能做的事情包括:以目标用户的名义发送邮件、发消息、盗取目标用户的账号,甚至购买商品、虚拟货币转账,会泄露个人隐私并威胁到目标用户的财产安全。 2 CSRF修复建议 ● 验证请求的Refer
CSRF跨站请求伪造漏洞修复方案
weixin_42728957的博客
04-16 7591
CSRF(全称Cross-site request forgery)即跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或包含攻击代码的页面,在受害者不知情的情况下以受害者的身份(身份认证所对应的信息)向服务器发送请求,从而完成非法操作(如转账、改密等)。由于发生CSRF攻击后,攻击者是强迫用户向服务器发送请求,所以会造成用户信息被迫修改,更严重者引发蠕...
一个express老系统csrf漏洞修复
weixin_34138139的博客
04-10 412
一个运行快两年的express框架web系统,被安全部门审核存在csrf漏洞,项目使用的前后端分离的形式,所有功能操作,通过ajax调用后端接口来完成,查了很多资料,一个基本的防御思想就是验证随机数了,为什么随机数就可以实现csrf的防御呢?本文将针对该问题进行分解 什么是csrf csrf(跨站请求伪造)是一种网络攻击方式,怎么实现这种...
CSRF跨站请求伪造漏洞修复
折腾java的博客
06-09 3429
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
CSRF跨站请求伪造 漏洞修复
菜就多看,多想,多敲
08-25 1181
CSRF跨站请求伪造 漏洞修复 CSRF: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 修复思想: 可以在前端修复也可以在后端修复,一般前端和后端
【2025版最新】CSRF漏洞原理+案例演示及修复策略,从零基础到精通,收藏这篇就够了!
Javachichi的博客
02-17 1648
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。这里要注意这句话的几个词,诱导进入-在第三方网站中进行请求发送-受害机有执行请求的权限-冒充用户对网站执行操作。
CSRF修复——看完的你多了一把刷子
MiaoTai
09-05 7005
近期项目对漏洞修复这一块比较看重,例举下CSRF修复之路吧(提到我就心累) 1、CSRF是什么 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大...
网站漏洞修复与防护之CSRF跨站攻击
weixin_34184158的博客
06-09 290
CSRF通俗来讲就是跨站伪造请求攻击,英文Cross-Site Request Forgery,在近几年的网站安全威胁排列中排前三,跨站攻击利用的是网站的用户在登陆的状态下,在用户不知不觉的情况下执行恶意代码以及执行网站的权限操作,CSRF窃取不了用户的数据,只能执行用户能操作的一些数据。比如:在用户不知道的情况下, 把账户里的金额,以及银行卡号,体...
CSRF漏洞
m0_48654636的博客
12-08 1159
CSRF(Cross-Site Request Forgery),也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。在 CSRF 的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

郭优秀的笔记

你的支持就是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值