csrf漏洞现状
csrf(cross-site request forgery)跨站请求伪造,也被称为one click attack或者session riding,通常缩写为csrf或xsrf,是一种对网站的恶意利用。尽管听起来像跨站脚本(xss),但它与xss非常不同,xss利用站点内的信任用户,而csrf则通过伪装成受信任用户的请求来利用受信任的网站。与xss攻击相比,csrf攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比xss更具危险性。
csrf是一种依赖web浏览器的、被混淆过的代理人攻击(deputy attack)。
pom依赖
?
|
1
2
3
4
5
6
7
8
9
10
|
<!-- 模板引擎 freemarker -->
<dependency>
<groupid>org.springframework.boot</groupid>
<artifactid>spring-boot-starter-freemarker</artifactid>
</dependency>
<!-- security (只使用csrf部分) -->
<dependency>
<groupid>org.springframework.security</groupid>
<artifactid>spring-security-web</artifactid>
</dependency>
|
配置过滤器
?
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
@springbootapplication
public class application {
public static void main(string[] args) {
springapplication.run(application.class, args);
}
/**
* 配置csrf过滤器
*
* @return {@link org.springframework.boot.web.servlet.filterregistrationbean}
*/
@bean
public filterregistrationbean<csrffilter> csrffilter() {
filterregistrationbean<csrffilter> registration = new filterregistrationbean<>();
registration.setfilter(new csrffilter(new httpsessioncsrftokenrepository()));
registration.addurlpatterns("/*");
registration.setname("csrffilter");
return registration;
}
}
|
在form请求中添加csrf的隐藏字段
?
|
1
|
<input name="${(_csrf.parametername)!}" value="${(_csrf.token)!}" type="hidden" />
|
在ajax请求中添加header头
?
|
1
|
xhr.setrequestheader("${_csrf.headername}", "${_csrf.token}");
|
jquery的ajax全局配置
?
|
1
2
3
4
5
|
jquery.ajaxsetup({
"beforesend": function (request) {
request.setrequestheader("${_csrf.headername}", "${_csrf.token}");
}
});
|
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持快网idc。
原文链接:https://segmentfault.com/a/1190000018402597
相关文章
猜你喜欢
- 64M VPS建站:是否适合初学者操作和管理? 2025-06-10
- ASP.NET自助建站系统中的用户注册和登录功能定制方法 2025-06-10
- ASP.NET自助建站系统的域名绑定与解析教程 2025-06-10
- 个人服务器网站搭建:如何选择合适的服务器提供商? 2025-06-10
- ASP.NET自助建站系统中如何实现多语言支持? 2025-06-10
