CSRF简单理解---HTTP Referer字段验证(Java实现)

CSRF攻击简单来说就是：

1.你可以通过A网站发送请求“转100块给小明”。

2.然后你碰巧又上了X网站，X的某链接藏着一条操作”转100快给小芳”。

3.当你点击X网站的某个链接时，会利用你在A网站的session信息，发送请求”转100快给小芳”。

所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。

referer的验证原理简单来说就是：

比对HTTP请求发送的网站(referer字段)和

当前网站(request.getScheme())+”://”+request.getServerName())是不是一个网站。

java实现代码如下

HttpServletRequest request= (HttpServletRequest) request;
String referer = request.getHeader("referer");
StringBuffer stringBuffer = new StringBuffer();
stringBuffer.append(request.getScheme()).append("://").append(request.getServerName());
if(referer != null && !referer.equals("") ){
if(referer.lastIndexOf(String.valueOf(stringBuffer)) != 0){
return false; //验证失败
}
}

关于空Referer

首先，我们对空Referer的定义为，Referer 头部的内容为空，或者，一个HTTP请求中根本不包含Referer头部。

那么什么时候HTTP请求会不包含Referer字段呢？根据Referer的定义，它的作用是指示一个请求是从哪里链接过来，那么当一个请求并不是由链接触发产生的，那么自然也就不需要指定这个请求的链接来源。

比如，直接在浏览器的地址栏中输入一个资源的URL地址，那么这种请求是不会包含Referer字段的，因为这是一个“凭空产生”的HTTP请求，并不是从一个地方链接过去的。

那么在防盗链设置中，允许空Referer和不允许空Referer有什么区别？

在防盗链的白名单设置中，如果指名白名单中包含空的Referer，那么通过浏览器地址栏直接访问该资源URL是可以访问到的；

但如果不指名需要包含空的Referer，那么通过浏览器直接访问也是被禁止的。

看到比较好的相关网页：

http://blog.csdn.net/dhweicheng/article/details/76996709

http://blog.csdn.net/u011217058/article/details/78331170

http://blog.csdn.net/stpeace/article/details/53512283

关于token实现的简易版

http://blog.csdn.net/huqingpeng321/article/details/52900550

实际大型项目中客户端token存于cookie，再加上加密算法，有兴趣可以看看JWT传递方法。