CSRF简单理解---HTTP Referer字段验证(Java实现)
2018-02-08 16:30
1466 查看
CSRF攻击简单来说就是:
1.你可以通过A网站发送请求“转100块给小明”。
2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。
3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。
所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。
referer的验证原理简单来说就是:
比对HTTP请求发送的网站(referer字段)和
当前网站(request.getScheme())+”://”+request.getServerName())是不是一个网站。
java实现代码如下
那么什么时候HTTP请求会不包含Referer字段呢?根据Referer的定义,它的作用是指示一个请求是从哪里链接过来,那么当一个请求并不是由链接触发产生的,那么自然也就不需要指定这个请求的链接来源。
比如,直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含Referer字段的,因为这是一个“凭空产生”的HTTP请求,并不是从一个地方链接过去的。
那么在防盗链设置中,允许空Referer和不允许空Referer有什么区别?
在防盗链的白名单设置中,如果指名白名单中包含空的Referer,那么通过浏览器地址栏直接访问该资源URL是可以访问到的;
但如果不指名需要包含空的Referer,那么通过浏览器直接访问也是被禁止的。
看到比较好的相关网页:
http://blog.csdn.net/dhweicheng/article/details/76996709
http://blog.csdn.net/u011217058/article/details/78331170
http://blog.csdn.net/stpeace/article/details/53512283
关于token实现的简易版
http://blog.csdn.net/huqingpeng321/article/details/52900550
实际大型项目中客户端token存于cookie,再加上加密算法,有兴趣可以看看JWT传递方法。
1.你可以通过A网站发送请求“转100块给小明”。
2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。
3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。
所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。
referer的验证原理简单来说就是:
比对HTTP请求发送的网站(referer字段)和
当前网站(request.getScheme())+”://”+request.getServerName())是不是一个网站。
java实现代码如下
HttpServletRequest request= (HttpServletRequest) request; String referer = request.getHeader("referer"); StringBuffer stringBuffer = new StringBuffer(); stringBuffer.append(request.getScheme()).append("://").append(request.getServerName()); if(referer != null && !referer.equals("") ){ if(referer.lastIndexOf(String.valueOf(stringBuffer)) != 0){ return false; //验证失败 } }
关于空Referer
首先,我们对空Referer的定义为,Referer 头部的内容为空,或者,一个HTTP请求中根本不包含Referer头部。那么什么时候HTTP请求会不包含Referer字段呢?根据Referer的定义,它的作用是指示一个请求是从哪里链接过来,那么当一个请求并不是由链接触发产生的,那么自然也就不需要指定这个请求的链接来源。
比如,直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含Referer字段的,因为这是一个“凭空产生”的HTTP请求,并不是从一个地方链接过去的。
那么在防盗链设置中,允许空Referer和不允许空Referer有什么区别?
在防盗链的白名单设置中,如果指名白名单中包含空的Referer,那么通过浏览器地址栏直接访问该资源URL是可以访问到的;
但如果不指名需要包含空的Referer,那么通过浏览器直接访问也是被禁止的。
看到比较好的相关网页:
http://blog.csdn.net/dhweicheng/article/details/76996709
http://blog.csdn.net/u011217058/article/details/78331170
http://blog.csdn.net/stpeace/article/details/53512283
关于token实现的简易版
http://blog.csdn.net/huqingpeng321/article/details/52900550
实际大型项目中客户端token存于cookie,再加上加密算法,有兴趣可以看看JWT传递方法。
相关文章推荐
- 基于Java实现简单Http服务器之一
- RSA算法简单实现加密、解密、签名、验证(原创Java程序)
- 利用ASIHttpRequest实现一个简单的登录验证
- Java Socket发送与接收HTTP消息简单实现
- 【IOS】利用ASIHTTPRequest 实现一个简单的登陆验证
- 【IOS】利用ASIHTTPRequest 实现一个简单的登陆验证
- Http协议客户端的JAVA简单实现
- Java本地方法理解及通过JNI的简单实现
- java最简单的方式实现httpget和httppost请求
- JAVA编写的一个简单的Socket实现的HTTP响应服务器
- java最简单的方式实现httpget和httppost请求
- 基于Java实现简单Http服务器之一
- 【IOS】利用ASIHTTPRequest 实现一个简单的登陆验证
- 【IOS】利用ASIHTTPRequest 实现一个简单的登陆验证
- Java Socket发送与接收HTTP消息简单实现
- javaweb之Session实现简单的购物(URL重写。Cookie重写指定有效日期)和简单的验证结论
- java 实现简单http服务端,客户端DEMO
- 【IOS】利用ASIHTTPRequest 实现一个简单的登陆验证
- Java Socket发送与接收HTTP消息简单实现
- Java Socket发送与接收HTTP消息简单实现