`
knight_black_bob
  • 浏览: 853503 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器

阅读更多

 

 

	public final static	String domainName = "192.168.2.123";

 

 

package com.web.interceptors;

import org.apache.log4j.Logger;
import org.apache.struts2.ServletActionContext;

import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;
import com.trace.web.utils.Constants;

/**
 * 对管理员操作,校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器
 * @author admin
 */
public class AuthInterceptor extends AbstractInterceptor {

	private static final long serialVersionUID = -2154056039548254482L;
	
	private static Logger log = Logger.getLogger(AuthInterceptor.class);

	@Override
	public String intercept(ActionInvocation invocation) throws Exception {
		String referer = ServletActionContext.getRequest().getHeader("Referer");
		if((referer!=null) && (referer.trim().startsWith(Constants.HTTP + Constants.domainName))){
			return invocation.invoke();
		}
		log.info("referer : " + referer);
		return "error";
	}

}

 

 

 

 

 

 

 

 

 

 

 

 

 

捐助开发者

在兴趣的驱动下,写一个免费的东西,有欣喜,也还有汗水,希望你喜欢我的作品,同时也能支持一下。 当然,有钱捧个钱场(右上角的爱心标志,支持支付宝和PayPal捐助),没钱捧个人场,谢谢各位。



 
 
 谢谢您的赞助,我会做的更好!

 

 

 

0
2
分享到:
评论
3 楼 knight_black_bob 2015-12-29  
knight_black_bob 写道
MrLee23 写道
Referer是可以随便更改的,你这个方法只能防住小白

好吧 ,我也是小白。。。。

2 楼 knight_black_bob 2015-12-29  
MrLee23 写道
Referer是可以随便更改的,你这个方法只能防住小白

好吧 ,我也是小白。。。。
1 楼 MrLee23 2015-12-29  
Referer是可以随便更改的,你这个方法只能防住小白

相关推荐

    东南大学网络空间安全实验基础——跨站请求伪造攻击实验

    本实验报告主要讲述了跨站请求伪造攻击(CSRF)的原理和防御方法。CSRF 攻击是一种常见的网络攻击方式,攻击者可以通过欺骗用户来访问恶意网站,从而达到攻击目的。 一、实验内容 Task 1:观察 HTTP 请求使用...

    跨站请求伪造-CSRF防护方法

    CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者可以欺骗用户浏览器,发出恶意请求,危害用户的安全。因此,防御CSRF攻击非常重要。下面将对CSRF攻击原理和防御方法进行详细的...

    csrf绕过Referer技巧-01

    CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者可以通过构造恶意页面诱骗用户执行非法操作。为了防御CSRF攻击,Web开发者通常会使用Referer头来判断请求的来源是否合法。本文将...

    防止伪造跨站请求

    总结来说,防止伪造跨站请求是Web开发中的重要环节,通过采用Token验证、Referer检查、POST请求限制等策略,可以有效防止CSRF攻击,确保用户数据和应用程序的安全。而《Essential PHP Security》这样的资源,则是...

    防跨站伪造测试代码

    在IT行业中,跨站伪造(Cross-Site Request Forgery,简称CSRF)是一种常见的网络攻击方式,它利用用户的登录状态来执行非用户意愿的操作。针对这种情况,开发人员需要采取有效的防御措施,Spring框架为此提供了内置...

    Web应用安全:CSRF防范对策.pptx

    **Web应用安全:CSRF(跨站点请求伪造)防范对策** **一、CSRF的定义** CSRF(Cross Site Request Forgery),中文称为跨站点请求伪造,是一种恶意攻击手段,攻击者利用用户已登录的身份,诱导用户访问含有恶意请求...

    CSRF知识点·总结.pdf

    CSRF(跨站请求伪造)是一种常见的Web安全攻击,其特点是在用户已经通过身份验证的情况下,攻击者诱导用户执行某些操作,从而达到其非法目的。CSRF攻击通常通过用户的浏览器向含有CSRF漏洞的Web应用程序发起请求,...

    php漏洞之跨网站请求伪造与防止伪造方法

    跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种网络安全漏洞,攻击者通过诱导用户在未经许可的情况下执行非预期的操作,从而达到恶意目的。在PHP开发中,了解并防止这种攻击至关重要。 首先,我们...

    CSRF攻击的应对之道

    CSRF(Cross Site Request Forgery,跨站域请求伪造)是一种网络攻击方式,它可以在受害者毫不知情的情况下,以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作。 CSRF 攻击...

    浅谈CSRF攻击方式

    CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络攻击手段,它利用用户在浏览器中保存的有效凭证(如Cookie等),通过伪装成受害者的身份对目标网站发起恶意请求。这种攻击之所以有效,是因为Web...

    Web应用安全:CSRF防范辅助性对策.pptx

    Web应用安全领域中,CSRF(跨站请求伪造)攻击是一种常见的威胁,它利用用户的登录凭证,通过伪造请求来执行非用户意愿的操作。为了有效防范CSRF,开发者需要采取多种策略,结合主要对策和辅助性对策来构建多层防线...

    跨站攻击(XSS+CSRF).docx

    攻击的关键在于攻击者可以伪造用户的请求,而目标网站无法区分这个请求是否来自真正的用户。 为了防范CSRF攻击,通常有以下几种策略: 1. 验证Token:在每个可能执行敏感操作的表单中添加一个随机的、一次性有效的...

    CSRF demo代码

    CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全漏洞,它允许攻击者在用户浏览器中,利用用户的已登录身份执行非预期的操作。这个“CSRF demo代码”可能是一个示例,用于演示如何实施或防范...

    安全 毕设 csrf的攻击实现

    CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全威胁,它利用了用户的浏览器自动发送请求的身份认证信息。在毕设项目中,理解并实现CSRF攻击可以帮助我们更好地了解其工作原理,从而设计出更...

    10-CSRF的攻击与防御1

    CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,它利用了浏览器自动发送Cookie的特性,使攻击者能够以受害者的身份执行非预期的操作。在讨论CSRF攻击时,我们需要理解其基本原理、常见场景、...

    Web应用安全:CSRF简介.pptx

    **跨站请求伪造(CSRF)详解** **1. CSRF的定义与别名** CSRF,全称为Cross-site request forgery,中文名为“跨站请求伪造”,也常被称为one-click attack或session riding。在Web安全领域,它是一种利用用户的已...

    csrf漏洞.rar

    **CSRF(Cross-Site Request Forgery,跨站请求伪造)漏洞详解** CSRF是一种网络攻击方式,攻击者通过伪造用户的请求,使用户在不知情的情况下执行非本意的操作。这种漏洞通常发生在需要用户身份验证的Web应用中,...

Global site tag (gtag.js) - Google Analytics