JSF 2.x has already builtin CSRF prevention in flavor of javax.faces.ViewState hidden field in the form when using server side state saving. In JSF 1.x this value was namely pretty weak and too easy predictable (it was actually never intended as CSRF prevention). In JSF 2.0 this has been improved by using a long and strong autogenerated value instead of a rather predictable sequence value and thus making it a robust CSRF prevention.
In JSF 2.2 this is even be further improved by making it a required part of the JSF specification, along with a configurable AES key to encrypt the client side state, in case client side state saving is enabled. New in JSF 2.2 is CSRF protection on GET requests by <protected-views>.
使用JSF 1.x的遗留代码,可以扩展form,在form内增加一个token,token通过SessionListener生成,保存在Session中,代码如下:
CsrfSessionListener
public class CsrfSessionListener implements HttpSessionListener {
private static final String CSRF_TOKEN_NAME = "CsrfToken";
@Override
public void sessionCreated(HttpSessionEvent se) {
HttpSession session = se.getSession();
session.setAttribute(CSRF_TOKEN_NAME, UUID.randomUUID().toString());
}
@Override
public void sessionDestroyed(HttpSessionEvent se) {
}
}
CsrfForm
public class CsrfForm extends HtmlForm {
private static final String CSRF_TOKEN_NAME = "CsrfToken";
private static final String CSRF_TOKEN_ID = "csrf_token";
@Override
public void encodeEnd(FacesContext context) throws IOException {
encodeCsrfTokenInput(context);
super.encodeEnd(context);
}
private void encodeCsrfTokenInput(FacesContext context) throws IOException {
ResponseWriter responseWriter = context.getResponseWriter();
responseWriter.startElement("input", null);
responseWriter.writeAttribute("type", "hidden", null);
responseWriter.writeAttribute("id", getCsrfInputClientId(context), null);
responseWriter.writeAttribute("name", CSRF_TOKEN_ID, null);
responseWriter.writeAttribute("value", getToken(context), "value");
responseWriter.endElement("input");
}
@Override
public void decode(FacesContext context) {
Map<String, String> requestMap = context.getExternalContext().getRequestParameterMap();
String value = requestMap.get(CSRF_TOKEN_ID);
// check if the token exists
if (value == null || "null".equals(value) || "".equals(value)) {
throw new CsrfException("CSRFToken is missing!");
}
String token = getToken(context);
// check the values for equality
if (!value.equalsIgnoreCase(token)) {
throw new CsrfException("CSRFToken does not match!");
}
super.decode(context);
}
private String getCsrfInputClientId(FacesContext context) {
return getClientId(context) + ":" + CSRF_TOKEN_ID;
}
private String getToken(FacesContext context) {
HttpSession session = (HttpSession) context.getExternalContext().getSession(false);
return (String) session.getAttribute(CSRF_TOKEN_NAME);
}
}
CsrfException
public class CsrfException extends RuntimeException {
public CsrfException(String message) {
super(message);
}
}
然后在faces-config.xml中增加配置,使用CsrfForm:
<component> <component-type>javax.faces.HtmlForm</component-type> <component-class>org.iata.csrf.CsrfForm</component-class> </component>
验证Referer
登录后将host保存在Session中
session.setAttribute("HOST", req.getHeader("host"));
然后在filter中验证:
package org.iata.csrf;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
public class CsrfFilter implements Filter {
private static final String HTTP = "http://";
private static final String HTTPS = "https://";
private static final String REGEX = "https://|http://";
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse res = (HttpServletResponse) response;
HttpSession session = req.getSession(false);
String host = (String) session.getAttribute("HOST");
String referer = req.getHeader("Referer");
if (referer == null) {
chain.doFilter(request, response);
return;
}
if (referer.startsWith(HTTP) || referer.startsWith(HTTPS)) {
referer = referer.replaceFirst(REGEX, "");
}
if (referer.startsWith(host)) {
chain.doFilter(request, response);
return;
}
res.sendRedirect(req.getContextPath() + "/NoAuthorityError.seam");
}
@Override
public void destroy() {
}
}
相关推荐
在开发过程中,应考虑XSS(Cross-Site Scripting)和CSRF(Cross-Site Request Forgery)等安全威胁,利用过滤器和验证码等手段防止攻击。 七、日志与审计 良好的日志记录和审计功能可以帮助追踪异常行为,及时发现...
此外,还可能应用CSRF(Cross-Site Request Forgery)防护、XSS(Cross-Site Scripting)过滤等安全措施。 7. **会话管理**:用户登录后,系统会使用session技术来跟踪用户状态,比如购物车中的商品。session存储在...
5. **Security**:DWR通过一系列安全机制确保通信的安全性,如CSRF(Cross-site Request Forgery)防护,以及可配置的白名单和黑名单策略。 6. **Batching**:DWR支持批量调用,可以将多个远程方法调用打包成一个...
4. **CSRF(Cross-Site Request Forgery)防护**:防止恶意攻击者伪造用户请求执行非授权操作。 5. **XSS(Cross-Site Scripting)防护**:防止攻击者注入恶意脚本,窃取用户信息或破坏系统。 **设计模式与架构** ...
Java 项目, Java 毕业设计,Java 课程设计,基于 SpringBoot 开发的,含有代码注释,新手也可看懂。毕业设计、期末大作业、课程设计、高分必看,下载下来,简单部署,就可以使用。 包含:项目源码、数据库脚本、软件工具等,前后端代码都在里面。 该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值。 项目都经过严格调试,确保可以运行! 1. 技术组成 前端:html、javascript、Vue 后台框架:SpringBoot 开发环境:idea 数据库:MySql(建议用 5.7 版本,8.0 有时候会有坑) 数据库工具:navicat 部署环境:Tomcat(建议用 7.x 或者 8.x 版本), maven 2. 部署 如果部署有疑问的话,可以找我咨询 Java工具包下载地址: https://pan.quark.cn/s/eb24351ebac4 后台路径地址:localhost:8080/项目名称/admin/dist/index.html 前台路径地址:localhost:8080/项目名称/front/index.html (无前台不需要输入)
本次分享的数据为1896年-2024年(从雅典到巴黎)间奥运会奖牌数据,包括年份、届次、国家地区、名次、金牌、银牌、铜牌等数据,含免费下载链接 ## 一、数据介绍 数据名称:历届奥运会奖牌数据 数据范围:世界各国 样本数量:1877条 数据年份:1896年-2024年 数据说明:包括届次、国家、名次等数据
Java 项目, Java 毕业设计,Java 课程设计,基于 SpringBoot 开发的,含有代码注释,新手也可看懂。毕业设计、期末大作业、课程设计、高分必看,下载下来,简单部署,就可以使用。 包含:项目源码、数据库脚本、软件工具等,前后端代码都在里面。 该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值。 项目都经过严格调试,确保可以运行! 1. 技术组成 前端:html、javascript、Vue 后台框架:SpringBoot 开发环境:idea 数据库:MySql(建议用 5.7 版本,8.0 有时候会有坑) 数据库工具:navicat 部署环境:Tomcat(建议用 7.x 或者 8.x 版本), maven 2. 部署 如果部署有疑问的话,可以找我咨询 Java工具包下载地址: https://pan.quark.cn/s/eb24351ebac4 后台路径地址:localhost:8080/项目名称/admin/dist/index.html 前台路径地址:localhost:8080/项目名称/front/index.html (无前台不需要输入)
【人机交互】MATLAB直车道线检测
Java 项目, Java 毕业设计,Java 课程设计,基于 SpringBoot 开发的,含有代码注释,新手也可看懂。毕业设计、期末大作业、课程设计、高分必看,下载下来,简单部署,就可以使用。 包含:项目源码、数据库脚本、软件工具等,前后端代码都在里面。 该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值。 项目都经过严格调试,确保可以运行! 1. 技术组成 前端:jsp 后台框架:SSM 开发环境:idea 数据库:MySql(建议用 5.7 版本,8.0 有时候会有坑) 数据库工具:navicat 部署环境:Tomcat(建议用 7.x 或者 8.x 版本), maven 2. 部署 如果部署有疑问的话,可以找我咨询 Java工具包下载地址: https://pan.quark.cn/s/eb24351ebac4
Java 项目, Java 毕业设计,Java 课程设计,基于 SpringBoot 开发的,含有代码注释,新手也可看懂。毕业设计、期末大作业、课程设计、高分必看,下载下来,简单部署,就可以使用。 包含:项目源码、数据库脚本、软件工具等,前后端代码都在里面。 该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值。 项目都经过严格调试,确保可以运行! 1. 技术组成 前端:jsp 后台框架:SSM 开发环境:idea 数据库:MySql(建议用 5.7 版本,8.0 有时候会有坑) 数据库工具:navicat 部署环境:Tomcat(建议用 7.x 或者 8.x 版本), maven 2. 部署 如果部署有疑问的话,可以找我咨询 Java工具包下载地址: https://pan.quark.cn/s/eb24351ebac4
2023年计算机硬件的组装实验报告.pdf
ava项目springboot基于springboot的课程设计,包含源码+数据库+毕业论文
内容概要:本文档主要针对含有质量平衡段(即弹性轴和重心重合点xa=0)的硬翼Flutter问题提供了MATLAB解决方案。文档通过迭代的方式对一系列参数(如频率比(fr)、弹性轴(E)和半径(r)等)进行操作,并利用贝塞尔函数(Kn)来评估flutter速度(UFhat),从而预测了不同质比(mu)下flutter的缩减速度变化情况。同时,文档包含了绘图命令以视觉展示减小颤振速度随质量比变化的趋势以及相应的MATLAB代码。 适合人群:航空工程、飞行器动力学领域的科研工作者,工程师及研究生。尤其是那些从事飞行安全性和稳定性研究的专业人士。 使用场景及目标:主要用于解决飞行器设计过程中遇到的具体颤振问题,能够为设计新型飞机或其他有翼飞行物体提供科学依据和技术支持。它还能够辅助教育,帮助相关专业的学生理解flutter现象及其预防措施。 其他说明:此文件是以数值方法探讨带质量平衡的翅膀颤振特性的实例,在工程上有着重要意义。对于希望深入学习此类问题的人来说,这是一个极好的参考资料和实验平台。然而,实际应用还需要进一步考虑真实条件下的复杂因素,因此需要更多的专业知识和背景资料的支持。
本次项目是设计一个基于JAVA的机场航班起降与协调管理系统。 (1)在经济可行性上来分析的话,该软件是机场内部使用的一个指挥协调软件,属于航空安全投资,本软件开发成本并不高,软件和服务器数据库可以用机场原有的数据库进行开发,比起空难给航空公司造成的损失来说九牛一毛。 (2)在技术可行性上来分析的话,该软件主要运用了Java技术、jQuery-easyui和Mysql数据库技术。Java是到目前来说最稳定的、最可靠的软件开发工具;jQuery-easyui虽然是比较新的前台开发技术,但是他的界面新颖整洁,适合于功能性软件的开发;Mysql数据库也是许多大公司都采用的软件项目开发数据库,不仅稳定而且性能可靠,可以用作本次软件的开发。 (3)在法律可行性上来分析的话,该软件使用的技术都为开源的软件开发工具和语言,虽然Java等开发技术都存在Sun公司的版权问题,但是Java技术是可以免费使用的,没有涉及到法律上的侵权。 (4)在方案可行性上来分析的话,此次软件开发的很大一部分精力都放在了软件的需求分析和设计方面,设计出来的软件可以很好地去实现我们所要完成的软件预先设计的功能。
2023年计算机与通信网络实验报告.pdf
2023年四川省德阳市统招专升本计算机自考真题(含答案).pdf
Java 项目, Java 毕业设计,Java 课程设计,基于 SpringBoot 开发的,含有代码注释,新手也可看懂。毕业设计、期末大作业、课程设计、高分必看,下载下来,简单部署,就可以使用。 包含:项目源码、数据库脚本、软件工具等,前后端代码都在里面。 该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值。 项目都经过严格调试,确保可以运行! 1. 技术组成 前端:jsp 后台框架:SSM 开发环境:idea 数据库:MySql(建议用 5.7 版本,8.0 有时候会有坑) 数据库工具:navicat 部署环境:Tomcat(建议用 7.x 或者 8.x 版本), maven 2. 部署 如果部署有疑问的话,可以找我咨询 Java工具包下载地址: https://pan.quark.cn/s/eb24351ebac4
Java项目基于springboot的课程设计,包含源码+数据库+毕业论文
Java 项目,仅供学习参考。 Java 毕业设计,Java 课程设计,基于 SpringBoot 开发的,含有代码注释,新手也可看懂。毕业设计、期末大作业、课程设计、高分必看,下载下来,简单部署,就可以使用。 包含:项目源码、数据库脚本、软件工具等,前后端代码都在里面。 该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值。 项目都经过严格调试,确保可以运行! 1. 技术组成 前端:html、javascript、Vue 后台框架:SpringBoot 开发环境:idea 数据库:MySql(建议用 5.7 版本,8.0 有时候会有坑) 数据库工具:navicat 部署环境:Tomcat(建议用 7.x 或者 8.x 版本), maven 2. 部署 如果部署有疑问的话,可以找我咨询 Java工具包下载地址: https://pan.quark.cn/s/eb24351ebac4 后台路径地址:localhost:8080/项目名称/admin/dist/index.html 前台路径地址:localhost:8080/项目名称/front/index.html (无前台不需要输入)
GUI面板MATLAB答题纸试卷自动识别