`

JSF应对Cross-Site Request Forgery (CSRF)攻击

    博客分类:
  • JSF
阅读更多

JSF 2.x has already builtin CSRF prevention in flavor of javax.faces.ViewState hidden field in the form when using server side state saving. In JSF 1.x this value was namely pretty weak and too easy predictable (it was actually never intended as CSRF prevention). In JSF 2.0 this has been improved by using a long and strong autogenerated value instead of a rather predictable sequence value and thus making it a robust CSRF prevention.

In JSF 2.2 this is even be further improved by making it a required part of the JSF specification, along with a configurable AES key to encrypt the client side state, in case client side state saving is enabled. New in JSF 2.2 is CSRF protection on GET requests by <protected-views>.

 

使用JSF 1.x的遗留代码,可以扩展form,在form内增加一个token,token通过SessionListener生成,保存在Session中,代码如下:

CsrfSessionListener

public class CsrfSessionListener implements HttpSessionListener {
    private static final String CSRF_TOKEN_NAME = "CsrfToken";

    @Override
    public void sessionCreated(HttpSessionEvent se) {
        HttpSession session = se.getSession();
        session.setAttribute(CSRF_TOKEN_NAME, UUID.randomUUID().toString());
    }

    @Override
    public void sessionDestroyed(HttpSessionEvent se) {

    }
}

 CsrfForm

public class CsrfForm extends HtmlForm {

    private static final String CSRF_TOKEN_NAME = "CsrfToken";
    private static final String CSRF_TOKEN_ID = "csrf_token";

    @Override
    public void encodeEnd(FacesContext context) throws IOException {
        encodeCsrfTokenInput(context);
        super.encodeEnd(context);
    }

    private void encodeCsrfTokenInput(FacesContext context) throws IOException {
        ResponseWriter responseWriter = context.getResponseWriter();
        responseWriter.startElement("input", null);
        responseWriter.writeAttribute("type", "hidden", null);
        responseWriter.writeAttribute("id", getCsrfInputClientId(context), null);
        responseWriter.writeAttribute("name", CSRF_TOKEN_ID, null);
        responseWriter.writeAttribute("value", getToken(context), "value");
        responseWriter.endElement("input");
    }

    @Override
    public void decode(FacesContext context) {
        Map<String, String> requestMap = context.getExternalContext().getRequestParameterMap();
        String value = requestMap.get(CSRF_TOKEN_ID);

        // check if the token exists
        if (value == null || "null".equals(value) || "".equals(value)) {
            throw new CsrfException("CSRFToken is missing!");
        }

        String token = getToken(context);
        // check the values for equality
        if (!value.equalsIgnoreCase(token)) {
            throw new CsrfException("CSRFToken does not match!");
        }
        super.decode(context);
    }

    private String getCsrfInputClientId(FacesContext context) {
        return getClientId(context) + ":" + CSRF_TOKEN_ID;
    }

    private String getToken(FacesContext context) {
        HttpSession session = (HttpSession) context.getExternalContext().getSession(false);
        return (String) session.getAttribute(CSRF_TOKEN_NAME);
    }

}

CsrfException

public class CsrfException extends RuntimeException {
    public CsrfException(String message) {
        super(message);
    }
}

然后在faces-config.xml中增加配置,使用CsrfForm:

<component>
  <component-type>javax.faces.HtmlForm</component-type>
  <component-class>org.iata.csrf.CsrfForm</component-class>
</component>

 

验证Referer

登录后将host保存在Session中

session.setAttribute("HOST", req.getHeader("host"));

然后在filter中验证:

package org.iata.csrf;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;

public class CsrfFilter implements Filter {
    private static final String HTTP = "http://";
    private static final String HTTPS = "https://";
    private static final String REGEX = "https://|http://";

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;

        HttpSession session = req.getSession(false);
        String host = (String) session.getAttribute("HOST");

        String referer = req.getHeader("Referer");
        if (referer == null) {
            chain.doFilter(request, response);
            return;
        }

        if (referer.startsWith(HTTP) || referer.startsWith(HTTPS)) {
            referer = referer.replaceFirst(REGEX, "");
        }
        if (referer.startsWith(host)) {
            chain.doFilter(request, response);
            return;
        }

        res.sendRedirect(req.getContextPath() + "/NoAuthorityError.seam");
    }

    @Override
    public void destroy() {

    }
}

 

CSRF 攻击的应对之道

CSRF的攻击与防御

Java EE 7: Implementing CSRF Protection with JSF 2.2

Preventing CSRF with JSF 2.0

Tomcat CSRF Prevention Filter

Seam Cross Site Request Forgery

分享到:
评论

相关推荐

    基于JAVA的安全电子商务(设计说明书).zip

    在开发过程中,应考虑XSS(Cross-Site Scripting)和CSRF(Cross-Site Request Forgery)等安全威胁,利用过滤器和验证码等手段防止攻击。 七、日志与审计 良好的日志记录和审计功能可以帮助追踪异常行为,及时发现...

    Web网上购物系统

    此外,还可能应用CSRF(Cross-Site Request Forgery)防护、XSS(Cross-Site Scripting)过滤等安全措施。 7. **会话管理**:用户登录后,系统会使用session技术来跟踪用户状态,比如购物车中的商品。session存储在...

    DWR(中文和英文版两份)

    5. **Security**:DWR通过一系列安全机制确保通信的安全性,如CSRF(Cross-site Request Forgery)防护,以及可配置的白名单和黑名单策略。 6. **Batching**:DWR支持批量调用,可以将多个远程方法调用打包成一个...

    基于j2ee的网上在线银行

    4. **CSRF(Cross-Site Request Forgery)防护**:防止恶意攻击者伪造用户请求执行非授权操作。 5. **XSS(Cross-Site Scripting)防护**:防止攻击者注入恶意脚本,窃取用户信息或破坏系统。 **设计模式与架构** ...

    pandas-1.3.5-cp37-cp37m-macosx_10_9_x86_64.zip

    pandas whl安装包,对应各个python版本和系统(具体看资源名字),找准自己对应的下载即可! 下载后解压出来是已.whl为后缀的安装包,进入终端,直接pip install pandas-xxx.whl即可,非常方便。 再也不用担心pip联网下载网络超时,各种安装不成功的问题。

    基于java的大学生兼职信息系统答辩PPT.pptx

    基于java的大学生兼职信息系统答辩PPT.pptx

    基于java的乐校园二手书交易管理系统答辩PPT.pptx

    基于java的乐校园二手书交易管理系统答辩PPT.pptx

    tornado-6.4-cp38-abi3-musllinux_1_1_i686.whl

    tornado-6.4-cp38-abi3-musllinux_1_1_i686.whl

    Android Studio Ladybug(android-studio-2024.2.1.10-mac.zip.002)

    Android Studio Ladybug 2024.2.1(android-studio-2024.2.1.10-mac.dmg)适用于macOS Intel系统,文件使用360压缩软件分割成两个压缩包,必须一起下载使用: part1: https://download.csdn.net/download/weixin_43800734/89954174 part2: https://download.csdn.net/download/weixin_43800734/89954175

    基于ssm框架+mysql+jsp实现的监考安排与查询系统

    有学生和教师两种角色 登录和注册模块 考场信息模块 考试信息模块 点我收藏 功能 监考安排模块 考场类型模块 系统公告模块 个人中心模块: 1、修改个人信息,可以上传图片 2、我的收藏列表 账号管理模块 服务模块 eclipse或者idea 均可以运行 jdk1.8 apache-maven-3.6 mysql5.7及以上 tomcat 8.0及以上版本

    tornado-6.1b2-cp38-cp38-macosx_10_9_x86_64.whl

    tornado-6.1b2-cp38-cp38-macosx_10_9_x86_64.whl

    Android Studio Ladybug(android-studio-2024.2.1.10-mac.zip.001)

    Android Studio Ladybug 2024.2.1(android-studio-2024.2.1.10-mac.dmg)适用于macOS Intel系统,文件使用360压缩软件分割成两个压缩包,必须一起下载使用: part1: https://download.csdn.net/download/weixin_43800734/89954174 part2: https://download.csdn.net/download/weixin_43800734/89954175

    基于MATLAB车牌识别代码实现代码【含界面GUI】.zip

    matlab

    基于java的毕业生就业信息管理系统答辩PPT.pptx

    基于java的毕业生就业信息管理系统答辩PPT.pptx

    基于Web的毕业设计选题系统的设计与实现(springboot+vue+mysql+说明文档).zip

    随着高等教育的普及和毕业设计的日益重要,为了方便教师、学生和管理员进行毕业设计的选题和管理,我们开发了这款基于Web的毕业设计选题系统。 该系统主要包括教师管理、院系管理、学生管理等多个模块。在教师管理模块中,管理员可以新增、删除教师信息,并查看教师的详细资料,方便进行教师资源的分配和管理。院系管理模块则允许管理员对各个院系的信息进行管理和维护,确保信息的准确性和完整性。 学生管理模块是系统的核心之一,它提供了学生选题、任务书管理、开题报告管理、开题成绩管理等功能。学生可以在此模块中进行毕业设计的选题,并上传任务书和开题报告,管理员和教师则可以对学生的报告进行审阅和评分。 此外,系统还具备课题分类管理和课题信息管理功能,方便对毕业设计课题进行分类和归档,提高管理效率。在线留言功能则为学生、教师和管理员提供了一个交流互动的平台,可以就毕业设计相关问题进行讨论和解答。 整个系统设计简洁明了,操作便捷,大大提高了毕业设计的选题和管理效率,为高等教育的发展做出了积极贡献。

    机器学习(预测模型):2000年至2015年期间193个国家的预期寿命和相关健康因素的数据

    这个数据集来自世界卫生组织(WHO),包含了2000年至2015年期间193个国家的预期寿命和相关健康因素的数据。它提供了一个全面的视角,用于分析影响全球人口预期寿命的多种因素。数据集涵盖了从婴儿死亡率、GDP、BMI到免疫接种覆盖率等多个维度,为研究者提供了丰富的信息来探索和预测预期寿命。 该数据集的特点在于其跨国家的比较性,使得研究者能够识别出不同国家之间预期寿命的差异,并分析这些差异背后的原因。数据集包含22个特征列和2938行数据,涉及的变量被分为几个大类:免疫相关因素、死亡因素、经济因素和社会因素。这些数据不仅有助于了解全球健康趋势,还可以辅助制定公共卫生政策和社会福利计划。 数据集的处理包括对缺失值的处理、数据类型转换以及去重等步骤,以确保数据的准确性和可靠性。研究者可以使用这个数据集来探索如教育、健康习惯、生活方式等因素如何影响人们的寿命,以及不同国家的经济发展水平如何与预期寿命相关联。此外,数据集还可以用于预测模型的构建,通过回归分析等统计方法来预测预期寿命。 总的来说,这个数据集是研究全球健康和预期寿命变化的宝贵资源,它不仅提供了历史数据,还为未来的研究和政策制

    基于微信小程序的高校毕业论文管理系统小程序答辩PPT.pptx

    基于微信小程序的高校毕业论文管理系统小程序答辩PPT.pptx

    基于java的超市 Pos 收银管理系统答辩PPT.pptx

    基于java的超市 Pos 收银管理系统答辩PPT.pptx

    基于java的网上报名系统答辩PPT.pptx

    基于java的网上报名系统答辩PPT.pptx

    基于java的网上书城答辩PPT.pptx

    基于java的网上书城答辩PPT.pptx

Global site tag (gtag.js) - Google Analytics