2. 程式人生 > >Struts2 過濾CSRF攻擊的一種解決方案

Struts2 過濾CSRF攻擊的一種解決方案

阿新 發佈:2019-01-08

CSRF(Cross-site request forgery跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站?的惡意利用。儘管聽起來像跨站指令碼(XSS),但它與XSS非常不同,並且攻擊方式幾乎相左。XSS利用站點內的信任使用者,而CSRF則通過偽裝來自受信任使用者的請求來利用受信任的網站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防範的資源也相當稀少)和難以防範,所以被認為比XSS更具危險性。

它的防禦方案包括如下四種:

1.檢查http referer是否來自同一個域
2.限制session cookie的生命週期
3.驗證碼
4.使用token

在struts下自帶了許多標籤庫
其中就有 s:token ,這個可以生成一次性token,把這個標籤放在 s:form 裡面可以在提交的時候自動帶上token值;

<s:form action="login.action">
        <s:token name="token"></s:token>
        <s:fielderror name="errorInfo"></s:fielderror>
        <s:textfield name="username" key="user"></s:textfield
 
>
        <s:textfield name="password" key="pass"></s:textfield>
        <s:submit key="login"></s:submit>
    </s:form>

然後在struts.xml的對應的action中引用就好了 

          <param name="excludeMethods">....</param> //這裡可以配置token攔截器的排隊方法

<interceptor-ref name="token"
 
>
param name="excludeMethods">....</param> //這裡可以配置token攔截器的排隊方法
</interceptor-ref>
<result name=“invaild.token">/***.jsp</result>

一般情況下這個攔截器就配置完了
但是這個攔截器會把這個action的post 方法和get方法同時攔截掉。
如果我們只需要攔截post方法的請求應該怎麼處理呢?
在這裡我們自己實現一個攔截器只攔截post方法
實現如下

import java.util.Map;

import javax.servlet.http.HttpServletRequest;

import org.apache.commons.lang3.StringEscapeUtils;
import org.apache.struts2.ServletActionContext;
import org.apache.struts2.interceptor.TokenInterceptor;

import com.opensymphony.xwork2.ActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;

public class CsrfInterceptor extends AbstractInterceptor{

    @Override
    public String intercept(ActionInvocation invocation) throws Exception {
        // TODO Auto-generated method stub
        ActionContext actionContext = invocation.getInvocationContext();
        HttpServletRequest request = (HttpServletRequest)actionContext.get(ServletActionContext.HTTP_REQUEST);  
        if (request.getMethod().equals("GET")) {
            return invocation.invoke();
        }
        String tokenName = request.getParameter("struts.token.name");
        if (tokenName == null) {
            return "invalid.token";
        }
        String token = request.getParameter(tokenName);
        if (token == null) {
            return "invalid.token";
        }
        String correctToken = (String) request.getSession().getAttribute("struts.tokens." + tokenName);
        if (token.equals(correctToken)) {
            actionContext.getSession().put("struts.tokens" + tokenName , null);
            return invocation.invoke();
        }else {
            return "invalid.token";
        }
    }
}

我們可以用配置一般攔截器的方法配置此攔截器,在此不再敘述。
需要注意的一點是,須在struts.xml下 action標籤下配置此項

<result name="invalid.token">jsp/tokenError.jsp</result>

表示token值驗證失敗後的處理情況,具體實現看實際專案的需要

相關推薦

Struts2 過濾CSRF攻擊解決方案

CSRF(Cross-site request forgery跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網

Struts2.3 以及 2.5 過濾 xss攻擊解決方案

Struts 2.3 本方案採用struts2的攔截器過濾,將提交上來的引數轉碼來解決。 配置struts.xml <package name="default" namespace="

React 流程圖的解決方案 GGEditor

要實現型別下圖的需求,所以研究了一些g6 editor   瞭解連結:https://antvis.github.io/g6/api/graph.html g6文件 https://www.yuque.com/antv/g6/api-graph g6 https://

微服務架構是解決方案

企業應用架構演變: 單機程式->c/s->b/s->面向服務架構(SOA)->微服務架構 加粗的是單體程式 微服務架構   細粒度SOA,是強調小型短暫元件的SOA,小即是美   重點是服務,如何進行服務之間解耦   每個服務元件都可以獨立開發、構建、測試、部署   自包含

華為ENSP中AR啟動失敗錯誤程式碼40,42,43,及啟動後一直#的問題的解決方案

系統是64位win10安裝ensp510時不斷40.42.43的錯且在不報錯時開啟ar時一直輸出#  查閱網上各種方法 一 一嘗試後發現, 我的問題是虛擬機器不是最新版本,且虛擬機器中沒有配置網絡卡,檢視是否有網絡卡配置,在virtualbox中點選左上角的管理,選擇全域性設定,然後在

關於quartz定時任務實現Job介面無法註解為spring bean 的解決方案

  通常情況下,我們使用quartz之後,定時任務實現Job介面,並重寫execute()方法: public class QuartzJob1 implements Job { /** * quartz回撥此介面,此介面中為定時任務具體執行內容 *

內外網分離後如何保證檔案安全交換?介紹解決方案

近年來全球網路安全威脅態勢的加速嚴峻,使得企業對於網路安全有了前所未有的關注高度。 在嚴峻的安全態勢之下,企業的網路安全體系建設正從“以合規為導向”轉變到“以風險為導向”,從原來的“保護安全邊界”轉換到“保護核心資料資產”的思路上來。 絕大多數企業都在內部實施了內外網分離,網際網路與內網隔離,生產網與辦公

[JAVA IDEA]在使用maven專案中,無法讀取resources資料夾中的配置檔案的解決方案

1、在通過配置檔案來連線資料庫時,在resouces檔案中放入了db.properties配置檔案,但無法正常讀取到  讀取配置檔案資訊的程式碼: InputStream input=JdbcUtil.class.getClassLoader().getResourceAsStream("db.prope

跨域請求的解決方案

<!doctype html> <html> <head> <meta charset="utf-8"> <title>無標題文件</title> </head> <script src="http://libs.

關於win8下pip安裝mysql找不到config-win.h檔案的解決方案

關於win8下 pip安裝mysql報錯_mysql.c(42) : fatal error C1083: Cannot open include file: ‘config-win.h’: No such file or director的一種解決方案

關於IE7 IE8相容HTML5和CSS3的解決方案

 今天突然發現一網站用JS來實現這個支援 新增到head裡 <!--[if IE 7]> <script type='text/javascript' src='js/excanvas.js'></script> <link rel

完全跨域下單點登入的解決方案

  根據oums單點登入解決方案介紹 一文我們知道單點登入有兩種模型,一種是共同父域下的單點登入(例如域名都是 xx.a.com),還有就是完全跨域下的單點登入(例如域名是xx.a.com,xx.b.com),本文我們講一下完全跨域下的單點登入該怎麼實現。  

SpringBoot WEB-INF目錄下檔案無法訪問解決方案

平時都好用的百度 沒搜尋到直接的解決方案,查閱資料提供一種方案  實驗可行 廢話不多說 上圖專案index.html位置  至於為什麼將資源放在WEB-INF目錄下  是不是更安全? 如果你怎麼也訪問不到 ,不妨試試我想到的方法 這是我的控制器寫法 直接request物

springMVC之spring容器注入失敗的解決方案

spring-config.xml中存在掃描service類所在的包,而我在初學springMVC時,在web.xml只配置載入了spring-web.xml,因此我在controller層呼叫service類中的方法時,就會出現以上問題。web.xml的部分程式碼<servlet> <se

eclipse cleanup svn時卡死或者失敗的解決方案

經常遇到一種情況,在進行pull或者push時,svn報錯,提示你應該cleanup一下,但當你cleanup時,要麼就卡死,要麼就報錯,說是在cleanup過程中需要等待其他操作。這種情況可能是由於,以前的某次SVN操作在沒有執行完就被強行終止了,導致svn會根據記錄的操

react-cropper 圖片選中某區域的解決方案

react-cropper 圖片選中某一區域的一種解決方案 npm 上面搜尋會出來兩個版本 react-cropper2 react-cropper 參考連結記錄 github地址 784 star JavaScript image cro

Chrome瀏覽器開啟網頁慢的另解決方案

目錄 前言 經驗總結 前言 折磨了我近一個月的Chrome開啟網頁慢的問題終於在今天告一段落,完結撒花~然後覺得很有必要發一篇文章來指引誤入歧途的後來人~ 網際網路上大部分教程無非都是教你在瀏覽器設定裡取消勾選一些選項,在區域網設定裡取消勾選云云,但還有一種情況

MyBatis模糊查詢不報錯但查不出資料的解決方案

今天在用MyBatis寫一個模糊查詢的時候,程式沒有報錯,但查不出來資料,隨即做了一個測試,部分程式碼如下: @Test public void findByNameTest() throws IOException { String resource = "SqlMa

跨域的另解決方案——CORS(Cross-Origin Resource Sharing)跨域資源共享

      在我們日常的專案開發時使用AJAX,傳統的Ajax請求只能獲取在同一個域名下面的資源,但是HTML5打破了這個限制,允許Ajax發起跨域的請求。瀏覽器是可以發起跨域請求的,比如你可以外鏈一個外域的圖片或者指令碼。但是Javascript指令碼是不能獲取這些資源的內容的,它只能被瀏覽器執行或渲染。主

關於嵌入式ARM開發板聯網的解決方案

最近在學習ARM嵌入式技術,但由於本人計算機沒有串列埠和並口,沒法進行程式的線上除錯,所以一直在考慮建立NFS系統,實現Linux主機和ARM開發板的網路連線。但不知什麼原因,我的開發板怎麼配置IP,配置網路,總是PING不通外面的網路,當然外面也是PING不通開發板。所