2. 程式人生 > >Spring MVC中防止csrf攻擊的攔截器示例

Spring MVC中防止csrf攻擊的攔截器示例

阿新 發佈:2019-01-09 
package com.hikvision.cms.pms.base;

import java.util.HashSet;
import java.util.Set;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang.StringUtils;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import
 
 com.hikvision.cms.pms.common.log.PmsLogRecord;
import com.hikvision.cms.pms.common.util.SysConfigUtil;

/**
 * @description 攔截csrf攻擊
 * @date 2017年1月18日上午11:47:46
 * @version 
 */
public class CsrfInterceptor extends HandlerInterceptorAdapter {
    private static final String URL_PROTO_HTTP="http://";
    private
 
 static final String URL_PROTO_HTTPS="https://";
    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {
        String referer = request.getHeader("Referer");
        String port = "-1";
        if(StringUtils.isNotBlank(referer)){
            if
 
(referer.startsWith(URL_PROTO_HTTP)){                 
                referer = referer.replace(URL_PROTO_HTTP, "");
            }else if(referer.startsWith(URL_PROTO_HTTPS)){ 
                referer = referer.replace(URL_PROTO_HTTPS, "");
            }
            int i = referer.indexOf("/");
            if(i > 0){
                referer = referer.substring(0,i);
                if(referer.indexOf(":") > 0){ //referer 10.20.147.80:7888 -> 10.20.147.80只驗證ip
                    port = referer.split(":")[1];
                    referer= referer.substring(0, referer.indexOf(":"));
                }
                PmsLogRecord.logDebug("pmsCsrfInterceptor referer:{}",referer);
            }
            if(!getPlatDomains().contains(referer)){ //不同域請求 視為非法 
                if(!SysConfigUtil.PMS_PORT.equals(port)){
                    throw new Exception("非法請求,請求源不正確"); 
                }
            }
        }
        return true;
    }

    private Set<String> getPlatDomains() {
        Set<String> domains = new HashSet<String>();
        //add apache代理地址 
        String cmsIp = SysConfigUtil.BYTERRIVER_IP;
        if(StringUtils.isNotBlank(cmsIp)){
            domains.add(cmsIp);
        }
        //多網域未考慮
        //add 服務節點自身 ip或者域名地址
        return domains;
    }

}

springmvc-servlet.xml中的配置如下:
<mvc:interceptors>
   <bean class="com.hikvision.cms.pms.base.CsrfInterceptor" />
</mvc:interceptors>

相關推薦

Spring MVC防止csrf攻擊攔截示例

package com.hikvision.cms.pms.base; import java.util.HashSet; import java.util.Set; import javax.servlet.http.HttpServletRequest;

Asp.net MVC 如何防止CSRF攻擊

什麼是CSRF攻擊? CSRF(Cross-site request forgery跨站請求偽造,也被稱成為“one click attack”或者session riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。儘管聽起來像跨站指令碼(XSS),但

spring mvc攔截配置mvc:interceptors

ria letter lec 成了 -a font 進行 匹配 eight 其實在mvc:interceptors標簽中,有兩種類型的配置,一種直接配置一個bean(bean和ref歸為一類),另一種還要配置上攔截的路徑和排除的路徑。直接配置的bean那就代表對所有的請求進

Spring MVC 整合攔截Interceptor

目錄 Interceptor 簡介 Interceptor 實現方法 HandlerInterceptor 介面 HandlerInterceptor 介面 AsyncHandlerInterceptor 介面 HandlerInterceptorAdapter 

Spring MVC攔截/過濾器HandlerInterceptorAdapter的使用

一般情況下,對來自瀏覽器的請求的攔截,是利用Filter實現的 而在Spring中,基於Filter這種方式可以實現Bean預處理、後處理。 比如注入FilterRegistrationBean,然後在這個Bean上傳遞自己繼承Filter實現的自定義Filter進入即可。 而Spr

架構---Spring-Mvc的監聽器-攔截-過濾器

Spring-Mvc框架中的攔截器和過濾器 一.知識背景介紹  首先我們要知道該部落格的監聽器和攔截器和過濾器概念以及例項是建立在SSM框架之上的,對於SSM框架內部執行原理不懂的大家可以去參考我的另一篇部落格:    spring架構---spring-M

Spring MVC 攔截”處理模型資料 (二) @ModelAttribute

在這裡強烈建議看看我之前寫的幾篇關於SpringMVC的部落格,都是串通的。 @ModelAttribute這個是SpringMVC中處理模型資料的最難也是最重要的點。相當於以前Struct的攔截器。

通過攔截Interceptor實現Spring MVCController介面訪問資訊的記錄

java web工程專案使用了Spring+Spring MVC+Hibernate的結構,在Controller中的方法都是用於處理前端的訪問資訊,Controller通過呼叫Service進行業務處理後給前端返回ModelAndView物件或者只返回Json格式資料。如

Spring mvc攔截Interceptor

1 功能 Java 裡的攔截器是動態攔截 action 呼叫的物件。它提供了一種機制可以使開發者可以定義在一個 action 執行的前後執行的程式碼,也可以在一個 action 執行前阻止其執行,同時也提供了一種可以提取 action 中可重用部分的方式。在AOP(Aspe

Spring MVC前端控制器攔截問題

AS ont servle style map ram 所有 問題 name <!-- 前端控制器 --> <servlet> <servlet-name>ssm</servlet-name>

MVC防止CSRF攻擊

防範 bmi date tex 阻止 出現 人做 簡單 image 可能我們大多數人做web的時候不會太註意這個問題,但是這是一個很重要的一個點。我們寫代碼寫業務的時候也應該從各方面多思考。 首先就是先簡單介紹下什麽是CSRF CSRF 全程是 Cross-site r

在struts2配置自定義攔截放行多個方法

return med ttr limit ring req tac cat invoke 源碼: 自定義的攔截器類: //自定義攔截器類:LoginInterceptor ; package com.java.action.interceptor; import j

跨域post 及 使用token防止csrf 攻擊

發生 guid form eba 代碼 host fault 而不是 發送郵件 環境: 後臺使用的python - flask 前臺使用angular框架 1.一個跨域post的樣例: 跨域post有多種實現方式:

spring mvc關於url傳遞中文亂碼的解決方法

般的 har rac color nco bytes utf8 int span 在傳值過程中,也是亂碼出現的頻繁地。先不說到底是什麽場景了,通常常用的方案有如下幾個 配置指定的filter <!-- 配置請求過濾器,編碼格式設為UTF-8,避免中文亂碼-->

spring mvc,如何在 Java 代碼裏,獲取 國際化 內容

source 所在 bundle 註入 pre 定義 pan col void 首先,在Spring的application.xml中定義 <bean id="messageSource" class="org.springframework.context.su

Spring MVC HandlerInterceptorAdapter的使用

date oar option 不定 list 異常 attribute std view 一般情況下,對來自瀏覽器的請求的攔截,是利用Filter實現的,這種方式可以實現Bean預處理、後處理。 Spring MVC的攔截器不僅可實現Filter的所有功能,還可以更精確的

Spring MVC 使用 Google kaptcha 驗證碼

實用 pri 集成 auto req post bsp produce target 驗證碼是抵抗批量操作和惡意登錄最有效的方式之一。 驗證碼從產生到現在已經衍生出了很多分支、方式。google kaptcha 是一個非常實用的驗證碼生成類庫。 通過靈

Spring MVC傳遞json數據時顯示415錯誤解決方法

ping 數據 value 解決方法 傳遞 ica ons pub eth 在ajax中設置 ContentType為‘application/json;charset=utf-8‘ 傳遞的data類型必須是json字符串類型:{“key”:"va

spring mvc的@PathVariable

user test png exp title 技術分享 方便 image method spring mvc中的@PathVariable是用來獲得請求url中的動態參數的,十分方便,復習下: Java代碼 @Controller public

Spring MVC 的基於註解的 Controller(轉載)

med beans 沒有 對象引用 諸多 請求 icon .so 它的 終於來到了基於註解的 Spring MVC 了。之前我們所講到的 handler,需要根據 url 並通過 HandlerMapping 來映射出相應的 handler 並調用相應的