校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器

  1. public final static String domainName = "192.168.2.123";  

 

 

Java代码  收藏代码
  1. package com.web.interceptors;  
  2.   
  3. import org.apache.log4j.Logger;  
  4. import org.apache.struts2.ServletActionContext;  
  5.   
  6. import com.opensymphony.xwork2.ActionInvocation;  
  7. import com.opensymphony.xwork2.interceptor.AbstractInterceptor;  
  8. import com.trace.web.utils.Constants;  
  9.   
  10. /** 
  11.  * 对管理员操作,校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器 
  12.  * @author admin 
  13.  */  
  14. public class AuthInterceptor extends AbstractInterceptor {  
  15.   
  16.     private static final long serialVersionUID = -2154056039548254482L;  
  17.       
  18.     private static Logger log = Logger.getLogger(AuthInterceptor.class);  
  19.   
  20.     @Override  
  21.     public String intercept(ActionInvocation invocation) throws Exception {  
  22.         String referer = ServletActionContext.getRequest().getHeader("Referer");  
  23.         if((referer!=null) && (referer.trim().startsWith(Constants.HTTP + Constants.domainName))){  
  24.             return invocation.invoke();  
  25.         }  
  26.         log.info("referer : " + referer);  
  27.         return "error";  
  28.     }  

 CSRF攻击原理比较简单,其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。

1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;

2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;

3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;

4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;

5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行

 

posted @ 2017-10-19 13:44  小七永远爱地瓜。  阅读(1268)  评论(0编辑  收藏  举报