整理关于web项目如何防止CSRF和XSS攻击的方法

整理关于web项目如何防止CSRF和XSS攻击的方法

1 了解CSRF的定义

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,并将此链接作为图片src。如果Bob的银行在cookie中保存他的授权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了这次事务。

2 在项目中如何解决csrf的攻击

我们以用户登录这段代码来举例说明:

2.1 首先项目里面引入CSRFTokenManager.java,这个里面主要是产生一个csrftoken session的代码。

整理关于web项目如何防止CSRF和XSS攻击的方法

2.2 在用户进入项目,还没有跳转到登录页面之前,我们通过CSRFTokenManager代码产生一个token,然后把它传入登录页面,给它定义成csrf。

整理关于web项目如何防止CSRF和XSS攻击的方法

2.3 在登录页面里面,通过隐藏域来获取刚刚传入的csrf,这样当用户提交form表单的时候,这里的csrf就会一起被提交到后台的代码。

整理关于web项目如何防止CSRF和XSS攻击的方法

2.4 在后台代码里面,我们通过页面传入的token和已经产生的token session进行对比,如果两个相同,那么这些操作就认为是用户自己在操作,如果页面传入的和产生的token不相同那么这就是其他人员通过模拟用户进行了这样的操作,那么我们就要对它进行处理,让它跳转到登录页面。

整理关于web项目如何防止CSRF和XSS攻击的方法

3 了解XSS的定义

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。

4 在项目中如何解决XSS的攻击

4.1 首先项目导入XSSStringEncoder.java,这个里面主要就是把传入字符串的特殊字符进行html转码,例如> < ) ( ” ‘ % ; & +,这些特殊字符很有可能就是被注入的代码。

整理关于web项目如何防止CSRF和XSS攻击的方法

4.2 对每一个代码传入的字符串调用这里面的encodeXSSString进行转码,然后把转码后的字符串返回回来

整理关于web项目如何防止CSRF和XSS攻击的方法
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/113685.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • dom4j java对象_dom4j解析XML成对象

    dom4j java对象_dom4j解析XML成对象最近不太忙,发现现在服务之间的交互都是通过xml进行的,所以今天理了一下xml的两种解析方式。首先是最流行的dom4j解析。先解析,然后通过反射转成对象。用到的jar:dom4j-1.6.1.jarjaxen-1.1.1.jar1.xml字符串转成对象:class=”java”name=”code”>/***解析XMl字符串数据,转化成对象,并返回*@paramxmlxml字符串…

  • 归一化函数normalize详解_求归一化常数A

    归一化函数normalize详解_求归一化常数A1.归一化归一化就是要把需要处理的数据经过处理后(通过某种算法)限制在你需要的一定范围内。首先归一化是为了后面数据处理的方便,其次是保证程序运行时收敛加快。归一化的具体作用是归纳统一样本的统计分布性。归一化在0-1之间是统计的概率分布,归一化在某个区间上是统计的坐标分布。归一化有同一、统一和合一的意思。归一化的目的,是使得没有可比性的数据变得具有可比性,同时又保持相比较的两个数据之间的相对关系,……

    2022年10月11日
  • 51单片机按键控制步进电机加减速及正反转

    51单片机按键控制步进电机加减速及正反转之前尝试用单片机控制42步进电机正反转,电机连接导轨实现滑台前进后退,在这里分享一下测试程序及接线图,程序部分参考网上找到的,已经实际测试过,可以实现控制功能。所用硬件:步进电机及驱动器、STC89C52单片机、直流电源1、硬件连接图注意:上图为共阳极接法,实际连接参考总体线路连接。 驱动器信号端定义:PUL+:脉冲信号输入正。(C…

  • centos7安装图形界面

    centos7安装图形界面Centos7安装图形界面第一步:确认yum可用1.1判断yum是否可用,输入yumlist如果出现以下信息,则代表不可用。1.2更改配置vi/etc/sysconfig/network-scripts/ifcfg-ens33进入到是这样的更改最后一行的数据1.3重启网络…

  • SpringSecurity(十二)—-基于表达式的访问控制

    SpringSecurity(十二)—-基于表达式的访问控制

    2020年11月12日
  • 【折腾系列—All In One主机】9、关于一些基于PVE虚拟机搭建AIO主机的问题点汇总和分析「建议收藏」

    【Q&A】2020-07-27补充:Q:PROXMOXPVE6.x配置网络参数可以访问外网,及国内源设置教程?A:PROXMOXPVE6.x网络参数配置教程:如何在Linux下配置网络访问外网      PROXMOXPVE6.x设置国内源:【参考1】【参考2】【参考3】Q:在原有板载网卡的基础上扩展了一张PCI-E的Intel82576GB的4口网卡,但是创建多台虚拟机的时候无法进行网卡直通,添加了PCI-E设

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号