使用令牌token,来避免跨站请求伪造(CSRF)攻击

最新推荐文章于 2025-03-26 19:24:52 发布
原创 最新推荐文章于 2025-03-26 19:24:52 发布 · 1.3k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#web安全 #token
本文介绍了如何通过生成一次性随机令牌,结合前端和后端的处理,来防止跨站请求伪造(CSRF)攻击。在关键业务操作的web页面,前端生成并提交token,后端保存并验证token,确保请求的合法性。

       在涉及到关键业务操作的web页面,应为当前web页面生成一次性随机令牌,作为主会话标识的补充。在执行关键业务前,应确保用户提交的一次性随机令牌与服务器端保存的一次性随机令牌匹配,以避免跨站请求伪造(CSRF)等攻击。

       1、在公共JS中定义一个function 用来生成token ,然后将生成的token赋值给JSP里的隐藏域<input id="tokenValue" type="hidden"/>

前端jsp:

<html>
<body style="background-color:#f8f8f8">
	<div class="content">
                <!-- 页面存储的token值 -->
		<input id="tokenValue" type="hidden"/>
	</div>
</body>

<script type="text/javascript">
	$(document).ready(function(){
		  //生成token
		  makeToken();
	  });

	var dom='{"login_type":"01","oldpwd":"'+oldpwd+'",newpwd:"'+newpwd+'",name:"'+name+'",id_nbr:"'+id_nbr+'",token:"'+token+'"}';
	$.ajax({
		url : baseUrl+"/user/changePassword",
		data:"dom="+dom,
		cache : false, 
		async : true,
		type : "POST",
		dataType : 'json',
		success : function (xmlRes){
			var item = xmlRes.return_info;
			if(item.retcode!="0"){
                                // 重新生成token
				makeToken();
				var er_msg = item.message; 
				return  alert(er_msg);
			} 
		}
	});
</script>
</html>

 

 

公共js:

//生成token
function makeToken(){
	var dom = '{"login_type":"01"}';
	$.ajax({
		url : baseUrl+"/common/makeToken",
        data:"dom="+dom,
        cache : false,
        async : true,
        type : "POST",
        dataType : 'json',
        success : function (jsonRes){
        	$("#tokenValue").val(jsonRes.token);
        }
	});
}

      2、在后台Action 中定义一个方法用来产生token,并将token保存到session中,返回token值到前台jsp

 

后台CommonAction:

/**
 * 生成token
 * 
 * @return
 */
public String makeToken() {
	TokenProcessor tokenProcessor = TokenProcessor.getInstance();
	String token = tokenProcessor.generateToken();
	// 将生成的token值放到session中
	session.put(TokenProcessor.TOKEN_INFO, token);
	responseData.put("token", token);
	return SUCCESS;
}

 

token处理类:

package com.waukeen.util;

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Random;

/**
 * 令牌处理类
 * 
 * @author
 *
 */
public class TokenProcessor {

	private TokenProcessor() {
	}

	/**
	 * 存储在session中token的key
	 */
	public static final String TOKEN_INFO = "token_info";

	private static final TokenProcessor instance = new TokenProcessor();

	public static TokenProcessor getInstance() {
		return instance;
	}

	/**
	 * 生成token
	 * 
	 * @return
	 */
	public String generateToken() {
		try {
			String token = System.currentTimeMillis() + new Random().nextInt(99999999) + "";
			MessageDigest md = MessageDigest.getInstance("MD5");
			md.update(token.getBytes());
			return toHex(md.digest());
		} catch (NoSuchAlgorithmException e) {
			e.printStackTrace();
		}
		return "";
	}

	private String toHex(byte buffer[]) {
		StringBuffer sb = new StringBuffer(buffer.length * 2);
		for (int i = 0; i < buffer.length; i++) {
			sb.append(Character.forDigit((buffer[i] & 240) >> 4, 16));
			sb.append(Character.forDigit(buffer[i] & 15, 16));
		}
		return sb.toString();
	}

}

 

 

       3、前台jsp提交请求到后台,将token值传到后台,与session中的token值比对,如果一致,继续处理,如果不一致,提示“非法的请求!”

 UserAction:

/**
 * 需要验证token的业务请求(如:修改密码)
 */
public String changePassword(){
	// 取得前端页面传过来的token值
	String token = requestData.containsKey("token") ? (String) requestData.get("token") : "";
	String tokenInfo = (String) session.get(TokenProcessor.TOKEN_INFO);
        session.remove(TokenProcessor.TOKEN_INFO);
	// 将前端的token值与session中的token值比对,如果一致,继续处理,如果不一致,提示“非法的请求!”
	if (!token.equals(tokenInfo)) {
		returnInfo.setRetcode("1");
		returnInfo.setMessage("非法的请求!");
		return SUCCESS;
	}
}

 

 

 

 

yiyun88
关注
CSRF跨站请求伪造介绍和防御方法
投资自己
05-26 4931
一、CSRF介绍CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF攻击与防御,web安全的第一防线。攻击流程:                用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网...
如何防止token伪造、篡改、窃取
m0_69057918的博客
07-05 9152
防止token伪造、篡改、窃取的解决方案
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 1万+
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
在页面中添加Token防止越权访问
沉下心来,戒骄戒躁
04-08 1万+
源码很简单。 1、首先是在访问JSP的时候生成一个随机数,放入session中。同时会在服务器缓存一份Token。 2、当form到后台后,调用工具类验证Token。会在TokenList中验证是有该Token值,如果有则验证通过,同时删除List中的Token
业务系统安全等级定级DEMO
m0_57116165的博客
04-28 2140
等保,安全,第三方测评,监理等
前端安全系列之二:如何防止CSRF攻击
qkh1234567的博客
05-15 1689
CSRF(Cross-site request forgery)跨站请求伪造攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。
csrf与xss攻击的详解与区别
wuhuagu_wuhuaguo的博客
02-02 2万+
一、csrf攻击 1.CSRF的基本概念、缩写、全称:CSRF(Cross-site request forgery)跨站请求伪造。 2.CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件:(1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的...
Web安全基础学习:CSRF跨站请求伪造漏洞
qq_51862722的博客
06-21 1171
跨站请求伪造漏洞:也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
跨站请求伪造CSRF攻击及其防御措施
最新发布
A_991128a的博客
03-26 660
跨站请求伪造CSRF)是一种严重的安全漏洞,会危及网络应用。它诱使用户执行他们并不打算执行的操作,从而导致网站上出现未经授权的操作。
java 防止表单重复提交(使用Session)
zlsdmx的博客
01-17 518
防止表单重复提交的处理步骤: 1、在跳转到表单之前生成一个不易重复的字符串Token,放入到session中,再跳转到表单页面 2、在form表单中,使用隐藏域 获取后台生成的Token,在提交表单时一起提交到后台 3、后台接收表单时接受token, 写一个isRepeatSubmit来判断: 如果tokenToken相同,说明是一次正常的提交,处理表单提交的内容;
生成一次性令牌,完美防止token被窃取、伪造
weixin_42335629的博客
07-23 1405
注意,这里我只说明思路,不展示具体代码。
安全标准
金溪的博客
07-26 1022
安全方针 事前预防,事后追查。 总体原则 分级保护,适度安全。 防范外部,同时也规范内部人员。 三分技术,七分管理。 整体规划,分步实施。 系统建设管理安全架构安全特性 (1)安全存储。支持数据加密与完整性校验。 (2)安全传输。数据加密与完整性校验。 (3)安全隔离。如实例隔离、进程隔离。 (4)日志记录。记录组件功能调用与访问详细行为。 设计原则 (1)关键业务原则。针对关键业务采
跨站请求伪造CSRF攻击原理及预防手段
慢慢
06-02 6542
随机化TokenCSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 4万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造攻击者盗用你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
跨站请求伪造解决方案
NumOneDD的博客
06-30 1万+
AppScan 跨站请求伪造 Token 近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。 1.跨站请求伪造 首先,什么是跨站请求伪造? 跨站请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。 说的白话一点就是,别的站点伪造你的请求,最可怕
web安全CSRF跨站请求伪造---node.js(九)
henu_GM的博客
09-08 1072
CSRF跨站请求伪造 CSRF意为跨站请求伪造。 指攻击者盗用了你的身份,以你的名义发送恶意请求。 比如:盗用你的身份购买商品,虚拟货币转账。 那么怎么解决这种漏洞呢? CSRF防护 思路: 1、在请求转账的时候,服务器响应转账页面,在cookie中设置一个csrf_token值(随机48位字符串) 2、客户端在进行post请求的时候,在请求头中带上自定义的属性'X-CSRFToken',值为cookie中的csrf_tok...
CSRF攻击与防御
我的知识库
05-07 267
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,...
javascript 解析 token防止篡改。
lxhzz0411的博客
09-06 4892
在前端登录后,需要后端传一些用户信息到前端,此时就要考虑数据的安全性,特别是对于需要登录才能访问的页面,就更需要验证token的真伪性了,以防一些不法之人篡改token中的信息。  点击wiki,     以上操作完,就成功匹配token,如果token匹配成功,result 为 true; ...
怎么防止跨站请求伪造攻击CSRF
A_991128a的博客
02-17 669
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。​ 无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1922
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值