文档章节

CSRF漏洞之验证referer

燃點
 燃點
发布于 2015/10/12 14:26
字数 81
阅读 3.9K
收藏 1

钉钉、微博极速扩容黑科技,点击观看阿里云弹性计算年度发布会!>>>

public class CSRFUtil {
    public static boolean validCsrfAddress(String local,String referer) {
        String[] whiteList = { local, "xx.com"};
        if (org.apache.commons.lang3.StringUtils.isEmpty(referer)) {
            return false;
        }
        if (org.apache.commons.lang3.StringUtils.isEmpty(local)) {
            return false;
        }
        if (referer.contains("?")) {
            referer = referer.substring(0, referer.indexOf("?"));
        }
        URI referUri = null;
        try {
            referUri = new URI(referer);
        } catch (URISyntaxException e) {
            return false;
        }
        String domain = referUri.getHost().toLowerCase();

        for (int i = 0; i < whiteList.length; i++) {
            if (whiteList[i].toLowerCase().equals(domain)) {
                return true;
            }
        }
        return false;
    }
}


燃點
粉丝 16
博文 9
码字总数 7933
作品 0
海淀
私信 提问
加载中
请先登录后再评论。
从Java的角度修复CSRF漏洞

      漏洞挖掘中,说实话挖过最多的漏洞就属CSRF漏洞了,提交CSRF漏洞很多次,绕过CSRF防御进行攻击也有很多次。CSRF漏洞是一个很容易引发的问题,今天我从Java的角度来说下这个安全漏...

osc_wtsf7p2s
2018/05/22
7
0
CSRF漏洞

CSRF漏洞原理: CSRF是跨站请求伪造,不攻击网站服务器,而是冒充用户在站内的正常操作。通常由于服务端没有对请求头做严格过滤引起的。CSRF会造成密码重置,用户伪造等问题,可能引发严重后...

osc_sw4wag84
2019/10/30
1
0
CSRF攻击【转载】

)跨站请求伪造,攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,通过伪装来自守信用户的请求来利用,攻击者盗用了...

osc_bwyiczki
2018/03/24
0
0
关于CSRF攻击详解

CSRF的原理以及防范 CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对...

osc_xbbkgf7t
2019/04/18
2
0
防csrf详解

CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求...

osc_73m98sy1
2018/09/01
1
0

没有更多内容

加载失败,请刷新页面

加载更多

SpringCloud 应用在 Kubernetes 上的最佳实践 — 开发篇

作者 | 孤弋 阿里云高级技术专家,负责 EDAS 的开发和用户体验优化工作。 前言 近年来,云原生、Kubernetes、微服务、SpringCloud 这些名词在技术圈内不绝于耳,数据显示,使用 SpringCloud ...

阿里云技术博客
26分钟前
0
0
如何能够高效率学习Web前端技术

  Web前端开发作为前端技术的重要组成,一直占据着重要的地位,整个IT行业内有大量的前端开发从业者,随着移动互联网、大数据和人工智能的发展,目前前端的知识体系也在逐渐丰富。   要想...

SXXpenguin
26分钟前
0
0
Spring Boot 2.3.0正式发布:优雅停机、配置文件位置通配符新特性一览

当大潮退去,才知道谁在裸泳。。关注公众号【BAT的乌托邦】开启专栏式学习,拒绝浅尝辄止。本文 https://www.yourbatman.cn 已收录,里面一并有Spring技术栈、MyBatis、中间件等小而美的专栏...

osc_odp8kgup
27分钟前
0
0
HttpMessageConverter是这样转换数据的

Java Web 人员经常要设计 RESTful API(如何设计好的RESTful API),通过 json 数据进行交互。那么前端传入的 json 数据如何被解析成 Java 对象作为 API入参,API 返回结果又如何将 Java 对象...

tan日拱一兵
2019/05/27
7
0
angular浏览器兼容性问题解决方案

问题:edge浏览器下,固定列的边框消失 原因:ng-zorro-antd表格组件使用nzLeft和nzRight指令固定的表格列,这两个指令的实现css3中的标签: position: -webkit-sticky !important;positio...

osc_elbmybcg
28分钟前
10
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部