背景:
1.csrf知識
CSRF(Cross-site request forgery跨站請求偽造,也被稱為“one click attack”或者session riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。盡管聽起來像跨站腳本(XSS),但它與XSS非常不同,並且攻擊方式幾乎相左。XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防范的資源也相當稀少)和難以防范,所以被認為比XSS更具危險性。
常見的解決方法:
Cookies Hashing:每一個表單請求中都加入隨機的Cookie,由於網站中存在XSS漏洞而被偷竊的危險。
HTTP refer:可以對服務器獲得的請求來路進行欺騙以使得他們看起來合法,這種方法不能夠有效防止攻擊。
驗證碼:用戶提交的每一個表單中使用一個隨機驗證碼,讓用戶在文本框中填寫圖片上的隨機字符串,並且在提交表單后對其進行檢測。
令牌Tocken:一次性令牌在完成他們的工作后將被銷毀,比較安全。
2. 在jsp 表單中產生一個加密隨機數,傳入到serlet中進行驗證。
解決方法如下:
1. 產生隨機數。
<%
SecureRandom random=SecureRandom.getInstance("SHA1PRNG");
long seq=random.nextLong();
String random=""+seq;
session.setAttribute("random_session",random);
%>
2. 使用隱藏域傳遞比較值。
<input type="hidden" name="random_form" value=<%=random%>></input>
3. servlet控制器獲取參數比較。
String random_form=request.getParameter("random_form");
String random_session=(String)request.getSession().getAttribute("random_session");
out.println("random_form:"+random_form);
out.println("random_session:"+random_session);
if(random_form!=null&&random_session!=null&&random_form.equalsIgnoreCase(random_session)){
//business
}
小結:
1. jsp中使用java代碼,使用<%=%>形式,錯誤使用過'${}'.
2. 隱藏區域使用簡化形式<input type="hidden" name="random_form" value=<%=random%>/>將會把/當成字符串解析,而不是結束符。
3. 日志或者打印出random_form、random_session 的值,防止出現無法調試的情況。
4. jsp中規規矩矩的使用session.setAttribute()設值,servlet中使用request.getSession().getAttribute() 取值最保險。
5. 隱藏區一定要位於提交按鈕前面,否則將讀取不到隱藏區的值。
6. 見我的前兩篇文章。
http://www.cnblogs.com/davidwang456/p/3579339.html 使用filter來做
http://www.cnblogs.com/davidwang456/p/3579444.html 使用tag或者spring security包含的東西來做。