Java Web项目编码中的CSRF怎么防护?

CSRF是Cross Site Request Forgery的缩写(也缩写为CSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情。这些事情用户未必知道和愿意做,你可以把它想做HTTP会话劫持。

网站是通过cookie来识别用户的,当用户成功进行身份验证之后浏览器就会得到一个标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问这个网站会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的url,可能就会执行一些用户不想做的功能(比如修改个人资料)。因为这个不是用户真正想发出的请求,这就是所谓的请求伪造,因为这些请求也是可以从第三方网站提交的,所以前缀跨站二字。

举个简单的例子,某个bbs可以贴图,在贴图的URL中写入退出登陆的链接,当用户阅读这个帖子之后就会logout了,因为用户以自己的身份访问了退出登陆链接,在用户看来是帖子里面有一张有问题的“图片”,而不是想要退出,但程序就会认为是用户要求退出登陆而销毁其会话。这就是传说中的CSRF攻击了。

千万别小看CSRF漏洞哦~

那么怎么处理这样的漏洞呢?

Github上给出了我们想要的答案:https://github.com/GDSSecurity/Anti-CSRF-Library

相关推荐:
其实这个问题从jdk9之后开始就会存在,之后的版本将不再提供tools.jar和dt.jar了,也不需要在classpath里面配置这些jar了,那么怎么配是最科学的? 配置可参考这样: JAVA_HOME=jdk安装路径 JRE_HOME=jre安 …
这个问题的主要是因为缺少standard.jar和jstl.jar所致,因此我们添加上这两个依赖即可。 1.添加maven依赖,自动从仓库获取 <dependency> <groupId>javax.servlet</groupId> <artifact …
当往数据库中插入语句时,连接池抛出了“com.mysql.jdbc.MysqlDataTruncation: Data truncation: Data too long for column 'xxx' at row xxx”的异常。 从提示的信息表面上来看,说是什么数据对于列“xxx”过 …
拿起手机扫一扫即可带走我!