栏目:应用服务器(<--点此查看更多)Java 应用服务器,Tomcat|Weblogic|Jboss|WebSphere相关信息
  • Tomcat7 使用随机数去防止跨站请求伪造攻击

  • Tue Jan 08 02:42:11 CST 2013 编程者 我要收藏(...) 评论 ...
  • Wikipedia将跨站请求伪造攻击(Cross Site Request forgery,CSRF)定义为:“一种影响Web应用的恶意攻击。CSRF让用户当进入一个可信任的网页时,被强行执行恶意代码。
  • Wikipedia将跨站请求伪造攻击(Cross Site Request forgery,CSRF)定义为:“一种影响Web应用的恶意攻击。CSRF让用户当进入一个可信任的网页时,被强行执行恶意代码。

    经典的防止CSRF攻击的方法是使用随机数的方式,Wikipedia中定义为“利用随机或伪随机数嵌入到认证协议中,以确保旧的不能在以后的重放攻击中被利用”。

    Tomcat 7中有一个servlet过滤器,用于将随机数存储在用户每次请求处理后的seesion会话中。这个随机数,必须作为每次请求中的一个参数。 Servlet过滤器然后检查在请求中的这个随机数是否与存储在用户session中的随机数是一样的。如果它们是相同的,该请求是判断来自指定的网站。如果它们是不同的,该请求被认为是从其他网站发出并且会被拒绝。每个URL地址中都有一个从用户session中提取的随机数,这种方法的缺点就是所有的链接都必须带上这个随机数,对用户和搜索引擎不友好。

  • 信息来源:http://bianchengzhe.com (举报这篇文章)
  • 好评(...) 中评(...) 差评(...)