如何防止遺留Java應用程序中的CSRF攻擊?
[英]How to prevent CSRF attack in a legacy Java application?
問題描述
我正在研究12歲以上的Java Web應用程序。 它遵循客戶的獨特框架,而不是任何行業標准框架! 最近,為該應用程序生成了一個Appscan報告,根據該報告,該應用程序存在非常嚴重的安全問題,如容易出現CSRF,SQL注入等。
現在,我必須完全使用Java來實現某些功能,而無需使用任何框架,並且擺脫這種CSRF攻擊。 我做了一些谷歌,才知道我們必須在URL中添加一個臨時令牌,然后對其進行驗證。 這是唯一的方法。 我找不到很多實用的解決方案。
是否有處理這種情況的經驗? 請幫我!
1 個解決方案
解決方案1
1 已采納 2014-11-11 09:33:46
防止CSRF攻擊的最佳方法是向服務器提供的每個響應中添加隨機生成的令牌。 然后在服務器收到的下一個請求中檢索並檢查令牌。如果令牌不匹配,則可能存在CSRF攻擊。
由於使用的是servlet,因此可以使用servlet篩選器來實現此功能。可以在doFilter(ServletRequest request, ServletResponse response)方法中編寫CSRF令牌檢查功能。
通常,使用諸如Spring Security之類的安全框架可以解決與CSRF攻擊相關的威脅。
在Java Web應用程序中防止SQL注入攻擊和XSS的方法
[英]Ways to prevent SQL Injection Attack & XSS in Java Web Application
如何防止 Java 中 BufferedReader readLine() 方法的 Dos 攻擊?
[英]How to Prevent Dos attack for BufferedReader readLine() method in Java?
如何過濾輸入文本中的特殊字符以防止Java中的XSS攻擊?
[英]How to filter special characters in input text to prevent XSS attack in java?
如何在Java SSLEngine中設置自定義DH組以防止Logjam攻擊?
[英]How to set custom DH group in Java SSLEngine to prevent Logjam attack?
Android php 插入記錄防止多次提交中的 DOS 攻擊和 csrf 攻擊
[英]Android php insert record prevent DOS attack and csrf attack in multiple submit
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.