CSRF的概念可以参考:http://netsecurity.51cto.com/art/200812/102951.htm

本文介绍的是基于spring拦截器的Spring MVC实现

首先配置拦截器:

<mvc:interceptors>

    <mvc:interceptor>

        <!-- 匹配的是url路径, 如果不配置或/**,将拦截所有的Controller -->

        <mvc:mapping path="/xxx/**" />

        <bean class="com.xxx.SecurityTokenInterceptor"></bean>

    </mvc:interceptor>

    <!-- 当设置多个拦截器时,先按顺序调用preHandle方法,然后逆序调用每个拦截器的postHandle和afterCompletion方法 -->

</mvc:interceptors> 
SecurityTokenInterceptor代码如下
import java.io.IOException;

import java.lang.reflect.Method;

import java.util.UUID;

import java.util.concurrent.ConcurrentHashMap;

import java.util.concurrent.ConcurrentMap;

import javax.servlet.http.Cookie;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.util.StringUtils;

import org.springframework.web.method.HandlerMethod;

import org.springframework.web.servlet.ModelAndView;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

/**

 * 防止重复提交过滤器

 *

 */

public class SecurityTokenInterceptor extends HandlerInterceptorAdapter {

    private static final Logger duplicateAvoidLOG =  LoggerFactory

            .getLogger(SecurityTokenInterceptor.class);

    public static final String DUPLICATEAVOID_TOKEN = "duplicateAvoid_token";

    public static final String PAGE_DUPLICATEAVOID_TOKEN = "sumbit_token";

//    private static final ConcurrentMap<String, String> tokenMap = new  ConcurrentHashMap<String, String>();

    public static final int expressTime = 60 * 60 * 24 * 5;

    public static final String TOKEN_ERROR_CODE ="duplicate_Error";

    public static final ThreadLocal<String> threadtoken = new ThreadLocal<String>();

    /**

     * 前置处理器中 检查  DuplicateAvoid注解

     */

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler){

         duplicateAvoidLOG.info("DuplicateAvoidSubmitInterceptor start,[client:" + getRemoteHost(request) + ",url:"

                 + request.getServletPath() + "]");

        if (handler instanceof HandlerMethod) {

               HandlerMethod handlerMethod = (HandlerMethod) handler;

               Method method = handlerMethod .getMethod();

               SecurityToken annotation = method.getAnnotation(SecurityToken.class);

               duplicateAvoidLOG.info("method infos,[method:" + method.getName()  + "]");

               if (annotation != null) {

                 //需要验证token

                   boolean needValidateToken = annotation.validateToken();

                   if(needValidateToken){

                       if(isRepeatSubmit(request)){

                           duplicateAvoidLOG.error("please don't repeat submit,[client:" + getRemoteHost(request) + ",url:"

                                    + request.getServletPath() + "]");

                           request.getSession().setAttribute(TOKEN_ERROR_CODE, "please don't repeat submit");

                           String fuction = annotation.ajaxFailCallBack();

                           String responStr = "{\"duplicate\":\"true\",\"callback\":\""+fuction+"\"}";

                           try {

                            response.getOutputStream().write(responStr.getBytes());

                            response.getOutputStream().flush();

                            response.getOutputStream().close();

                        } catch (IOException e) {

                            duplicateAvoidLOG.error("repeat submit ,[client:" + getRemoteHost(request) + ",url:"

                                    + request.getServletPath() + "]");

                            e.printStackTrace();

                        }

                           return false;

                       }

                        request.getSession(false).removeAttribute(DUPLICATEAVOID_TOKEN);

                   }

                    //需要保存token,先产生token 保存到response的cookie中,服务器端保存在业务方法调用后保存

                   boolean needSaveToken = annotation.generateToken();

                   if (needSaveToken) {

                       String token = UUID.randomUUID().toString();

                       Cookie tokenCookie = new Cookie(PAGE_DUPLICATEAVOID_TOKEN, token);

                       tokenCookie.setMaxAge(expressTime);

                       tokenCookie.setPath("/");

                       response.addCookie(tokenCookie);

//                       response.addHeader(PAGE_DUPLICATEAVOID_TOKEN, token);

                       threadtoken.set(token);

                   }

            }

        }

        return true;

    }

    @Override

    public void postHandle(HttpServletRequest request,

            HttpServletResponse response, Object handler,

            ModelAndView modelAndView) throws Exception {

             duplicateAvoidLOG.info("DuplicateAvoidSubmitInterceptor postHandle,[client:" + getRemoteHost(request) + ",url:"

                 + request.getServletPath() + "]"+",token ="+ threadtoken.get());

        if (handler instanceof HandlerMethod) {

               HandlerMethod handlerMethod = (HandlerMethod) handler;

               Method method = handlerMethod .getMethod();

               SecurityToken annotation = method.getAnnotation(SecurityToken.class);

               duplicateAvoidLOG.info("method infos,[method:" + method.getName()  + "]");

               if (annotation != null) {

                    //保存token,到服务器的session中

                   boolean needSaveToken = annotation.generateToken();

                   if (needSaveToken) {

                       String token = threadtoken.get();

                       threadtoken.set("");

                       if (!StringUtils.isEmpty(token)) {

                           request.getSession().setAttribute(DUPLICATEAVOID_TOKEN, token);

                       }

                   }

            }

        }

    }

    private boolean isRepeatSubmit(HttpServletRequest request){

        String serverToken = (String) request.getSession(false).getAttribute(DUPLICATEAVOID_TOKEN);

        Cookie cookies[]=request.getCookies();

        Cookie tokenCookie=null;

        String clinetToken = null;

        for (int i = 0; i < cookies.length; i++) {

            tokenCookie = cookies[i];

            if(PAGE_DUPLICATEAVOID_TOKEN.equals(tokenCookie.getName())){

                clinetToken = tokenCookie.getValue();

            }

        }

        if (StringUtils.isEmpty(clinetToken)) {

             clinetToken = request.getParameter(PAGE_DUPLICATEAVOID_TOKEN);

        }

        duplicateAvoidLOG.info("isRepeatSubmit ,[serverToken:" + serverToken + ",clinetToken:"

                + clinetToken + "]");

        if (StringUtils.isEmpty(serverToken) || StringUtils.isEmpty(clinetToken)) {

            return true;

        }

        if (!serverToken.equals(clinetToken)) {

            return true;

        }

        return false;

    }

    private String getRemoteHost(HttpServletRequest request){

        String ip = request.getHeader("x-forwarded-for");

        if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)){

            ip = request.getHeader("Proxy-Client-IP");

        }

        if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)){

            ip = request.getHeader("WL-Proxy-Client-IP");

        }

        if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)){

            ip = request.getRemoteAddr();

        }

        return ip.equals("0:0:0:0:0:0:0:1")?"127.0.0.1":ip;

    }

}

SecurityToken.java

import java.lang.annotation.ElementType;

import java.lang.annotation.Retention;

import java.lang.annotation.RetentionPolicy;

import java.lang.annotation.Target;

import org.springframework.beans.factory.annotation.Required;

/**

 * <p>

 * 防止重复提交注解,用于方法上<br/>

 * 在control方法上,设置needSaveToken()为true,此时拦截器会在Session中保存一个token<br/>

 * 在control方法上,设置needValidateToken()为true,此时拦截器会在Session中验证token,并且删除token<br/>

 * 需要防止重复提交的页面中需要添加<br/>

 * </p>

 *

 */

@Target(ElementType.METHOD)

@Retention(RetentionPolicy.RUNTIME)

public @interface SecurityToken {

    boolean generateToken() default false;

    boolean validateToken() default false;

    //ajax请求如果重复提交后默认的JS回调方法

    String  ajaxFailCallBack() default "HandleTokenFail";

}

使用方法:

在跳转到需要防止重复提交的页面的controller上加注解来generateToken, 然后在业务方法的controller上加入注解validateToken(如果此方法跳转(或者ajax)执行完后下面的页面还要继续防重复可以在此方法上再加generateToken)

防止跨站请求伪造(CSRF)攻击 和 防重复提交 的方法的实现的更多相关文章

  1. 跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

    跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险 跨站请求伪造(Cross-Site Request Forgery)或许是最令人难以理解的一种攻击方式了,但也正因如此,它的危险性也被人们所低估 ...

  2. 跨站请求伪造(CSRF攻击)理解

    一  概念 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求.CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的 ...

  3. CSRF(跨站请求伪造)攻击

    CSRF(跨站请求伪造)攻击 CSRF(Cross Site Request Forgery,跨站请求伪造)是一种近年来才逐渐被大众了解的网络攻击方式,又被称为One-Click Attack或Ses ...

  4. PHP安全编程:跨站请求伪造CSRF的防御(转)

    跨站请求伪造(CSRF)是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法.此处所指的受害者是一个不知情的同谋,所有的伪造请求都由他发起,而不是攻击者.这样,很你就很难确定哪些请求是属于跨站 ...

  5. 跨站请求伪造(CSRF)-简述

    跨站请求伪造(CSRF)-简述 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 ...

  6. django之跨站请求伪造csrf

    目录 跨站请求伪造 csrf 钓鱼网站 模拟实现 针对form表单 ajax请求 csrf相关的两个装饰器 跨站请求伪造 csrf 钓鱼网站 就类似于你搭建了一个跟银行一模一样的web页面 , 用户在 ...

  7. 跨站请求伪造 CSRF / XSRF<一:介绍>

    跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一 ...

  8. mvc3.0防止跨站点请求伪造(CSRF)攻击

    众所周知,asp.net mvc程序在浏览器运行是产生标准的Html标签,包括浏览器要发送的关键数据等内容都在html内容里面.听起来不错,但是假如我们伪造类似的html内容,更改里面的关键数据,在浏 ...

  9. 跨站请求伪造CSRF(Cross-site request forgery)

    CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站 ...

随机推荐

  1. Java NIO 的前生今世 之四 NIO Selector 详解

    Selector Selector 允许一个单一的线程来操作多个 Channel. 如果我们的应用程序中使用了多个 Channel, 那么使用 Selector 很方便的实现这样的目的, 但是因为在一 ...

  2. [转]Win7与虚拟机VMware下运行的Ubuntu共享文件夹

    From : http://blog.csdn.net/gaojinshan/article/details/9231853 安装VMware Tools,在VMware面板上选择“虚拟机-重新安装V ...

  3. tmux 终端分屏利器使用

    介绍 Tmux 是一个工具,用于在一个终端窗口中运行多个终端会话. 不仅如此,你还可以通过 Tmux 使终端会话运行于后台或是按需接入.断开会话,这个功能非常实用. 很好的工具,记录一下,以后要常用. ...

  4. 添加 Github follow、star按钮到网页

    怎么把github的star/fork/watch三个按钮弄到自己网站上? 就是这个按钮如何弄到我的网站里面来,是否有API呢?mdo/github-buttons · GitHub这个超级方便已经添 ...

  5. Android Studio快速集成讯飞SDK实现文字朗读功能

    今天,我们来学习一下怎么在Android Studio快速集成讯飞SDK实现文字朗读功能,先看一下效果图: 第一步 :了解TTS语音服务 TTS的全称为Text To Speech,即“从文本到语音” ...

  6. 大数据开发实战:MapReduce内部原理实践

    下面结合具体的例子详述MapReduce的工作原理和过程. 以统计一个大文件中各个单词的出现次数为例来讲述,假设本文用到输入文件有以下两个: 文件1: big data offline data on ...

  7. NLP领域的ImageNet时代到来:词嵌入「已死」,语言模型当立

    http://3g.163.com/all/article/DM995J240511AQHO.html 选自the Gradient 作者:Sebastian Ruder 机器之心编译 计算机视觉领域 ...

  8. 推荐系统resys小组线下活动见闻2009-08-22

    http://www.tuicool.com/articles/vUvQVn 时间2009-08-30 15:13:22  不周山原文  http://www.wentrue.net/blog/?p= ...

  9. Kafka:ZK+Kafka+Spark Streaming集群环境搭建(二十四)Structured Streaming:Encoder

    一般情况下我们在使用Dataset<Row>进行groupByKey时,你会发现这个方法最后一个参数需要一个encoder,那么这些encoder如何定义呢? 一般数据类型 static ...

  10. (转)Unity3D 游戏贴图(法线贴图,漫反射贴图,高光贴图)

    原帖网址http://www.u3dpro.com/read.php?tid=207  感谢jdk900网友的辛苦编写 我们都知道,一个三维场景的画面的好坏,百分之四十取决于模型,百分之六十取决于贴图 ...