CSRF拦截

CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

事实上在我经历过的银行项目开发过程中，基本都会采用 spring 框架，所以完全可以不用自己开发 filter 去拦截 csrf 攻击的请求，而直接采用实现 spring 提供的 HandlerInterceptor 来实现。 从本质上来说，这也是一个 filter.  我这里就直接实现它来 防止 csrf 攻击.

基本思路：
1. 用户登录之后，后台程序生产一个 csrftoken 的 token ,放在 cookies 中，并且记录在 session 中。
2. 当客户端发出请求的访问后台程序的时候，经过自己实现的HandlerInterceptor 来拦截.
3. 拦截的基本方法是检查请求的参数中是否有csrftoken ,并检查这个值，是否合法有效（不为空，并且得到的参数等于cookies 中保存的值，而且还要等于session 中的值，那么就是合法的

• 点赞
• 收藏
• 分享
• • 文章举报

DencyCheng 发布了136 篇原创文章 · 获赞 26 · 访问量 9万+ 私信 关注

标签：cookies,后台程序,CSRF,session,csrf,拦截
来源： https://blog.csdn.net/qq_32534855/article/details/104135442