校验Referer头，防范CSRF(跨站请求伪造)攻击的拦截器

 

 

	public final static	String domainName = "192.168.2.123";

 

 

package com.web.interceptors;

import org.apache.log4j.Logger;
import org.apache.struts2.ServletActionContext;

import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;
import com.trace.web.utils.Constants;

/**
 * 对管理员操作，校验Referer头，防范CSRF(跨站请求伪造)攻击的拦截器
 * @author admin
 */
public class AuthInterceptor extends AbstractInterceptor {

	private static final long serialVersionUID = -2154056039548254482L;
	
	private static Logger log = Logger.getLogger(AuthInterceptor.class);

	@Override
	public String intercept(ActionInvocation invocation) throws Exception {
		String referer = ServletActionContext.getRequest().getHeader("Referer");
		if((referer!=null) && (referer.trim().startsWith(Constants.HTTP + Constants.domainName))){
			return invocation.invoke();
		}
		log.info("referer : " + referer);
		return "error";
	}

}

 

 

 

 

 

 

 

 

 

 

 

 

 

捐助开发者

在兴趣的驱动下,写一个免费的东西，有欣喜，也还有汗水，希望你喜欢我的作品，同时也能支持一下。 当然，有钱捧个钱场（右上角的爱心标志，支持支付宝和PayPal捐助），没钱捧个人场，谢谢各位。

 
 
 谢谢您的赞助，我会做的更好！

 

 

 

评论

3 楼 knight_black_bob 2015-12-29  

knight_black_bob 写道

MrLee23 写道

Referer是可以随便更改的，你这个方法只能防住小白

好吧 ，我也是小白。。。。

2 楼 knight_black_bob 2015-12-29  

MrLee23 写道

Referer是可以随便更改的，你这个方法只能防住小白

好吧 ，我也是小白。。。。

1 楼 MrLee23 2015-12-29  

Referer是可以随便更改的，你这个方法只能防住小白