关于跨站请求伪造（csrf）的一些常识和处理

约定不等于承诺〃 2021-10-14 06:56 266阅读 0赞

## 关于介绍和处理请见博客：[https://blog.csdn.net/liuyingan/article/details/84914917][https_blog.csdn.net_liuyingan_article_details_84914917] ##

以上都是理论说明这个东西   和理论上的处理方式 。。。完事呢，我就用**验证 HTTP Referer 字段  这个方法来贴一段代码用来做防御这个入侵（两个类）：**

@Configuration
    public  class WebAppConfig  extends WebMvcConfigurerAdapter {
    
                //注册拦截器
                @Override
                public void addInterceptors(InterceptorRegistry registry) {
                    // 注册拦截器
                    //静态资源在springboot2.0以前已经做好映射，不用管                      /**指任意范围都通过拦截
                    registry.addInterceptor(new SessionInterceptor()).addPathPatterns("/**")
                            .excludePathPatterns(
                                    "/css/**","/js/**","/fonts/**","/img/**","/docs/**","/druid/**","/upload/**","/files/**","/logfind","/login","/error/**")
                    ;
                    //.excludePathPatterns代表这些请求不过滤     asserts为resources下static下的文件夹，webjars则是maven导入的一些前端框架
                }
    
    }
    
    
    
    
    @Component
    public class SessionInterceptor extends HandlerInterceptorAdapter {
    
    
        @Override
        public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
            String referer = request.getHeader("Referer"); //下面这个链接写你自己的项目的链接就好
            if(StrUtil.isNotBlank(referer)&&!referer.contains("127.0.0.1:8099")){
                response.sendRedirect("/error/500");
                return false;
            }
            HttpSession session = request.getSession();
            return true;
        }
    }

**完事呢，我比较懒，上面的代码  也懒得解释了   ，不知道这个是啥  请见 搜索springboot配置拦截器**

**有问题的   麻烦看下博客名**

[https_blog.csdn.net_liuyingan_article_details_84914917]: https://blog.csdn.net/liuyingan/article/details/84914917