struts2 token 不仅能够有效防止表单重复提交,而且还可以进行
CSRF 验证。
CSRF 攻击原理如下图:
CSRF 攻击原理图
事实上,B 可能也是一个良性网站,只是被黑客 XSS 劫持了而已。用户实在冤枉啊:我没有上乱七八糟的网站,怎么还是中招了呢?
struts2 token 校验原理如图所示:
Struts2 token 验证原理图
对照 CSRF 攻击原理图,可以看到,虽然 a.jsp 将这个令牌值返回给浏览器,但是 B 是无法拿到这个令牌的具体值的,或者说 B 只能够通过去请求 A 才能拿到一个令牌,但这样就失去了伪造用户请求的目的,因为 session 不一致了。所以 b.action 也就不再处理这个伪造的请求,截断了 CSRF 的流程如下图所示:
Struts2 token截断了CSRF攻击原理图
了解了原理,那就干活吧。结果发现很多非 form 表单提交的请求都被成功拦截了,比如原有的 ajax 请求(js / jQuery / DWR)、页面的 href 请求都无法正常工作了——把这些请求的 action 的 token 验证去掉就能正常工作,但却这给黑客带来了可趁之机。
那么怎么样才可以让 form 表单之外的其他请求传递 struts2 token 呢?
我们继续来深入了解一下 struts2 token 验证的原理。
它调用了 org.apache.struts2.util.TokenHelper 的 validToken 方法,其源码:
它先调用自己的 getTokenName() 拿到 tokenName 值,然后根据这个值使用自己的 getToken(tokenName) 拿到客户端请求过来的 token 参数的值,最后跟 session 中保存的值进行比较。
查看 getTokenName() 源码:
TOKEN_NAME_FIELD 是 org.apache.struts2.util.TokenHelper 的静态变量,值为 "struts.token.name",getTokenName 方法的作用就是拿到客户端传过来的 struts.token.name 参数的值。validToken 拿到这个值以后,根据这个值继续调用 getToken,getToken 源码:
它根据 struts.token.name 参数的值,比如为 "token"(这个值可以在 jsp 的 token 标签中进行配置,比如 <s:token name="token"/>,默认值是 token),拿到客户端传来的 token 参数的值,最后返回给 validToken 方法。
使用 chrome 的开发者工具截取到的带有 token 验证的 struts action 印证了上面的说法:
截取到的struts.token.name的值
原理都了解了,接下来的事情似乎就顺理成章了。
$.ajax 调用支持 struts2 token:
页面 href 请求支持 struts2 token:
参考资料
CSRF 攻击原理如下图:
CSRF 攻击原理图
事实上,B 可能也是一个良性网站,只是被黑客 XSS 劫持了而已。用户实在冤枉啊:我没有上乱七八糟的网站,怎么还是中招了呢?
struts2 token 校验原理如图所示:
Struts2 token 验证原理图
对照 CSRF 攻击原理图,可以看到,虽然 a.jsp 将这个令牌值返回给浏览器,但是 B 是无法拿到这个令牌的具体值的,或者说 B 只能够通过去请求 A 才能拿到一个令牌,但这样就失去了伪造用户请求的目的,因为 session 不一致了。所以 b.action 也就不再处理这个伪造的请求,截断了 CSRF 的流程如下图所示:
Struts2 token截断了CSRF攻击原理图
了解了原理,那就干活吧。结果发现很多非 form 表单提交的请求都被成功拦截了,比如原有的 ajax 请求(js / jQuery / DWR)、页面的 href 请求都无法正常工作了——把这些请求的 action 的 token 验证去掉就能正常工作,但却这给黑客带来了可趁之机。
那么怎么样才可以让 form 表单之外的其他请求传递 struts2 token 呢?
我们继续来深入了解一下 struts2 token 验证的原理。
以最新版的 2.3.20 为例。我们在 struts.xml 对某 action 加 <interceptor-ref name="token"></interceptor-ref> 标签,事实上是配置了 org.apache.struts2.interceptor.TokenInterceptor 拦截器。查看其 doIntercept 源码:
protected String doIntercept(ActionInvocation invocation) throws Exception { if (log.isDebugEnabled()) { log.debug("Intercepting invocation to check for valid transaction token."); } //see WW-2902: we need to use the real HttpSession here, as opposed to the map //that wraps the session, because a new wrap is created on every request HttpSession session = ServletActionContext.getRequest().getSession(true); synchronized (session) { if (!TokenHelper.validToken()) { return handleInvalidToken(invocation); } } return handleValidToken(invocation); }它调用了 org.apache.struts2.util.TokenHelper 的 validToken 方法,其源码:
public static boolean validToken() { String tokenName = getTokenName(); if (tokenName == null) { if (LOG.isDebugEnabled()) { LOG.debug("no token name found -> Invalid token "); } return false; } String token = getToken(tokenName); if (token == null) { if (LOG.isDebugEnabled()) { LOG.debug("no token found for token name "+tokenName+" -> Invalid token "); } return false; } Map session = ActionContext.getContext().getSession(); String sessionToken = (String) session.get(tokenName); if (!token.equals(sessionToken)) { if (LOG.isWarnEnabled()) { LOG.warn(LocalizedTextUtil.findText(TokenHelper.class, "struts.internal.invalid.token", ActionContext.getContext().getLocale(), "Form token {0} does not match the session token {1}.", new Object[]{token, sessionToken})); } return false; } // remove the token so it won't be used again session.remove(tokenName); return true; }它先调用自己的 getTokenName() 拿到 tokenName 值,然后根据这个值使用自己的 getToken(tokenName) 拿到客户端请求过来的 token 参数的值,最后跟 session 中保存的值进行比较。
查看 getTokenName() 源码:
public static String getTokenName() { Map params = ActionContext.getContext().getParameters(); if (!params.containsKey(TOKEN_NAME_FIELD)) { if (LOG.isWarnEnabled()) { LOG.warn("Could not find token name in params."); } return null; } String[] tokenNames = (String[]) params.get(TOKEN_NAME_FIELD); String tokenName; if ((tokenNames == null) || (tokenNames.length < 1)) { if (LOG.isWarnEnabled()) { LOG.warn("Got a null or empty token name."); } return null; } tokenName = tokenNames[0]; return tokenName; }TOKEN_NAME_FIELD 是 org.apache.struts2.util.TokenHelper 的静态变量,值为 "struts.token.name",getTokenName 方法的作用就是拿到客户端传过来的 struts.token.name 参数的值。validToken 拿到这个值以后,根据这个值继续调用 getToken,getToken 源码:
public static String getToken(String tokenName) { if (tokenName == null ) { return null; } Map params = ActionContext.getContext().getParameters(); String[] tokens = (String[]) params.get(tokenName); String token; if ((tokens == null) || (tokens.length < 1)) { if (LOG.isWarnEnabled()) { LOG.warn("Could not find token mapped to token name " + tokenName); } return null; } token = tokens[0]; return token; }它根据 struts.token.name 参数的值,比如为 "token"(这个值可以在 jsp 的 token 标签中进行配置,比如 <s:token name="token"/>,默认值是 token),拿到客户端传来的 token 参数的值,最后返回给 validToken 方法。
使用 chrome 的开发者工具截取到的带有 token 验证的 struts action 印证了上面的说法:
截取到的struts.token.name的值
原理都了解了,接下来的事情似乎就顺理成章了。
$.ajax 调用支持 struts2 token:
<script>var strutsToken = "<s:property value="#session['struts.tokens.token']" />";var token = { "struts.token.name": "token", "token": strutsToken};$.ajax({ url: '/endpoint', data: token, dataType: 'jsonp', cache: true, success: function() { console.log('success'); }, error: function() { console.log('failure'); }});</script>页面 href 请求支持 struts2 token:
<td> <a href="findSigleDetail.action?TransId=${value.transid}&struts.token.name=token&token= <s:property value="#session['struts.tokens.token']" />" title="Edit Meta"><img src="frame/image/pencil.png" alt="Edit Meta" />查看详细</a></td>参考资料
再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow