通过客户端状态保存防止 JSF2 中的 CSRF

2023-12-06

我正在使用带有客户端状态保存的 MyFaces 2.2.3 + PrimeFaces

问完后如何防止在不同会话中重复使用 ViewState I was 由 BalusC 讲述，我可以inject my own CSRF代币 by 重写 from 渲染器，让该值成为 CSRF 令牌 ,

我正在寻找一种不会强迫我修改我的解决方案xhtml全部页面:)

BalusC 提出了一种更好的方法来防止 CSRF 攻击，方法是扩展ViewHandlerWrapper，效果很好，我只需要修改一下restoreView通过以下方式

public UIViewRoot restoreView(FacesContext context, String viewId) {
    UIViewRoot view = super.restoreView(context, viewId);
    if (getCsrfToken(context).equals(view.getAttributes().get(CSRF_TOKEN_KEY))) {
        return view;
    } else {
        HttpSession session = (HttpSession) context.getExternalContext().getSession(false);
        if (session != null) {
            session.invalidate(); //invalidate session so (my custom and unrelated) PhaseListener will notice that its a bad session now
        }
        try {
            FacesContext.getCurrentInstance().getExternalContext().redirect("CSRF detected and blocked"); //better looking user feedback
        } catch (IOException e) {
            e.printStackTrace();
        }
        return null;
    }
}

旧解决方案

~~I tried without success so far,~~

添加到 faces-config.xml

<render-kit>
    <renderer>
        <component-family>javax.faces.Form</component-family>
        <renderer-type>javax.faces.Form</renderer-type>
        <renderer-class>com.communitake.mdportal.renderers.CTFormRenderer</renderer-class>
    </renderer>
</render-kit>

Then in CTFormRenderer.java

@Override
public void encodeEnd(FacesContext context, UIComponent arg1) throws IOException {
    //how to set form value be a CSRF token?
}

@Override
public void decode(FacesContext context, UIComponent component) {
    HttpSession session = (HttpSession) context.getExternalContext().getSession(false);
    String token = (String) session.getAttribute(CSRFTOKEN_NAME);
    String tokenFromForm = //how to get the value stored in form value attribute because (String) component.getAttributes().get("value"); return null
    //check token against tokenFromForm...
}

This <h:form>渲染器覆盖方法对于 PrimeFaces 来说并不安全partialSubmit="true"。此外，重用其标识提交表单的隐藏字段将是 JSF 实现特定的，因为这不是 JSF API 的一部分。

再想一想，将 CSRF 令牌直接存储在 JSF 视图状态本身中要简单得多。您可以通过自定义来实现ViewHandler如下所示，其中设置了一个属性UIViewRoot（自动保存在 JSF 视图状态中）：

public class CsrfViewHandler extends ViewHandlerWrapper {

    private static final String CSRF_TOKEN_KEY = CsrfViewHandler.class.getName();

    private ViewHandler wrapped;

    public CsrfViewHandler(ViewHandler wrapped) {
        this.wrapped = wrapped;
    }

    @Override
    public UIViewRoot restoreView(FacesContext context, String viewId) {
        UIViewRoot view = super.restoreView(context, viewId);
        return getCsrfToken(context).equals(view.getAttributes().get(CSRF_TOKEN_KEY)) ? view : null;
    }

    @Override
    public void renderView(FacesContext context, UIViewRoot view) throws IOException, FacesException {
        view.getAttributes().put(CSRF_TOKEN_KEY, getCsrfToken(context));
        super.renderView(context, view);
    }

    private String getCsrfToken(FacesContext context) {
        String csrfToken = (String) context.getExternalContext().getSessionMap().get(CSRF_TOKEN_KEY);

        if (csrfToken == null) {
            csrfToken = UUID.randomUUID().toString();
            context.getExternalContext().getSessionMap().put(CSRF_TOKEN_KEY, csrfToken);
        }

        return csrfToken;
    }

    @Override
    public ViewHandler getWrapped() {
        return wrapped;
    }

}

请注意，当restoreView()回报null, JSF 将抛出一个ViewExpiredException“照常”。

要让它运行，请按以下方式注册faces-config.xml:

<application>
    <view-handler>com.example.CsrfViewHandler</view-handler>    
</application>

因为它在服务器端状态保存方面没有附加值，所以如果需要，您可以在视图处理程序的构造函数中检测当前 JSF 应用程序是否配置了客户端状态保存：

FacesContext context = FacesContext.getCurrentInstance();

if (!context.getApplication().getStateManager().isSavingStateInClient(context)) {
    throw new IllegalStateException("This view handler is only applicable when JSF is configured with "
        + StateManager.STATE_SAVING_METHOD_PARAM_NAME + "=" + StateManager.STATE_SAVING_METHOD_CLIENT);
}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

通过客户端状态保存防止 JSF2 中的 CSRF 的相关文章

设置配置项 (csrf) 在 Codeigniter 中不起作用

我只想在我的几个控制器中打开 csrf 保护所以我有 function construct parent construct this gt load gt library form validation this gt load gt
使用ExternalContext.redirect()将面孔消息添加到重定向页面

我在用ExternalContext redirect String 将用户重定向到另一个页面的方法 FacesContext getCurrentInstance addMessage new FacesMessage Bla bla b
JSF 2 全局异常处理，导航到错误页面未发生

我正在开发一个基于 JSF 2 0 的 Web 应用程序我正在尝试实现一个全局异常处理程序每当发生任何异常例如 NullPointerException ServletException ViewExpiredException 等
覆盖 JSF Primefaces 消息标签

我可以覆盖默认实现吗
Eclipse Faces 配置编辑器不工作

Summary 编辑 faces config xml 时 Eclipse 中的 Faces 配置编辑器不会打开这是一个 JavaServer Faces 项目 Details 日食3 7 2 Eclipse m2e 1 0 1 m2e
在 Servlet 2.4 容器上运行 JSF 2.0

据我所知 JSF 2 需要 servlet 2 5 因此它不能在 JBOSS 4 05 Tomcat 5 5 上运行不幸的是我必须在该环境中部署一个使用 JSF 2 0 和 Primefaces 的应用程序有什么黑客可以使用它吗 JS
P:dataTable 中的 JSF p:calendar：如何获取 p:ajax dateSelect 事件的行

在我的设置中我有一个 Named豆子班级ObWithDate is a Entity带有日期字段有效来源此类的对象位于List
Ruby on Rails Devise Oauth-facebook OmniAuth::Strategies::OAuth2::CallbackError

我使用 facebook 实现 oauth 登录并设计当从接受应用程序弹出窗口返回时我收到以下错误由于检测到 Csrf 无法通过 Facebook 验证您的身份这是日志于 2014 01 23 23 59 58 0100 开
保护登录和评论表单免受 CSRF 攻击

我读过很多关于CSRF保护的文章这个不错 http seclab stanford edu websec csrf csrf pdf 以及关于SO的各种问题但它们似乎都没有足够的信息来回答我的问题我正在开发自己的 CMS 我想保护我的
更改的默认按钮标签

我在用
如何将 Font Awesome 4.3.0 与 JSF 集成？

我已经尝试过这个方法如何将 webjars org 中的 Font Awesome 与 JSF 结合使用 https stackoverflow com questions 18891768 how to use font awesome
Double.toString 对于大值没有指数表示法

在我的 JSF2 应用程序中我希望显示双精度值而不使用指数表示法是否可以我无法使用NumberFormat or DecimalFormat因为它将把我的数据类型更改为字符串我从Java文档中了解到如果我的double值小于10
保护 JSF 应用程序的安全

我的一位自由职业者朋友邀请我加入他的 JSF 2 0 项目我正在慢慢加快速度并将各个部分整合在一起来自 Windows Forms NET 世界至少可以说我还有很多东西需要学习我主要担心的是对于如何保护 JSF 应用程序缺乏明显的
JSF：不同验证器标签的不同验证消息？

在我的 JSF Primefaces 应用程序中我正在使用 JSF 验证器标签来验证文本框的输入
无法验证 CSRF 令牌的真实性 Rails/React

我的 Rails 应用程序中有一个 React 组件我正在尝试使用它fetch 发送一个POST对于我在本地主机上托管的 Rails 应用程序这给了我错误 ActionController InvalidAuthenticityToke
有没有办法阻止 iOS 上的 Safari 在关闭时清除网站的 cookie？

我的移动网络应用程序的一位用户抱怨说每次他关闭手机屏幕后使用该应用程序时他都必须重新登录该应用程序发生的情况是当屏幕关闭时或者当您通过双击主页按钮并滑开 Safari 来完全关闭 Safari 时 Safari 会清除该网站的 C
在 FacesConverter 中使用 ManagedBean

我想用ManagedBean in my Converter The ManagedBean负责从数据库获取数据在Converter我想将字符串转换为必须从数据库获取的对象这是我的转换器 FacesConverter forClass
java.lang.IllegalStateException - 提交响应后无法创建会话

我在我的项目中使用 JSF PrimeFaces 我为此准备了一个Maven项目当我编译项目并加载主页后我收到以下异常 java lang IllegalStateException Cannot create a session af
中止来自 jsf.ajax.addOnEvent() 的 JSF Ajax 请求

我希望有一个中心位置来监视 ajax 请求并在某些情况下中止它们我唯一不知道要做的一件事就是实际中止来自一个中央函数的 ajax 请求我想象解决方案看起来像这样 jsf ajax addOnEvent function data if
使用普通 HTML 按钮在 JavaScript 中调用托管 bean 方法

我需要在单击普通 HTML 按钮时调用 JavaScript 中的托管 bean 方法如果我使用 JSF2 x 和 Primefaces 是否可以做到这一点对的这是可能的 Primefaces 提供了一个有用的钩子来用它的组件来做到这

随机推荐

合并“NSManagedObjectContextDidSaveNotification”后，NSFetchedResultsController 未显示所有结果

我有一个 NSFetchedResultsController 它使用谓词获取对象 isTrash NO 大多数情况下这会按预期工作但是当对象未被破坏时获取的结果控制器不会获取未被破坏的对象出了什么问题发生这种情况的原因是由于me
ES 模块导入不起作用

我正在尝试制作普通 ES 导入导出的简单示例索引 js main js import foo from mathModule console log foo mathModule js export const foo Math sqrt
使用具有不同行结束样式的 m 标志来匹配行结束位置

我试图用标签包装以开头的每一行尝试实现类似 GitHub Stackoverflow 的文本格式化语法这就是我得到的 value preg replace m p 1 p value 经过谷歌搜索很长一段时间后这似乎是正确的解决方案
C：“传递不兼容的指针类型”警告很重要？/将多维数组传递给函数

我想编写一个带有指向多维数组的指针的函数例如 include
Guy Yollin 的 QuantStrat I 讲座问题

我一直在听 Guy 的 Quantstrat 讲座下面的链接在反复尝试重新执行代码后我遇到了一些初始错误这些错误导致讲座中的大部分后续代码无法运行这是代码从讲座中复制并进行了很小的重新安排 rm list ls all TRUE
c# XAML ProgressBar正确设置渐变填充

如何设置a的渐变ProgressBar在XAML中动态填充目前它是这样的两个进度条的代码
GTK+ Vte.Terminal().fork_command_full 已删除？

我上周注意到了这一点我在 ubuntu 15 04 上的所有代码都运行良好 Vte Terminal fork command full Also 该文档站点以前也显示过此功能但现在没有这个功能被删除了吗如果是这样那么让虚拟终端小
Typescript 并不真正检查函数类型？

给出下面的代码类型脚本编译器不会引发任何错误因此它只是不检查函数的参数类型 var mySearch3 source Person subString string gt boolean function return true Typ
Angular Materials 不会将样式应用于组件

这是一个简单的片段 profilebutton float right div class col md 4 profilebuttoncontainer div
System.ComponentModel.Win32Exception：访问被拒绝......错误

我想在我们的网站上打开一个文档文件为此我编写了以下代码 try Process proc new Process proc StartInfo new ProcessStartInfo Server MapPath Quatation
从 crontab 运行 python 脚本

我有一个通过 crontab 运行的 python 程序并且运行良好然而我决定添加通知我它正在做什么的功能但它突然失败了它从命令行运行但是将其作为 crontab 程序运行会导致它失败 libnotify Message Un
到底是什么导致了堆栈溢出错误？ [复制]

这个问题在这里已经有答案了我到处都找过但找不到可靠的答案根据文档 Java抛出一个java lang StackOverflowError 错误在以下情况下会出错当由于应用程序递归太深而发生堆栈溢出时抛出但这提出了两个问题除了递
HTML 元素的浏览器默认 CSS

在哪里可以找到浏览器的 HTML 元素的默认 CSS 许多 HTML 元素都带有一些默认的 CSS 属性这些属性有时会导致未知不需要的行为例如输入框在不同的浏览器中显示不同我正在寻找一个涵盖新 CSS3 属性和新 HTML5 元素
简单代码需要帮助 - 构造函数的实例没有与参数列表匹配

我正在阅读一本关于 C 编程的书但我陷入了向量的困境书中的例子是这样的 vector
如何使用$_GET参数来制作seo友好的url？

我正在使用我自己制作的 PHP CMS 它获取 GET 参数url并将其变成www website com url 此 CMS 使用 GET 参数来获取文件所以如果url is index 然后 CMS 搜索该文件index并返回文件的
设置响应状态代码[重复]

这个问题在这里已经有答案了我有一个 API 调用我需要能够运行一些检查并可能返回各种状态代码我不需要自定义视图或任何东西我只需要返回正确的代码如果用户没有通过正确的凭据我需要返回 401 状态如果他们没有发送支持的请求格式我
在 JavaScript 中定义只读属性

给定一个对象obj 我想定义一个只读属性 prop 并将其值设置为val 这是正确的方法吗 Object defineProperty obj prop get function return val 结果应该是对于val test ob
为什么 MagnificationGesture 在 SwiftUI 中只更新一次状态？

我希望以下视图能够响应放大手势但它仅在第一次有效视图可以按预期放大但视图释放后后续触摸不会触发手势有没有办法让手势持续工作 struct Card View State var magScale CGFloat 1 var mag
AIR - 在 Android 上打开文件（openWithDefaultApplication() 替代方案）

我目前正在尝试通过 Adob e 的 AIR SDK 以编程方式在 Android 2 2 上打开下载的文件例如 txt On desktopAIR应用程序有一个API称为File openWithDefaultApplication 效
通过客户端状态保存防止 JSF2 中的 CSRF

我正在使用带有客户端状态保存的 MyFaces 2 2 3 PrimeFaces 问完后如何防止在不同会话中重复使用 ViewState I was 由 BalusC 讲述我可以inject my own CSRF代币 by 重写 fro

通过客户端状态保存防止 JSF2 中的 CSRF

通过客户端状态保存防止 JSF2 中的 CSRF 的相关文章

随机推荐

热门标签