跨站点请求伪造
异常信息:V9跨站点请求伪造
版本号:202107071637
解决时间:2021-11-24
解决方案:
方案一:使用XSS/CSRF过滤器
场景一:只处理AAS管控:
用最新版的V9的webtool.war和新的apusic.jar替换。
场景二:整个容器管控和应用都处理:
修改dommain/mydomain/config/web.xml ,添加filter配置如下:
<filter>
<display-name>AttackFilter</display-name>
<filter-name>AttackFilter</filter-name>
<filter-class>com.apusic.util.filters.AttackFilter</filter-class>
<!-- <async-supported>true</async-supported> -->
<init-param>
<param-name>enableAttackFilter</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<!-- 开启csrf攻击检查,原理是检查是否有跨站请求 -->
<param-name>enableCSRFCheck</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<!-- 如果不设置白名单参数,则默认是允许request里面的servername通过请求,其它的均拒绝请求 -->
<param-name>serverNameWhiteList</param-name>
<param-value>server_name</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>AttackFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
方案二:
通过设置白名单进行访问限制。
界面现象:
日志截图:
解决操作: