来源检查 Java Websockets 以防止 CSRF

Origin check in Java Websockets to prevent CSRF

我正在以编程方式部署一个 Java Websocket 端点 (JSR356 3.1),我希望它验证 Origin 请求 header 值以减轻 CSRF 攻击,并且只接受HostOrigin header 值匹配的握手请求。

在我看来,要走的路是重写方法:

ServerEndpointConfig.Configurator.checkOrigin(String originHeaderValue)

(Tomcat 8 always returns true)提供的实现,但是我看到的问题是这个方法只有一个参数,我错过了宿主header 与此值进行比较的值。

此外,此 class 不提供任何返回此信息的方法,因此我认为此方法无用,除非您将原始 header 值与先前已知的主机值或集合进行比较值,但这也没有任何意义,因为我的应用程序可以在不同的、不断变化的主机名或 IP 下看到。

我正在考虑在 modifyHandshake(ServerEndpointConfig sec, HandshakeRequest request, HandshakeResponse response) 的实现中执行此验证,我可以在其中读取所有 header 值,但我很确定我误解了什么。

所以我的问题是:

执行此验证的正确方法是什么?

谢谢, 纳乔

在深入研究问题后,我得出结论,Websocket API (JSR-356) 旨在针对 "white list" 一系列预定义的允许来源执行来源检查(正如您在 Weblogic 的 this example 中看到的那样):

 ...
 import javax.websocket.server.ServerEndpointConfig;

 public class MyConfigurator extends ServerEndpointConfig.Configurator {
 ...  
     private static final String ORIGIN = "http://www.example.com:7001";

     @Override
    public boolean checkOrigin(String originHeaderValue) {
        return ORIGIN.equals(originHeaderValue)   
    }
 }
 ... 

但不幸的是,此 API 并未考虑实施 HostOrigin header 验证的可能性。

作为解决方法,对于那些将 websocket 端点放在 servlet 堆栈后面的服务提供商(如 Tomcat,其中 Websocket 机制由 servlet 过滤器 org.apache.tomcat.websocket.server.WsFilter 触发),您可以创建一个启用线程本地访问请求的外部过滤器,以便在 checkOrigin() 方法中使用它来获取 Host header 值。

这让我想知道为什么这种类型的检查不比白名单解决方案更受欢迎,并且刚刚发现这个有趣 post:Origin and Host headers for same domain requests