You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
谢谢大佬反馈,能不能告诉我如何处理,验证reference吗?在JwtFilter里? 我在网关层加过滤器没用,重来不进入断点,需要在 base-core模块的 JwtFilter 校验Reference才可以吗?请求大佬代码明示,谢谢,给你发个红包就可以
在 2024-12-25 11:34:05,"JEECG" ***@***.***> 写道:
最新版应该已经修复了,老版本需要自己处理
—
Reply to this email directly, view it on GitHub, or unsubscribe.
You are receiving this because you authored the thread.Message ID: ***@***.***>
版本号:
jeecg-boot2.4.5
问题描述:
漏洞扫描提示有个中危漏洞需要修复,关于跨站点请求伪造,可能会强制最终用户在当前其已通过身份验证的 Web 应用程序上执行不必要的操作。之所以出现此漏洞,是因为应用程序允许用户在不验证请求是否是有意发送的情况下执行某些敏感操作。
攻击者可能导致受害者的浏览器向应用程序中的任意 URL 发出 HTTP 请求。从经过认证的受害者的浏览器发送此请求时,它将
包括受害者的会话 Cookie 或认证标头。应用程序将接受此请求作为来自经过认证的用户的有效请求。
如果将 Web 服务器设计为接收来自客户端的请求,但缺乏用于验证该请求是否有意发送的机制,则攻击者可能会欺骗客户端从
另一个站点发出无意请求,而应用程序会将该请求视为可信请求。可以通过提交表单、加载图像、在 JavaScript 中发送
XMLHttpRequest 等执行此操作。
例如,此 IMG 标签可以嵌入到攻击者的网页中,并且受害者的浏览器将提交请求检索该图像。此有效请求将由应用程序处理,并
且浏览器不会显示损坏的图像。“”。由此带来的结果是,使用受害者的会话将受害者账户中的资金转移到攻击者的账户中。
固定值: 验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce
错误截图:
上传到附件了,如下所示,谢谢大佬支持
友情提示:
The text was updated successfully, but these errors were encountered: