1,简短说明
1,什么是重放攻击?
抓包工具拦截并克隆你的请求,用克隆的请求访问你的后台
抓包工具可以克隆请求的所有内容(url,data,cookie,session,header等等)
2,如何防御重放攻击
网上有很多方法,思路多也广,下面介绍下我用到的方法
环境:内网环境,访问量不大
因为内网,所以客户端与服务端时间不好协调一致,时间戳不适用
于是联想到,手机登录验证码
每次请求都要携带验证码,且验证码只能用一次,用后失效,超过60秒验证码也要失效
思路:两次请求,第一次拿验证码,第二次携带验证码访问后台,获取数据,且两个请求必须串行
操作:
1,第一次ajax请求,属性设为同步:async:false (默认true,异步),获取验证码
2,后台验证码:使用 java.util.UUID,产生随机数,redis保存验证码,并设置过期时间
3,第二次请求携带验证码通过后,将验证码从redis中删除(只用一次)
3,参考链接
https://www.cnblogs.com/feng9exe/p/8127165.html
https://www.cnblogs.com/feng9exe/p/8119458.html
https://blog.csdn.net/heluan123132/article/details/74375304
https://www.cnblogs.com/jay54520/p/6181604.html?utm_source=itdadao&utm_medium=referral
https://www.cnblogs.com/yjf512/p/6590890.html
https://help.aliyun.com/knowledge_detail/50041.html
https://www.doadc.com/index/blog/detail/aid/88