Spring REST 配置CSRF防护

最新推荐文章于 2023-01-30 17:47:48 发布
VIP文章 最新推荐文章于 2023-01-30 17:47:48 发布
阅读量6.3k 收藏
点赞数
分类专栏: Java 文章标签: spring session rest csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laojiaqi/article/details/52637194
版权

Spring REST 配置CSRF防护

内容从以下几个方面展开
  • 什么是CSRF防护
  • 如何运用CSRF进行防御(WEB)
  • 如何将CSRF防御,运用到REST中
1.什么是CSRF

CSRF 攻击简单来说,是多Tab页面浏览器的一个安全漏洞,比如你正在访问A网站,此时如果浏览器有你的cookie,并且session没有过期,此时你去访问B网站,那么B网站可以直接调用A网站的接口,而A网站则认为是你本人进行的操作。以下是图示:

2.如何进行防御

对CSRF进行防御,可以通过加Token.也就是当你访问A网站的时候,A会给你一个token,然后,接下去的post请求,你需要把token带上,不然服务器则拒绝接收这个请求。
- 1. token的产生:spring-security 4.0之后默认开启csrf,可以直接产生csrf token。
- 2. token的存储:这里存储是指服务端的存储,token是存储在session中。
- 3. token的传送:token可以通过cookie,也可以放在header中自定义的属性中。
- 4. token的接收和返回:前段收到http respon 之后,需要把相应的token返回回来。
- 5. token校验:服务器端对自己持有的token和客户端反馈回来的token进行校验,决定是否拒绝服务(拒绝服务可以自定义)。

3.REST 的CSRF防御

一般写REST服务(也就是直接@ResponseBody)返回json字符串,则可以把token加在header里头的自定义属性中,为什么不能直接加在header中的cooike里,spring-sercur

最低0.47元/天 解锁文章
乱在长安
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity】CSRF、环境配置、授权、认证功能、记住我功能实现
m0_73976305的博客
06-08 788
SpringSecurity CSRF跨站请求伪造攻击 开发环境搭建 认证 直接认证 使用数据库认证 自定义登录界面 授权 基于角色的授权 基于权限的授权 使用注解判断权限 记住我 SecurityContext
Springboot集成CSRF防攻击
hao_kkkkk的专栏
10-20 2223
springboot CSRF攻击防护
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5229
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
Spring Security(十一) Spring Security 中 CSRF
我是一只蘑菇17的博客
09-26 1238
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者SessionRiding。通过伪造用户请求访问受信任站点的非法请求访问。跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。客户端与服务进行交互时,由于 http 协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。
spring security CSRF防护的示例代码
08-26
主要介绍了spring security CSRF防护的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Shiro开启CSRF表单防护
12-08
Shiro开启CSRF表单防护
laravel框架中表单请求类型和CSRF防护实例分析
12-20
本文实例讲述了laravel框架中表单请求类型和CSRF防护。分享给大家供大家参考,具体如下: laravel中为我们提供了绑定不同http请求类型的函数。 Route::get('/test', function () {}); Route::post('/test', ...
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
主要介绍了使用SpringSecurity处理CSRF攻击的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security CsrfFilter过滤器用法实例
08-25
主要介绍了Spring Security CsrfFilter过滤器用法实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security4.2 配置CSRF防御
Vevinlong的博客
08-03 5527
spring security4.2 配置CSRF防御 注:源文请参考官方手册 最经项目用到csrf,看了官方文档后,结合实际开发过程,记录下所遇到的问题,其中第1、2、3点都没有什么问题。而是在使用文件上传时遇到问题,查了比较久的时间,从怀疑xhr对象,到跨域访问(用到的插件动态创建了一个iframe),最终发现是当form设置了enctype="multipart/form-data"之后,
Spring Boot整合Spring Security(三)csrf
时雨吹雪的博客
01-30 1715
Spring Security中csrf防护功能的使用,模板引擎以及接口方式获取csrfToken
csrf攻击 java_spring boot中使用spring security的filter防止CSRF攻击
weixin_35346761的博客
02-21 456
在一个spring boot项目中,需要防止CSRF攻击,按理说应该集成spring security才对。但是不想使工程变得太复杂,这时可以只把spring security中的相关filter引入来进行。在pom中添加相关依赖org.springframework.bootspring-boot-starter-freemarkerorg.springframework.securityspr...
SpringSecurity (4) CSRFCSRF-TOKEN 的处理
O_o
05-17 9147
本文主要介绍SpringSecurity 和 SpringBoot 整合过程中关于 CSRF 的处理
Spring Security(六) —— CSRF
eyes++的博客
07-26 3906
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
如何在Spring项目防止CSRF攻击
Gilbert的博客
05-07 6711
什么是CSRF攻击? CSRF就是跨站请求伪造攻击,怎么理解呢? 首先我们来理解cookie机制,就是当你登录某个网站,从后端接收的cookie会存到浏览器中,你下次访问该网站时浏览器会将属该网站的cookies带过去。 那么如果黑客编写了一个页面,将你登录过的网站接口链接放入该页面,那你点击访问黑客写的页面就会访问你登录过的那个网站,这时候浏览器会认为是你在访问该网站就将cookie带过去...
Spring Security 6.x 系列【21】漏洞防护篇之跨站请求伪造
记录知识、锤炼自我
07-12 7698
除了认证授权外功能外,还提供了安全防护功能,比如跨站点请求伪造 (CSRF跨站请求伪造,通常缩写为CSRF或者XSRF。简单来说就是攻击者通过一些技术手段,欺骗用户的浏览器去访问一个自己曾经认证过的网站,并运行一些操作,比如发消息、转账、购买商品等。
Spring Security4配置CSRF问题记录
bigger_bug的博客
01-04 690
spring security4默认是开启csrf的,所以在登陆页面需要添加<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>如上,可以获取到csrf的token值,但是,一般情况下我们都会将登录页的安全配置为none,这样的话登录页面就不属于security的管理范围之内了,所以就会导致在登录页面无
springboot csrf防护 spring security
最新发布
10-31
CSRF防护Spring Security的默认行为,因此您无需额外配置即可使用此功能。但是,您可以根据需要进行自定义配置,如自定义令牌生成和验证逻辑。 综上所述,Spring Boot与Spring Security可以提供强大的CSRF防护...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值