那些年背过的题:Spring Security- CSRF源码分析

于 2024-08-19 14:15:14 发布
阅读量935 收藏 9
点赞数 26
文章标签: spring csrf okhttp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78976656/article/details/141324202
版权

在使用 Spring Security 时,CSRF(跨站请求伪造,Cross-Site Request Forgery)保护是一个非常重要的安全特性。它可以防止恶意网站通过冒充用户请求来执行未授权操作。Spring Security 默认启用了 CSRF 保护,但你也可以根据需要进行配置。

1. CSRF 基本原理

CSRF 攻击通过诱使已认证用户在目标网站上执行不希望的操作。例如,当用户登录到某个网站后,攻击者可能会诱使用户点击链接或访问某个页面,从而在不知情的情况下发送恶意请求。CSRF 保护通过在每个状态改变的请求(如POST、PUT、DELETE等)中加入一个随机令牌来防止这种攻击。

2. Spring Security 中的 CSRF 配置

在 Spring Security 中,CSRF 保护默认是开启的。如果你想自定义 CSRF 的行为,可以在你的 WebSecurityConfigurerAdapter 中进行配置。例如:

 

java
 

代码解读
 

复制代码
 

import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) .and() .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated(); } } 
 

3. 获取和使用 CSRF 令牌
 

为了使 CSRF 保护生效,你需要在每个有状态变化的请求中包含 CSRF 令牌。通常,这可以通过以下几种方式实现:
 

表单提交
 

对于传统的基于表单的应用程序,Spring 提供了自动生成 CSRF 令牌的方法。在 Thymeleaf 模板中,可以使用如下代码:
 

 

html
 

代码解读
 

复制代码
 

<form th:action="@{/process}" method="post"> <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/> <!-- 其他表单字段 --> <button type="submit">提交</button> </form> 
 

AJAX 请求
 

对于现代的 SPA 应用程序,通常通过 JavaScript 来发起 AJAX 请求。这时需要手动将 CSRF 令牌添加到请求头中。假设你已经将 CSRF 令牌放在页面的 meta 标签中:
 

 
 
这份面试笔记包括了:Java面试、Spring、JVM、MyBatis、Redis、MySQL、并发编程、微服务、Linux、Springboot、SpringCloud、MQ、Kafka 面试专题
 
 
需要全套面试笔记的【点击此处即可】即可免费获取
 

 

html
 

代码解读
 

复制代码
 

<meta name="_csrf" content="${_csrf.token}"/> <meta name="_csrf_header" content="${_csrf.headerName}"/> 
 

然后在 JavaScript 中读取并添加到请求头:
 

 

javascript
 

代码解读
 

复制代码
 

const token = document.querySelector('meta[name="_csrf"]').getAttribute('content'); const header = document.querySelector('meta[name="_csrf_header"]').getAttribute('content'); fetch('/api/endpoint', { method: 'POST', headers: { [header]: token, 'Content-Type': 'application/json' }, body: JSON.stringify({ /* 数据 */ }) }) .then(response => response.json()) .then(data => console.log(data)) .catch(error => console.error('Error:', error)); 
 

4. 禁用 CSRF 保护
 

在某些情况下,例如开发环境或者需要对无状态的 RESTful API 进行特殊处理时,可能需要临时禁用 CSRF 保护。可以在 HttpSecurity 配置中禁用 CSRF 保护:
 

 

java
 

代码解读
 

复制代码
 

@Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated(); } 
 

请注意,禁用 CSRF 保护会带来安全风险,因此应谨慎使用。
 

核心源码分析
 

Spring Security 的 CSRF 保护机制涉及多个关键组件,其中 CsrfFilter 和 CsrfTokenRepository 是核心部分。接下来,我将详细解析其源码实现的核心部分,包括各个组件之间如何协作来完成 CSRF 保护。
 

1. CsrfFilter
 

CsrfFilter 是负责处理 CSRF 校验的过滤器。它继承了 OncePerRequestFilter,确保每个请求只会执行一次过滤操作。核心逻辑分为几步:加载令牌、验证令牌、生成新令牌并保存。
 

 

java
 

代码解读
 

复制代码
 

public class CsrfFilter extends OncePerRequestFilter { private final CsrfTokenRepository tokenRepository; public CsrfFilter(CsrfTokenRepository tokenRepository) { Assert.notNull(tokenRepository, "tokenRepository cannot be null"); this.tokenRepository = tokenRepository; } @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { CsrfToken csrfToken = tokenRepository.loadToken(request); boolean missingToken = csrfToken == null; if (missingToken) { csrfToken = tokenRepository.generateToken(request); tokenRepository.saveToken(csrfToken, request, response); } request.setAttribute(CsrfToken.class.getName(), csrfToken); request.setAttribute(csrfToken.getParameterName(), csrfToken); if (shouldDoCsrf(request)) { String actualToken = request.getHeader(csrfToken.getHeaderName()); if (actualToken == null) { actualToken = request.getParameter(csrfToken.getParameterName()); } if (!csrfToken.getToken().equals(actualToken)) { throw new CsrfException("Invalid CSRF Token"); } } filterChain.doFilter(request, response); } private boolean shouldDoCsrf(HttpServletRequest request) { return !HttpMethod.GET.matches(request.getMethod()) && !HttpMethod.HEAD.matches(request.getMethod()) && !HttpMethod.TRACE.matches(request.getMethod()) && !HttpMethod.OPTIONS.matches(request.getMethod()); } } 
 

2. CsrfTokenRepository
 

CsrfTokenRepository 是一个接口,用于管理 CSRF 令牌的生成、存储和加载。主要有两种常见实现:HttpSessionCsrfTokenRepository 和 CookieCsrfTokenRepository
 

HttpSessionCsrfTokenRepository
 

该类使用 HTTP 会话来存储 CSRF 令牌。其关键方法包括:
 

  • generateToken: 生成新的 CSRF 令牌。
  • saveToken: 将 CSRF 令牌保存到会话中。
  • loadToken: 从会话中加载 CSRF 令牌。
 

 

java
 

代码解读
 

复制代码
 

public class HttpSessionCsrfTokenRepository implements CsrfTokenRepository { static final String DEFAULT_CSRF_PARAMETER_NAME = "_csrf"; static final String DEFAULT_CSRF_HEADER_NAME = "X-CSRF-TOKEN"; static final String DEFAULT_CSRF_TOKEN_ATTR_NAME = HttpSessionCsrfTokenRepository.class.getName().concat(".CSRF_TOKEN"); private String parameterName = DEFAULT_CSRF_PARAMETER_NAME; private String headerName = DEFAULT_CSRF_HEADER_NAME; private String sessionAttributeName = DEFAULT_CSRF_TOKEN_ATTR_NAME; @Override public CsrfToken generateToken(HttpServletRequest request) { return new DefaultCsrfToken(this.headerName, this.parameterName, createNewToken()); } @Override public void saveToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response) { HttpSession session = request.getSession(false); if (session != null) { session.setAttribute(this.sessionAttributeName, token); } } @Override public CsrfToken loadToken(HttpServletRequest request) { HttpSession session = request.getSession(false); if (session != null) { return (CsrfToken) session.getAttribute(this.sessionAttributeName); } return null; } private String createNewToken() { return UUID.randomUUID().toString(); } } 
 

CookieCsrfTokenRepository
 

该类使用 Cookie 来存储 CSRF 令牌。其关键方法包括:
 

  • generateToken: 生成新的 CSRF 令牌。
  • saveToken: 将 CSRF 令牌保存到 Cookie 中。
  • loadToken: 从 Cookie 中加载 CSRF 令牌。
 

 

java
 

代码解读
 

复制代码
 

public class CookieCsrfTokenRepository implements CsrfTokenRepository { private String parameterName = "_csrf"; private String headerName = "X-CSRF-TOKEN"; private String cookieName = "XSRF-TOKEN"; private boolean httpOnly = true; private String cookiePath = "/"; private boolean secure = false; private int cookieMaxAge = -1; @Override public CsrfToken generateToken(HttpServletRequest request) { return new DefaultCsrfToken(this.headerName, this.parameterName, createNewToken()); } @Override public void saveToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response) { if (token == null) { Cookie cookie = new Cookie(this.cookieName, ""); cookie.setMaxAge(0); cookie.setPath(this.cookiePath); response.addCookie(cookie); } else { String tokenValue = token.getToken(); Cookie cookie = new Cookie(this.cookieName, tokenValue); cookie.setSecure(this.secure); cookie.setPath(this.cookiePath); cookie.setHttpOnly(this.httpOnly); if (this.cookieMaxAge > -1) { cookie.setMaxAge(this.cookieMaxAge); } response.addCookie(cookie); } } @Override public CsrfToken loadToken(HttpServletRequest request) { Cookie[] cookies = request.getCookies(); if (cookies == null) { return null; } for (Cookie cookie : cookies) { if (this.cookieName.equals(cookie.getName())) { String token = cookie.getValue(); return new DefaultCsrfToken(this.headerName, this.parameterName, token); } } return null; } private String createNewToken() { return UUID.randomUUID().toString(); } // Getters and setters for the various properties can be added here... } 
 

核心组件解析
 

1. CsrfFilter
 

  •  
    职责:负责拦截 HTTP 请求并执行 CSRF 令牌的验证。
     
  •  
    流程
     
  
    1. 加载请求中的 CSRF 令牌。
    2. 如果没有找到令牌,则生成一个新的令牌并保存。
    3. 将令牌设置到请求属性中,便于后续处理使用。
    4. 对非安全方法(如 POST、PUT、DELETE)进行 CSRF 校验。
    5. 若校验失败则抛出异常,否则继续过滤链。
 

2. CsrfTokenRepository
 

  •  
    职责:管理 CSRF 令牌的生命周期,包括生成、保存和加载令牌。
     
  •  
    常见实现
     
  
    • HttpSessionCsrfTokenRepository:通过会话存储令牌。
    • CookieCsrfTokenRepository:通过 Cookie 存储令牌。

                

        

        

    




    

      

        

            

              
                
                  知识分享官
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    26
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    9
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
SpringSecurityCSRF

				
			

			

				

					ybb_ymm的专栏
				

				

					04-15
					
					1208
					
				

			

		

		

			
				
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。

			
		

	



                

              
                



	

		

			

				
					
从原理到实践,深入解析Spring Security中的CSRF保护机制

				
			

			

				

					hunterzhang86的博客
				

				

					05-14
					
					1127
					
				

			

		

		

			
				
随着Web应用程序的普及和发展,网络攻击成为了一个严重的问。其中,CSRF(Cross-Site Request Forgery)攻击是一种非常常见的攻击方式。攻击者可以利用这种漏洞欺骗用户执行恶意操作,如恶意转账、修改用户信息等。为了提高应用程序的安全性,我们必须采取措施保护Web应用程序,其中之一就是CSRF保护机制。本文将介绍Spring Security中的CSRF保护机制,并提供一些示例和实践建议,以帮助开发人员实现更安全的Web应用程序。

			
		

	



                


  
              

                


	

		

			

				
					
SpringSecurityCSRF漏洞保护

				
			

			

				

					Littewood的博客
				

				

					07-24
					
					1639
					
				

			

		

		

			
				
SpringSecurityCSRF漏洞保护

			
		

	





	

		

			

				
					
Spring Security(十一) Spring SecurityCSRF

				
			

			

				

					我是一只蘑菇17的博客
				

				

					09-26
					
					1354
					
				

			

		

		

			
				
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者SessionRiding。通过伪造用户请求访问受信任站点的非法请求访问。跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。客户端与服务进行交互时,由于 http 协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。

			
		

	



		

			
		



	

		

			

				
					
Spring Security(学习笔记)--漏洞保护(csrf攻击与防御以及源码分析)!

					
最新发布

				
			

			

				

					TONGZHOUGONGDU的博客
				

				

					04-29
					
					447
					
				

			

		

		

			
				
CSRF是什么 ,跨站请求伪造,简单解释一下,就是用户登录某个界面,如银行界面,进行转账,完了之后并没有注销登录,而是打开一新的页面,在页面上点击了某个攻击者设下的链接,那么这个链接,就可以带着浏览器存储的cookie,发送给银行服务器,由于已经认证过了,所以银行服务器以为是用户自己的操作,就达成了攻击者的目的。我们登录第一个项目,然后点击转账,后台会出现模拟转账的打印,然后,进入第二个项目的界面,直接点那张具备诱惑力的图片,然后,就会发现,项目一,依然打印了转账的操作日志,这个就是跨站请求伪造。

			
		

	





	

		

			

				
					
spring-security-ng-cors:使用 spring-security-csrf-token-interceptor 演示 CORS 问的示例

				
			

			

				

					07-03
				

			

		

		

			
				
在这个名为 "spring-security-ng-cors" 的项目中,我们将探讨如何使用 `spring-security-csrf-token-interceptor` 解决CORS问,以便在前后端分离的应用架构中实现跨域安全访问。  CORS 是一种允许服务器放宽同源...

			
		

	





	

		

			

				
					
spring-security-jwt-csrf:使用Spring SecuritySpring Boot和Vue js进行无状态JWT身份验证的演示

				
			

			

				

					01-31
				

			

		

		

			
				
基于令牌(Spring Security, 和CSRF)  客户端构建工具  ,Webpack,npm  服务器构建工具 Gradle Безопасность( Security ) JWT令牌 ДлягенерацииипроверкиJWT以及 。 JJWT -...

			
		

	





	

		

			

				
					
详解利用spring-security解决CSRF

				
			

			

				

					08-27
				

			

		

		

			
				
详解利用Spring Security解决CSRF  CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...

			
		

	





	

		

			

				
					
spring-security-ng:演示 Spring Security 中缺少“X-CSRF-TOKEN”的问的示例

				
			

			

				

					07-07
				

			

		

		

			
				
介绍该项目用作解决与 Spring Security 和 Angular 相关的 HTTP 标头中缺少“X-CSRF-TOKEN”的问的示例。 该示例使用 。 问是 HEAD 不包含“X-CSRF-TOKEN”。

			
		

	





	

		

			

				
					
Teino1978-Corp-spring-security-csrf-token-interceptor-

				
			

			

				

					04-29
				

			

		

		

			
				
spring-security-csrf令牌拦截器一... #安装### Via Bower $ bower install spring-security-csrf-token-interceptor###通过NPM $ npm install spring-security-csrf-token-interceptor#Usage将其作为对您的应用程序

			
		

	





	

		

			

				
					
Spring Security(六) —— CSRF

				
			

			

				

					eyes++的博客
				

				

					07-26
					
					4127
					
				

			

		

		

			
				
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...

			
		

	





	

		

			

				
					
Spring Security 6.x 系列【21】漏洞防护篇之跨站请求伪造

				
			

			

				

					记录知识、锤炼自我
				

				

					07-12
					
					7873
					
				

			

		

		

			
				
除了认证授权外功能外,还提供了安全防护功能,比如跨站点请求伪造 (CSRF跨站请求伪造,通常缩写为CSRF或者XSRF。简单来说就是攻击者通过一些技术手段,欺骗用户的浏览器去访问一个自己曾经认证过的网站,并运行一些操作,比如发消息、转账、购买商品等。

			
		

	





	

		

			

				
					
spring security CSRF防护

				
			

			

				

					aabbyyz的博客
				

				

					10-22
					
					1657
					
				

			

		

		

			
				
分享一下我老师大神的人工智能教程!http://blog.csdn.net/jiangjunshow
也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!

							
							
							CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 
从Spring Security 4.0开始,默认情况下会启用CSR...

			
		

	





	

		

			

				
					
SpringSecurity (4) CSRFCSRF-TOKEN 的处理

				
			

			

				

					O_o
				

				

					05-17
					
					9621
					
				

			

		

		

			
				
本文主要介绍SpringSecuritySpringBoot 整合过程中关于 CSRF 的处理

			
		

	





	

		

			

				
					
SpringBoot+SpringSecurity防护CSRF(基于Html)

				
			

			

				

					【欢迎关注公众号:冬瓜白】
				

				

					07-22
					
					1万+
					
				

			

		

		

			
				
关于SpringSecurity防护CSRF网上很多资料都是基于Thymeleaf(jsp)的,连官方文档也是:



但是如果是前后端分离应该怎么处理呢,也可以自己写过滤器实现,不过感觉比较麻烦;其实就算是使用Html实现也是很简单的,可以首先看看SpringSecurity防护CSRF的核心过滤器:



重点看看它的doFilterInternal()方法:



这个方法将CrsfToke...

			
		

	





	

		

			

				
					
一、Springboot安全之防CSRF攻击

				
			

			

				

					panchang199266的博客
				

				

					10-18
					
					1万+
					
				

			

		

		

			
				
(一)简要介绍
  跨站请求伪造(Cross-site request fogery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的WEB应用程序上执行非本意的操作的攻击方法。
  举个栗子:

用户小z登录了网站A,同时打开网站B
网站B隐蔽的发送一个请求至网站A
网站A通过session、cookie等身...

			
		

	





	

		

			

				
					
利用spring-security解决CSRF

					
热门推荐

				
			

			

				

					Frankenstein的博客
				

				

					04-22
					
					4万+
					
				

			

		

		

			
				
从配置到原理,一步步讲解如何利用Springsecurity框架来处理scrf问

			
		

	





	

		

			

				
					
深度探索:Spring Security 3 安全实战

				
			

			

				

					
				

			

		

		

			
				
"Spring Security 3 英文原版pdf文件,由Peter Mularien撰写,是一本详细讲解Spring Security的实战指南。"  Spring Security是Java应用程序的安全框架,它提供了全面的认证、授权和访问控制功能,以保护Web应用程序...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值