4-SpringSecurity:CSRF防护

最新推荐文章于 2024-07-11 15:29:37 发布
最新推荐文章于 2024-07-11 15:29:37 发布
阅读量150 收藏
点赞数
文章标签: csrf servlet 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GJ_ia/article/details/128604879
版权

背景

本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验SpringSecurity的各项Feature。

依赖不变,核心依赖为WebSpringSecurityThymeleaf

<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-devtools</artifactId><scope>runtime</scope><optional>true</optional></dependency><dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId><optional>true</optional></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope></dependency>
</dependencies>

从官网中可以知道,CSRF防护的关键在于我们发请求时附带一个随机数(CSRF token),而这个随机数不会被浏览器自动携带(eg: Cookie就会被浏览器自动带上)。

实验0:登录时的CSRF防护

显然,我们这里的登录请求是个POST方法(SpringSecurity默认忽略"GET", “HEAD”, “TRACE”, "OPTIONS"等幂等请求的CSRF拦截)。登录时必须携带_csrf参数,与认证信息一并提交,否则报403。

  • 后端安全配置(默认开启CSRF
@Override
protected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/user/add").hasAuthority("p1").antMatchers("/user/query").hasAuthority("p2").antMatchers("/user/**").authenticated().anyRequest().permitAll() // Let other request pass.and()// .csrf().disable() // turn off csrf, or will be 403 forbidden.formLogin() // Support form and HTTPBasic.loginPage("/login").failureHandler(new Authentication
最低0.47元/天 解锁文章
GJ_ia
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
从原理到实践,深入解析Spring Security中的CSRF保护机制
hunterzhang86的博客
05-14 1065
随着Web应用程序的普及和发展,网络攻击成为了一个严重的问题。其中,CSRF(Cross-Site Request Forgery)攻击是一种非常常见的攻击方式。攻击者可以利用这种漏洞欺骗用户执行恶意操作,如恶意转账、修改用户信息等。为了提高应用程序的安全性,我们必须采取措施保护Web应用程序,其中之一就是CSRF保护机制。本文将介绍Spring Security中的CSRF保护机制,并提供一些示例和实践建议,以帮助开发人员实现更安全的Web应用程序。
Spring Security(学习笔记)--漏洞保护(csrf攻击与防御以及源码分析)!
TONGZHOUGONGDU的博客
04-29 406
CSRF是什么 ,跨站请求伪造,简单解释一下,就是用户登录某个界面,如银行界面,进行转账,完了之后并没有注销登录,而是打开一新的页面,在页面上点击了某个攻击者设下的链接,那么这个链接,就可以带着浏览器存储的cookie,发送给银行服务器,由于已经认证过了,所以银行服务器以为是用户自己的操作,就达成了攻击者的目的。我们登录第一个项目,然后点击转账,后台会出现模拟转账的打印,然后,进入第二个项目的界面,直接点那张具备诱惑力的图片,然后,就会发现,项目一,依然打印了转账的操作日志,这个就是跨站请求伪造。
2-SpringSecurityCSRF攻击
afsdfrsg的博客
04-22 265
当然这个POST接口无法直接在浏览器中发起请求,我们需要借助PostMan来实现POST请求的发送。把浏览器中的Cookie复制到PostMan中。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?其实默认就开启了CSRF防护,这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。并且默认忽略"GET", “HEAD”, “TRACE”, "OPTIONS"等请求,源码如下:/**requests.*//*@see*/
4-SpringSecurityCSRF防护,这似乎是目前最实用的HashTable知识总结
m0_58397123的博客
04-10 525
Java架构学习技术内容包含有:Spring,Dubbo,MyBatis, RPC, 源码分析,高并发、高性能、分布式,性能优化,微服务 高级架构开发等等。还有Java核心知识点+全套架构师学习资料和视频+一线大厂面试宝典+面试简历模板可以领取+阿里美团网易腾讯小米爱奇艺快手哔哩哔哩面试题+Spring源码合集+Java架构实战电子书+2021年最新大厂面试题。一个人可以走的很快,但一群人才能走的更远。
SpringSecurityCSRF防护
2201_75856701的博客
01-14 219
继续演示开启CSRF防护的场景(当时关闭了CSRF:.csrf().disable())。依赖不变,核心依赖为Web与Thymeleaf从官网中可以知道,CSRF防护的关键在于我们发请求时附带一个随机数(CSRF token),而这个随机数不会被浏览器自动携带(eg: Cookie就会被浏览器自动带上)。
关于Spring SecurityCSRF
寻码启示
06-05 417
GET请求是正常的,但是POST请求会报403错误。Spring中POST请求不到。
SpringSecurity基础:CSRF攻击原理
Leon_Jinhai_Sun的博客
09-12 390
SpringSecurity基础:CSRF攻击原理
SpringSecurityCSRF攻击
2201_75856701的博客
01-13 483
一些网站比如知乎、简书中的外部链接,点击之后会有提示(免责声明),此操作有风险是否继续,这便与CSRF密切相关。当然这个POST接口无法直接在浏览器中发起请求,我们需要借助PostMan来实现POST请求的发送。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?防护,这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。建好项目后,创建一个简单的HelloController.java,包含一个。项目中模拟一个按钮操作,发起。,模拟一个钓鱼网站。
SpringSecuritycsrf防护措施
Leon_Jinhai_Sun的博客
11-16 943
SpringSecuritycsrf防护机制 CSRF(Cross-site request forgery)跨站请求伪造,是一种难以防范的网络攻击方式。 SpringSecurityCsrfFilter过滤器说明 通过源码分析,我们明白了,自己的认证页面,请求方式为POST,但却没有携带token,所以才出现了403权限不 足的异常。那么如何处理这个问题呢? 方式一:直接禁用csrf,不推荐。 方式二:在认证页面携带token请求。 禁用csrf防护机制 在SpringSe.
Spring Boot 项目使用Spring Security防护CSRF攻击实战
oscar999的专栏
11-28 940
Spring Boot项目结合Spring Security ,可以实现用户认证和用户授权。 Spring Security的用户认证可以是配置的用户、数据库的用户或者直接整合LDAP, 用户授权上可以根据角色和用户来进行授权。 综合来说, 使用Spring Boot+Spring Security 就可以很好的进行权限的管控了。除此之外, Spring Security 还提供了对CSRF、XSS等安全弱点的防护
spring security CSRF防护的示例代码
08-26
Spring Security CSRF 防护机制详解 CSRF(Cross-site request forgery),即跨站请求伪造,是一种常见的 Web 攻击。Spring Security 4.0 及更高版本默认启用 CSRF 防护,以防止 CSRF 攻击应用程序。下面是 Spring ...
bp-support-spring-security:支持使用Spring Security
05-10
"支持使用 ."后的内容不完整,但可以推测这可能是指支持Spring Security的各种特性,如过滤器链配置、角色权限管理、记住我功能、CSRF防护等。 标签"Java"明确了这个项目是用Java语言编写的,符合Spring Security...
tut-spring-security-and-angular-js:Spring Security 和 Angular JS
06-14
2. **CSRF防护**: Spring Security提供CSRF防护,Angular应用需要配置以正确处理CSRF令牌。 3. **认证流程**: 设计安全的登录流程,如使用Angular向Spring Security发送认证请求,获取认证令牌,并在后续请求中携带...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 项目中,可以通过引入 Spring Security 的相关依赖项来实现 CSRF 防护。 首先,在 pom 文件中添加 Spring Security 的依赖项: ```xml <groupId>org.springframework.security <artifactId>...
springBoot-springSecurity-OAuth2
01-16
它提供了一套全面的安全控制机制,包括登录验证、权限控制、CSRF防护等。在SpringBoot项目中集成SpringSecurity,可以通过简单的配置实现复杂的安全需求,确保应用的数据和操作安全。 OAuth2则是一种开放标准,用于...
CSRF靶场通关合集
weixin_72543266的博客
07-07 840
最进系统的将从web渗透到内网渗透的知识点做一个回顾,同时结合一些实战的案例来演示,下面是对刚开始学习时对靶场的一个总结.
Node多版本管理器NVM安装使用
最新发布
GongWeiBuQi的博客
07-11 131
安装node很方便,只需要一条命令可以轻松切换node版本可以多版本node并存。
一个使用Go语言和现代Web技术构建跨平台桌面应用程序开源项目
yunmoon的博客
07-10 822
Wails作为一个桥梁,连接强大的Go后端逻辑与丰富的Web前端界面,允许开发者利用两者的最佳特性来开发应用。
springboot csrf防护 spring security
10-31
Spring Boot是一个开源的框架,可以简化Java应用程序的开发。CSRF(Cross-Site Request Forgery)是一种常见的安全漏洞,攻击者利用用户在另一个网站上的身份验证信息来执行恶意操作。Spring SecuritySpring Boot的一个扩展模块,用于处理应用程序的安全性问题。 Spring Security提供了一种用于CSRF防护的机制,可以保护Web应用免受此类攻击。Spring Security通过生成和验证令牌来完成CSRF防护。 在Spring Security中,可以使用`<csrf/>`标签来启用CSRF保护。此标签将自动在每个HTTP POST请求中添加一个令牌,并将其存储在用户的会话中。 当用户提交POST请求时,服务器会验证该令牌是否与用户会话中存储的令牌匹配。如果令牌匹配,则请求被视为合法请求,否则将被拒绝。 Spring Security还提供了可以在HTML表单中使用的特殊标记`_csrf`,用于向服务器发送令牌。通过在表单中包含此标记,可以确保提交的表单是合法的。 CSRF防护Spring Security的默认行为,因此您无需额外配置即可使用此功能。但是,您可以根据需要进行自定义配置,如自定义令牌生成和验证逻辑。 综上所述,Spring Boot与Spring Security可以提供强大的CSRF防护功能,帮助保护Web应用程序免受恶意攻击。使用Spring Boot和Spring Security可以简化开发过程,并使应用程序更加安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值