CSRF全称是Cross-site request forgery,翻译过来的意思是跨站请求伪造。
HTTP协议本身是无状态的,这意味着HTTP协议本身无法识别并记录客户身份。
为了实现用户登录并保持登录状态的功能,就要求在HTTP协议之上增加新的特性和功能,将无状态的HTTP协议变成可以支持状态保持的服务。
这个技术就是Session和Cookie。
Cookie是保存在浏览器端的一小段数据,服务器可以通过HTTP协议,要求客户端设置本地的Cookie数据或告知客户端将Cookie数据以HTTP报文头的方式发送给服务器端。
Session是服务器端保存的一小段数据(当然也可以是一大段),这段数据和特定的客户相关,服务器端会为每个客户都保存一份该客户独有的Session数据。
单独的Session数据是没有意义的,服务器是个大杂烩,它保存了所有客户的Session数据。在这样的情况下,服务器端是需要浏览器端告知其客户和Session数据间的对应关系。只有知道了映射关系,服务器端才能妥善处理Session数据。
在Servlet应用中,Cookie使用一个key叫JSESSIONID的一条数据。这条数据的value值保存的是一个主键,或者说是全局唯一的编号。这个编号在服务器端对应的,就是一个特定的Session。
Servlet规范便是通过这种机制,使用无状态的HTTP协议实现了用户身份和数据的保持逻辑。
Session中通常保存的是客户登录后的客户身份信息,用户名、角色权限等。
但是,这也意味着一个问题。假设有人知道了别人的JSESSIONID,就可以将自己伪装成该客户,发起相关的请求,比如转账,比如买东西等。对于服务器来讲,它只能识别JSESSIONID,却不能知道JSESSIONID的发起方是同一个人,还是多个不同的人。
CSRF就是利用了这样的漏洞,对网站进行攻击,严重时可能会导致客户资产的损失。那如何防范CSRF攻击呢?
有一种方式是识别请求发起方的身份,比如说服务器只接受从我传递给客户端的页面中触发的请求。假设有人拿到了他人的JSESSIONID,然后通过某种方式从其他网站上发起请求,则服务器会直接拒绝。原因是因为你发起请求的页面不是我生成的,正常客户点击按钮一定是在我生成的页面上点击触发,所以服务器可以将请求拒绝。
那如何识别发送请求是来自于服务器生成的页面,还是来自其他第三方页面呢?
一种比较好的方式,是服务器给每个页面都生成一个唯一识别码。这个页面上的所有请求在提交给服务器时,除了正常的数据之外,还需要将这个唯一识别码传回给服务器,服务器端比对成功则继续处理请求,否则拒绝。
Spring Security是使用CsrfFilter 来实现上述功能的,Spring Security默认配置下就会在SecurityFilterChain中创建CsrfFilter实例,如下图所示:
CsrfFilter内部有个CsrfTokenRepository类型的属性,这个属性主要负责生成和存储一个token。比较常见的实现是HttpSessionCsrfTokenRepository,它将这个token存储在和用户相关的Session中。
另一方面,生产的token会写入到request中一个名叫_csrf的属性中,这意味着可以使用View渲染技术,将该属性值加载到View中返回给客户端。
LoginPageGeneratingWebFilter是使用form登录时,Spring Security用于生成默认登录页面的Filter。这个Filter中会将生成的CSRF写入到form表单中。通过浏览器查看默认登录页面的源代码,可以看到一个hidden的表单域:
这样,在通过POST方式提交登录请求的时候,就会将该token以_csrf为key传递给服务器端,服务器端就可以验证请求的来源是否合法了。
441
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
