SpringSecurity之CSRF漏洞保护

最新推荐文章于 2024-09-16 16:45:51 发布
最新推荐文章于 2024-09-16 16:45:51 发布
阅读量1.6k 收藏 2
点赞数 1
分类专栏: SpringSecurity 文章标签: csrf Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Littewood/article/details/125962539
版权
本文详细介绍了CSRF攻击的概念,它利用用户浏览器的已登录状态,伪装成用户发起恶意请求。通过举例展示了攻击过程,并讨论了CSRF防御的核心策略——令牌同步模式,即在每个请求中携带CSRF令牌,服务端验证令牌以防止恶意请求。同时,文章给出了在SpringSecurity中启用CSRF防御的代码示例,并分别针对传统Web开发和前后端分离场景提出了实现CSRF防御的方法。
摘要由CSDN通过智能技术生成

1.csrf简介

CSRF(Cross-Site Request Forgery跨站请求伪造),也可称为一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF

CSRF攻击是一种挟持用户在当前已登录的浏览器上发送恶意请求的攻击方法。相对于XSS利用用户对指定网站的信任,CSRF则是利用网站对用户网页浏览器的信任。简单来说,SCRF是攻击者通过一些技术手段欺骗用户的浏览器,去访问一个用户曾经认证过的网站并执行恶意请求,例如发送邮件、发消息、甚至财产操作(如转账和购买商品)。由于客户端(浏览器)已经在该网站上认证过,所以该网站会认为是真正用户在操作而执行请求(实际上这个并非用户的本意)。

例子

假设zkt现在登录了某银行的网站准备完成一项转账操作,转账的链接如下:

https://bank.xxx.com/withdrwa?account=zkt&amount=1000for=zhangsan

可以看到,这个连接是想从zkt这个账户下转账1000元到张三账户下,假设zkt没有注销登录该银行的网站,就在同一个浏览器新的选项卡中打开了一个危险网站,这个危险网站中有一幅图片,代码如下:

一旦用户打开了这个网站,这个图片链接中的请求就会被发送出去。由于是同一个浏览器并且用户尚未注销登录,所以该请求会自动携带上对应的有效的cookie信息,进而完成一次转账操作。这就是跨站请求伪造。

2.csrf防御

CSRF攻击的根源在于浏览器默认的身份验证机制(自动携带当前网站的Cookie信息),这种机制虽然可以保证请求是来自用户的某个浏览器,但是无法确保这请求是用户授权发送。攻击者和用户发送的请求一模一样,这意味着我们没有办法去直接拒绝这里的某一个请求。如果能在合法请求中额外携带一个攻击者无法获取的参数,就可以成功区分出两种不同的请求,进而直接拒绝掉恶意请求。在SpringSecurity中就提供了这种机制来防御CSRF攻击,这种机制我们称之为令牌同步模式

3.令牌同步模式

这是目前主流的CSRF攻击防御方案。具体的操作方式就是在每一个HTTP请求中,除了默认自动携带的Cookie参数之外,再提供一个安全的、随机生成的字符串,我们称之为CSRF令牌。这个CSRF令牌由服务端生成,生成后再HttpSession中保存一份。当前端请求到达后,将请求携带的CSRF令牌信息和服务端中保存的令牌进行对比,如果两者不相等,则拒绝掉该HTTP请求。

注意:考虑到会有一些外部站点链接到我们的网站,所以我们要求请求是幂等的,这样对于HEAD、OPTIONS、TRACE等方法就没有必要使用CSRF令牌了,强行使用可能会导致令牌泄露。

4.开启CSRF防御

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .csrf();  //开启csrf
    }

5.传统Web开发使用CSRF防御

开启CSRF防御后会自动在提交的表单中加入如下代码,如果不能自动加入,需要在开启之后手动加入如下代码,并随着请求提交。获取服务端令牌方式如下:

<input type="hidden" th:name="${_csrf.parameterName}"
th:value="${_csrf.token}"/>

6.前后端分离使用CSRF防御

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	//...


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .csrf()//开启csrf
//                .disable();
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());  //将令牌保存到cookie中 允许cookie前端获取

        http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
    }
}

访问登录界面查看cookie

在这里插入图片描述

发送请求携带令牌即可

  • 请求参数中携带令牌
key: "_csrf"
value: "xxx"
  • 请求头中携带令牌
X-XSRF-TOKEN:value

Littewood
关注
专栏目录
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
使用SpringSecurity处理CSRF攻击的方法步骤 春Security是当前最流行的Java Web应用程序安全框架之一,它提供了强大的安全功能,包括身份验证、授权、CSRF防护等。CSRF(Cross-site request forgery)是一种常见的...
Spring Security(六) —— CSRF
eyes++的博客
07-26 4241
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1289
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
SpringSecurity原理解析(八):CSRF防御解析
最新发布
liang8999的博客
09-16 1258
在自定义SpringSecurity配置文件中的configure方法中,通过 HttpSecurity 先调用csrf()从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用程序,2)请求到来时,程序会从请求中获取提交的csrfToken,同时会从HttpSession中获取。之前存储的csrfToken进行比较,如果相同则认为是合法的请求,继续后面的操作,这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验,来检查 Referer字段。
SpringSecurity(10)——Csrf防护
peng_gx的博客
01-20 1952
SpringSecurity Csrf防护
SpringSecurity(十)【CSRF 漏洞保护
Vinjcent
12-25 1587
具体的操作方式就是在每一个 HTTP 请求中,除了默认自动携带的 Cookie 参数之外,再提供一个安全的、随机生成的字符串,我们称之为 CSRF 令牌。可以发现,当用户在8080正常认证身份之后,假如另外一台服务知道8080服务的转账接口,那么就会根据这个接口去操作用户的信息,这回给我们用户带来数据泄露的问题,因为都是在当前网站的 Cookie 信息识别用户。获取服务端令牌方式如下。说明:模拟场景,用户A给用户B转账,在用户A未注销之前,有人通过用户A已经认证的信息,对其进行转账给用户C的操作。
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 4080
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
SpringSecurity.pdf
05-24
Spring Security之所以在Java社区中广泛流行,是因为它不仅提供了强大的安全特性,还具有高可定制性、良好的扩展性和兼容性,使得开发者可以根据具体需求选择合适的安全解决方案。而随着Web应用程序的安全要求越来越...
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
6. 安全漏洞防范:介绍常见的安全问题和最佳实践,如CSRF防护、XSS防护等。 7. 实战演练:通过具体的项目案例,让学生掌握实际开发中的安全配置和问题解决。 学习这门课程,开发者将不仅理解Spring Security和OAuth...
全套Spring Security入门到项目实战课程
03-21
#### 六、Spring Security 安全漏洞与防范 - **常见漏洞**: - SQL 注入、XSS 攻击、CSRF 攻击等。 - **防范措施**: - 使用参数化查询防止 SQL 注入。 - 对用户输入进行过滤和转义防止 XSS 攻击。 - 使用隐藏...
SpringSecurityCSRF、环境配置、授权、认证功能、记住我功能实现
m0_73976305的博客
06-08 981
SpringSecurity CSRF跨站请求伪造攻击 开发环境搭建 认证 直接认证 使用数据库认证 自定义登录界面 授权 基于角色的授权 基于权限的授权 使用注解判断权限 记住我 SecurityContext
Spring Security 中的 CSRF 攻击是什么?如何防止它?
u013749113的博客
05-24 1579
CSRF 攻击是一种常见的网络安全威胁,可以通过欺骗用户向目标站点发送恶意请求,从而达到攻击目的。SpringSecurity 提供了多种方式来防范 CSRF 攻击,其中最常用的方式是使用 CSRF Token 和 SameSite Cookie。CSRF Token 可以在每个页面中嵌入一个唯一的 Token 值,然后在用户发送请求时,将这个 Token 值一并发送到服务器端进行验证。
从原理到实践,深入解析Spring Security中的CSRF保护机制
hunterzhang86的博客
05-14 1263
随着Web应用程序的普及和发展,网络攻击成为了一个严重的问题。其中,CSRF(Cross-Site Request Forgery)攻击是一种非常常见的攻击方式。攻击者可以利用这种漏洞欺骗用户执行恶意操作,如恶意转账、修改用户信息等。为了提高应用程序的安全性,我们必须采取措施保护Web应用程序,其中之一就是CSRF保护机制。本文将介绍Spring Security中的CSRF保护机制,并提供一些示例和实践建议,以帮助开发人员实现更安全的Web应用程序。
spring security 处理CSRF
singkingcho的专栏
12-18 1039
csrf概念 英文全称叫做: cross-site request forgery,翻译过来叫做跨站请求伪造。spring security默认情况下是开启了csrf保护的。所谓的CSRF一般会在用户做了某个动作之后附加了一些额外动作。 csrf工作机制 往往是利用用户在某个系统中已经登录过,其具有一些服务器操作资源的权限,攻击者利用伪造的链接或其它骗用户完成某个操作,而这个操作会偷偷和该用户可操作的系统交互。 一个简单的示例图 如何解决 根本问题在于,我们必须要确定这个行为是不是由本身客户端发出的,而
Spring Security CSRF防御&源码分析
Charge8的博客
01-14 3692
Spring Security CSRF防御&源码分析
一分钟理解post和put(安全与幂等角度)
小胖的博客
11-22 6925
HTTP方法的安全性和幂等性 可以认为安全的方法都是只读的方法(GET, HEAD, OPTIONS),不会改变资源状态,显然,这三个方法也是幂等的。 DELETE方法的语义表示删除服务器上的一个资源,第一次删除成功后该资源就不存在了,资源状态改变了,所以DELETE方法不具备安全特性。然而HTTP协议规定DELETE方法是幂等的,每次删除该资源都要返回状态码200 OK,服务器端要实现幂等的DE...
SpringSecurity - CSRF 防御
TrustNature
10-19 860
SpringSecurity CSRF 防御,我们使用http.csrf.disable()暂时关闭掉了CSRF的防御功能,但是这样是不安全的,那么怎么样才是正确的做法呢? 整体来说,就是两个思路: 生成 csrfToken 保存在 HttpSession 或者 Cookie 中。 请求到来时,从请求中提取出来 csrfToken,和保存的 csrfToken 做比较,进而判断出当前请求是否合...
10 SpringSecurity-跨域请求伪造(CSRF)的防护
02-22 4301
一、CSRF CSRF的全称是(Cross Site Request Forgery),可译为跨域请求伪造,是一种利用用户带登录 态的cookie进行安全操作的攻击方式。CSRF实际上并不难防,但常常被系统开发者忽略,从而埋下巨 大的安全隐患。 二、攻击过程 举个例子,假设你登录了邮箱,正常情况下可以通过某个链接http:xx.mail.com/send可以发送邮件。此时你又访问了别的网站,网站中有黄色广告,点击后广告会请求http:xx.mail.com/send。此时相当于在盗版网站中调用了发送邮
Spring Security关闭csrf
11-16
为了关闭Spring Security中的csrf保护,可以在Spring Security配置文件中添加以下代码: ```java http.csrf().disable(); ``` 这将禁用所有Spring Security中的csrf保护。但是,关闭csrf保护可能会导致安全漏洞,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值