Springboot+Springsecurity开启csrf跨站请求防护

最新推荐文章于 2024-06-11 09:58:42 发布
最新推荐文章于 2024-06-11 09:58:42 发布
阅读量1.8k 收藏 3
点赞数
文章标签: spring boot csrf 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nirvana069/article/details/121355527
版权

如果配置了springsecurity,默认是开启的,不过大多是项目为了便利,往往会在配置中将其关闭的,

.csrf().disable()

不过有些业务场景单纯的认证token不能满足,需要开启csrf防护,找了很久找到了如下方法,做为记录。

配置文件中(WebSecurityConfig)将

.csrf().disable()改为
.csrf().ignoringAntMatchers("XXXX").csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()).and()

配置完之后,会在前端页面的cookie中发现多了一个参数XSRF-TOKEN,我才用的vue的前端,前端没有做任何调整,请求后台接口的时候header中会自动生成一个参数X-XSRF-TOKEN。

开启csrf防护之后,平台操作没有受到影响,不过postman向后台发起post请求受到限制,会提示没有权限,get请求没有受到影响。(postman的cookie和header中添加csrf需要的参数,模拟页面提交,由同事测试均显示没有权限,具体情况待验证)

由于开启了csrf防护之后post请求受到了影响,原先即使配置无需登录就能请求的后台接口也不能访问,为了不影响原先业务,在csrf配置中有一个ignoringAntMatchers,可以将需要忽略的接口路径配置在其中

Nirvana069
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vue csrf认证_要学就学透彻!Spring SecurityCSRF 防御源码解析
weixin_39869197的博客
01-25 1377
今日干货刚刚发表查看:66666回复:666公众号后台回复 ssm,免费获取松哥纯手敲的 SSM 框架学习干货。上篇文章松哥和大家聊了什么是 CSRF 攻击,以及 CSRF 攻击要如何防御。主要和大家聊了 Spring Security 中处理该问题的几种办法。今天松哥来和大家简单的看一下 Spring Security 中,CSRF 防御源码。本文是本系列第 19 篇,阅读本系列前面文...
springboot框架学习 springSecurity5的CSRF保护(cookie跨域保护)
m0_59588838的博客
05-02 2428
昨天遇到的一个毁灭性的bug,前提是我没有系统的了解springsecurity5这款安全框架,它封装管理的一些保护机制,其中导致我明明页面和对应的方法映射写的都好好的,结果就是从一个页面跳转另一个页面报出403错误,且显示得不到任何映射,这就很让我困扰,本来我以为是我controller层的方法写的有问题,做好如下的调试代码: @RequestMapping("query") public User query(String username){ System.out.pr
Spring Boot的安全机制---Security,及其常用属性方法说明
最新发布
寻码启示
06-11 786
Spring Security介绍及其常用属性方法说明。HttpSecurity和WebSecutiry的区别。
后端SpringSecurity+vue前端axios+uni-app解决跨站请求伪造CSRF
weixin_42739423的博客
07-03 1165
1.1.SpringSecurity配置,public class SecurityConfig extends WebSecurityConfigurerAdapter @Override protected void configure(HttpSecurity http) throws Exception { //code... http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFa
Spring Boot中的CSRF攻击及预防
Java徐师兄的博客
07-06 1805
CSRF攻击是一种常见的网络攻击方式,可以通过欺骗用户来执行恶意操作。在Spring Boot应用程序中,我们可以采取多种措施来预防CSRF攻击,如添加CSRF令牌、验证请求来源、使用HTTPS协议和定期更改密钥等。这些措施可以有效地保护应用程序的安全,防止攻击者利用CSRF漏洞进行攻击。在实际开发中,我们可以根据实际需求选择适当的预防措施。例如,如果应用程序只对内部用户开放,可以限制请求来源为内部网络;如果应用程序需要对外开放,可以使用HTTPS协议来加密数据传输。
处理Spring Security在配置好csrf后接口报401问题
永远sayYES的博客
09-22 2071
处理Spring Security在配置好csrf后接口报401问题 现象:接口报401,csrf disable后接口正常200 项目是基于Java Spring boot 2.4.4 写的,原来是csrf是disable的,项目一直跑是没有问题。有一天项目需要配置csrf,不然会有潜在的CSRF风险(跨站请求伪造攻击)。 话不多说,改就完了。 原有配置 http.csrf().disable() 修改后的配置 http.csrf().csrfTokenRepository(CookieCsrfToke
csrf防护机制
凉茶铺的博客
07-17 2025
CSRF(Cross-siterequestforgery),中文名称跨站请求伪造你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括个人隐私泄露以及财产安全。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如。...
SpringSecurity的简单入手
weixin_49390750的博客
06-16 1800
SpringSecurity的简单入手
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
2. **Spring Security**:是Spring生态系统的安全模块,提供了全面的安全管理功能,包括身份验证、授权、CSRF防护等。 3. **JWT**:是一种轻量级的身份验证机制,用于在不同系统之间安全地传递信息。它包含用户信息...
SpringBoot+SpringSecurity+JWT权限管理练习项目
01-16
**SpringBoot+SpringSecurity+JWT权限管理练习项目详解** 在当今的Web开发中,权限管理和认证是不可或缺的部分,尤其对于企业级应用来说更是如此。本项目以SpringBoot为基础,结合SpringSecurity进行权限控制,并...
基于springboot+springSecurity+jwt实现的基于token的权限管理
02-24
这个基于"springboot+springSecurity+jwt实现的基于token的权限管理"的示例项目,旨在帮助开发者理解和实践这些技术。 首先,Spring BootSpring框架的简化版,它提供了快速构建和部署应用程序的能力。通过自动...
SpringBoot+SpringSecurity+Vue实现后台管理系统的开发项目源代码
07-08
3. CSRF防护:防止跨站请求伪造攻击,保护敏感操作的安全。 4. HTTP安全设置:如HTTP头部安全设置,防止XSS、点击劫持等攻击。 **Vue.js** Vue.js是一款轻量级的前端MVVM(Model-View-ViewModel)框架,以数据驱动...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
03-02
它可以保护你的应用程序免受常见的安全威胁,如CSRF跨站请求伪造)和XSS(跨站脚本攻击)。 **3. JWT介绍** JWT是一种轻量级的身份验证机制,用于在客户端和服务器之间传输信息。它由三部分组成:头部、负载和...
springsecurity实现单点登录
m0_67401660的博客
08-25 840
小伙伴们,你们好呀!我是老寇!废话不多说,跟我一起学习单点登录SSO。
Spring Security(六) —— CSRF
eyes++的博客
07-26 4074
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
Spring Security中启用CSRF防护(REST版)
fxtxz2的专栏
03-13 847
REST版本的csrf防护,就是在原有的登录接口基础上面,新增一个实时随机请求头来,实现CSRF防护
SpringSecurityCSRF攻击
2201_75856701的博客
01-13 485
一些网站比如知乎、简书中的外部链接,点击之后会有提示(免责声明),此操作有风险是否继续,这便与CSRF密切相关。当然这个POST接口无法直接在浏览器中发起请求,我们需要借助PostMan来实现POST请求的发送。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?防护,这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。建好项目后,创建一个简单的HelloController.java,包含一个。项目中模拟一个按钮操作,发起。,模拟一个钓鱼网站。
Spring Boot + Spring Security解决POST方式下的CSRF问题
Rome was not built in one day
03-20 6155
以下配置基于spring boot版本1.4.2.RELEASE,默认引入的spring security版本为4.1.3.RELEASE,页面模板采用thymeleaf。问题现象:HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'...
后端分离架构 -- SpringSecurity用法+自定义token校验
weixin_44795847的博客
02-11 4013
后端分离架构 -- SpringSecurity用法+自定义token校验
springboot csrf防护 spring security
10-31
Spring Boot是一个开源的框架,可以简化Java应用程序的开发。CSRF(Cross-Site Request Forgery)是一种常见的安全漏洞,攻击者利用用户在另一个网站上的身份验证信息来执行恶意操作。Spring SecuritySpring Boot的一个扩展模块,用于处理应用程序的安全性问题。 Spring Security提供了一种用于CSRF防护的机制,可以保护Web应用免受此类攻击。Spring Security通过生成和验证令牌来完成CSRF防护。 在Spring Security中,可以使用`<csrf/>`标签来启用CSRF保护。此标签将自动在每个HTTP POST请求中添加一个令牌,并将其存储在用户的会话中。 当用户提交POST请求时,服务器会验证该令牌是否与用户会话中存储的令牌匹配。如果令牌匹配,则请求被视为合法请求,否则将被拒绝。 Spring Security还提供了可以在HTML表单中使用的特殊标记`_csrf`,用于向服务器发送令牌。通过在表单中包含此标记,可以确保提交的表单是合法的。 CSRF防护Spring Security的默认行为,因此您无需额外配置即可使用此功能。但是,您可以根据需要进行自定义配置,如自定义令牌生成和验证逻辑。 综上所述,Spring BootSpring Security可以提供强大的CSRF防护功能,帮助保护Web应用程序免受恶意攻击。使用Spring BootSpring Security可以简化开发过程,并使应用程序更加安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值