Spring Security--CSRF防护

最新推荐文章于 2023-04-15 08:15:00 发布
最新推荐文章于 2023-04-15 08:15:00 发布
阅读量324 收藏 1
点赞数
分类专栏: Java SpringSecurity 文章标签: java spring 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shouhe1024/article/details/105335402
版权

    Spring Security 中 CSRF

      从刚开始学习 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。

    1 什么是 CSRF

      CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。
      跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。
      客户端与服务进行交互时,由于 http 协议本身是无状态协议,所以引入了 cookie 进行记录客户端身份。在 cookie 中会存放 session id 用来识别客户端身份的。
      在跨域的情况下,session id 可能被第三方恶意劫持,通过这个 session id 向服务端发起请求时,服务端会认为这个请求是合法的,可能发生很多意想不到的事情。

    2 Spring Security 中 CSRF

      从 Spring Security4 开始 CSRF 防护默认开启。默认会拦截请求。进行 CSRF 处理。CSRF 为了保证不是其他第三方网站访问,要求访问时携带参数名为_csrf 值为 token(token 在服务端产生)的内容,如果 token 和服务端的 token 匹配成功,则正常访问。

      2.1实现步骤
          2.1.1 编写控制器方法

          编写控制器方法,跳转到 templates 中 login.html 页面。

@GetMapping("/showLogin") 
public String showLogin() { 
		return "login";
	}
          2.1.2 新建 login.html

          在项目 resources 下新建 templates 文件夹,并在文件夹中新建 login.html 页面。
第一行input不能忘记

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="/login" method="post">
   <input type="hidden" th:value="${_csrf.token}" name="_csrf" th:if="${_csrf}"/>
    用户名:<input type="text" name="username"/><br/>
    密码:<input type="password" name="password"/><br/>
    <input type="submit" value="登录"/>
</form>
</body>
</html>

这样就可以 在配置类中注释掉 CSRF

   //http.csrf().disable();
我和井盖都笑了
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurityCSRF解读
-
04-11 549
SpringSecurityCSRF解读 从刚开始学习SpringSecurity时,在配置一直存在这样一行代码:http.csrfo.disable() 如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 什么是CSRF CSRF (Cross-site request forgery) 跨站请求伪造,也被称为"OneClick Attack” 或者 Sess...
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1187
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
Spring Security(六) —— CSRF
eyes++的博客
07-26 4110
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
SpringSecurity(十)【CSRF 漏洞保护】
Vinjcent
12-25 1501
具体的操作方式就是在每一个 HTTP 请求,除了默认自动携带的 Cookie 参数之外,再提供一个安全的、随机生成的字符串,我们称之为 CSRF 令牌。可以发现,当用户在8080正常认证身份之后,假如另外一台服务知道8080服务的转账接口,那么就会根据这个接口去操作用户的信息,这回给我们用户带来数据泄露的问题,因为都是在当前网站的 Cookie 信息识别用户。获取服务端令牌方式如下。说明:模拟场景,用户A给用户B转账,在用户A未注销之前,有人通过用户A已经认证的信息,对其进行转账给用户C的操作。
spring-security-demo.zip
08-10
- Spring Security默认启用CSRF(跨站请求伪造)防护,防止恶意第三方模拟用户发送请求。 - 可以通过添加`@EnableGlobalMethodSecurity(prePostEnabled = true)`启用方法级别的安全注解,如`@Secured`和`@...
SpringSecurity-数据库认证-简单授权
最新发布
06-03
在实际项目,你可能还需要配置CSRF防护、异常处理和自定义登录页面等功能。总的来说,SpringSecurity提供了一个强大且可扩展的框架,能够帮助开发者轻松地实现复杂的安全需求。通过与数据库的集成,我们可以实现...
spring-boot spring-security-oauth2 完整demo
11-22
Spring SecuritySpring生态下的一个安全模块,它提供了全面的安全管理解决方案,包括身份验证、授权、CSRF防护等。Spring Security配置灵活性高,能够适应各种安全需求,而且与Spring Boot结合使用时,可以无缝...
springBoot-springSecurity-OAuth2
01-16
它提供了一套全面的安全控制机制,包括登录验证、权限控制、CSRF防护等。在SpringBoot项目集成SpringSecurity,可以通过简单的配置实现复杂的安全需求,确保应用的数据和操作安全。 OAuth2则是一种开放标准,用于...
springsecurity-thymeleaf.zip
07-15
Spring Security 提供了一整套全面的安全解决方案,包括但不限于用户认证、访问控制、会话管理、CSRF防护、HTTP基本和摘要认证、OAuth2支持等。它通过拦截HTTP请求并执行相应的安全策略来保护应用。Spring Security...
详解如何在spring boot使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring securityCSRF的支持
GitChat
05-18 186
安全是一个企业的底裤,其一个很常见的网络攻击就是CSRF,本次chat将使用spring security搭建一个支持CSRF的应用,所有代码放到github上,文字作为讲解帮助大家理解,希望大家认真学习CSRF,做好网络的防护。适合所有开发java web的小伙伴学习。...
spring security 处理CSRF
singkingcho的专栏
12-18 1008
csrf概念 英文全称叫做: cross-site request forgery,翻译过来叫做跨站请求伪造。spring security默认情况下是开启了csrf保护的。所谓的CSRF一般会在用户做了某个动作之后附加了一些额外动作。 csrf工作机制 往往是利用用户在某个系统已经登录过,其具有一些服务器操作资源的权限,攻击者利用伪造的链接或其它骗用户完成某个操作,而这个操作会偷偷和该用户可操作的系统交互。 一个简单的示例图 如何解决 根本问题在于,我们必须要确定这个行为是不是由本身客户端发出的,而
SpringSecurityCSRF漏洞保护
Littewood的博客
07-24 1635
SpringSecurityCSRF漏洞保护
spring security 集成csrf与会话更新
InfoSecPractitioner
11-27 2314
配置spring securitycsrf功能后,用APP SCAN扫描,发现登录页面没有进行会话更新(changeSessionId),如果使用servlet3.1+,可以直接在request调用changeSessionId()方法。如果使用的是旧版本的servlet,则可以使用如下方法: /*spring security csrf token reinvoke*/ Ob
spring security安全框架的配置文件
狗凡的博客
09-07 418
这里我写了两种不同的spring security安全框架的配置文件: 1.使用内存的用户 2.使用数据库的用户 1.使用内存的用户: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:security=...
spring securityCSRF的支持(完整源码)
GitChat
05-18 250
安全是一个企业的底裤,其一个很常见的网络攻击就是CSRF。鉴于网络上很多资料不大全面,本次chat将尝试使用spring security搭建一个支持CSRF的应用,把所有代码放到github上,文字作为讲解帮助大家理解。希望大家认真学习CSRF,做好网络的防护。本文适合所有开发java web的小伙伴学习。...
spring-securitycsrf防御机制(跨域请求伪造)
weixin_33965305的博客
12-13 237
什么是csrfcsrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备...
Spring Security 6.x 系列【21】漏洞防护篇之跨站请求伪造
记录知识、锤炼自我
07-12 7787
除了认证授权外功能外,还提供了安全防护功能,比如跨站点请求伪造 (CSRF跨站请求伪造,通常缩写为CSRF或者XSRF。简单来说就是攻击者通过一些技术手段,欺骗用户的浏览器去访问一个自己曾经认证过的网站,并运行一些操作,比如发消息、转账、购买商品等。
springboot csrf防护 spring security
10-31
Spring Security提供了一种用于CSRF防护的机制,可以保护Web应用免受此类攻击。Spring Security通过生成和验证令牌来完成CSRF防护。 在Spring Security,可以使用`<csrf/>`标签来启用CSRF保护。此标签将自动在每...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值