2-SpringSecurity：CSRF攻击

@GetMapping(“/hello”)

public String hello(){

return “hello springsecurity”;

}

@PostMapping(“/ok”)

public String ok(){

return “ok”;

}

}

当然这个POST接口无法直接在浏览器中发起请求，我们需要借助PostMan来实现POST请求的发送。把浏览器中的Cookie复制到PostMan中。

• 先发GET /hello，正常

• 再发POST /ok，403了。。

那么，问题来了，两个请求都是在登录状态下进行的，为什么GET成功，POST返回403了？

其实SpringSecurity默认就开启了CSRF防护，这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。并且SpringSecurity默认忽略"GET", “HEAD”, “TRACE”, "OPTIONS"等请求，源码如下：

/**

• Specify the {@link RequestMatcher} to use for determining when CSRF should be

• applied. The default is to ignore GET, HEAD, TRACE, OPTIONS and process all other

• requests.

• @param requireCsrfProtectionMatcher the {@link RequestMatcher} to use

• @return the {@link CsrfConfigurer} for further customizations

*/

public CsrfConfigurer requireCsrfProtectionMatcher(

RequestMatcher requireCsrfProtectionMatcher) {

Assert.notNull(requireCsrfProtectionMatcher,

“requireCsrfProtectionMatcher cannot be null”);

this.requireCsrfProtectionMatcher = requireCsrfProtectionMatcher;

return this;

}

private static final class DefaultRequiresCsrfMatcher implements RequestMatcher {

private final HashSet allowedMethods = new HashSet<>(

Arrays.asList(“GET”, “HEAD”, “TRACE”, “OPTIONS”));

/*

• (non-Javadoc)

• @see

• org.springframework.security.web.util.matcher.RequestMatcher#matches(javax.

• servlet.http.HttpServletRequest)

*/

@Override

public boolean matches(HttpServletRequest request) {

return !this.allowedMethods.contains(request.getMethod());

}

}

实验1：CSRF GET攻击

CSRF: Cross-Site Request Forgery 跨站请求伪造。一些网站比如知乎、简书中的外部链接，点击之后会有提示（免责声明），此操作有风险是否继续，这便与CSRF密切相关。

结合上篇文章，新建一个SpringBoot项目，起名spring-security-csrf，核心依赖为Web与Thymeleaf，模拟一个钓鱼网站。

org.springframework.boot

spring-boot-starter-web

org.springframework.boot

spring-boot-starter-thymeleaf

org.springframework.boot

spring-boot-devtools

runtime

true

org.projectlombok

lombok

true

org.springframework.boot

spring-boot-starter-test

test

建好项目后，创建一个简单的HelloController.java，包含一个/的GET请求，返回一个页面index.html:

• 后端接口

@Controller

public class HelloController {

@RequestMapping(“/”)

public String hello(){

return “index”;

}

}

• 前端模板

Fishing:

Note：

• 以下步骤在Firefox浏览器完成；

• 修改springboot-security的后端接口，增加输出打印，方便后续确定请求是否进入后端；

@RestController

@Slf4j

public class HelloController {

@GetMapping(“/hello”)

public String hello(){

log.info("Hello ");

return “hello”;

}

@PostMapping(“/ok”)

public String ok(){

log.info(“ok”);

return “ok”;

}

}

• 前提：为了模拟不同域名下的请求（即CSRF），我们在本地的hosts文件添加如下内容：

127.0.0.1 hello

127.0.0.1 world

实验步骤：

1. 启动两个项目：springboot-security在8080端口、spring-security-csrf在8081端口；

2. 打开浏览器，访问http://hello:8080，并完成登录，访问https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=http%3A%2F%2Fhello%3A8080%2Fhello&pos_id=img-uzbDFfc5-1713790198642)接口，观察项目springboot-security后台打印输出；

3. 在同一个浏览器，访问http://world:8081，默认进入index.html，同时观察项目springboot-security后台打印输出；

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注：Java）

笔者福利

以下是小编自己针对马上即将到来的金九银十准备的一套“面试宝典”，不管是技术还是HR的问题都有针对性的回答。

有了这个，面试踩雷？不存在的！

回馈粉丝，诚意满满！！！

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！
九银十准备的一套“面试宝典”，不管是技术还是HR的问题都有针对性的回答。

有了这个，面试踩雷？不存在的！

回馈粉丝，诚意满满！！！

[外链图片转存中…(img-fg5cZRfe-1713790187126)]
[外链图片转存中…(img-tgSGcmkq-1713790187127)]
[外链图片转存中…(img-18ZkRO6y-1713790187127)]
[外链图片转存中…(img-noSSa7Bt-1713790187128)]

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！