CompositeFilter CSRF保护业务场景说明

于 2024-07-16 10:32:40 发布
阅读量270 收藏 1
点赞数 5
分类专栏: spring mvc spring boot Java 文章标签: csrf java filter spring spring mvc spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alises1314/article/details/140459537
版权
spring boot 同时被 3 个专栏收录
82 篇文章 0 订阅
订阅专栏
Java
64 篇文章 0 订阅
订阅专栏
spring mvc
46 篇文章 0 订阅
订阅专栏

CompositeFilter 过滤器,用于将多个过滤器组合成一个单独的过滤器。在 Spring Security 的过滤器链中,它允许你将多个安全相关的过滤器逻辑组合起来,以简化配置和提高效率。

肖哥弹架构 跟大家“弹弹” SpringBoot源码,需要代码关注

欢迎 点赞,点赞,点赞。

关注公号Solomon肖哥弹架构获取更多精彩内容

业务场景:

假设你正在开发一个需要多种安全检查的Web应用程序,比如同时需要进行CSRF保护、表单认证、HTTP头部的XSS保护等。在这种情况下,你可能需要将多个Spring Security过滤器组合起来,以确保所有安全措施都能被应用。

1. 配置 CompositeFilter

在Spring Security的配置中,你可以定义多个过滤器,并使用 CompositeFilter 将它们组合起来:

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;
import org.springframework.security.web.csrf.CsrfFilter;
import org.springframework.security.web.header.XssProtectionHeaderFilter;

public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 定义一个CompositeFilter
        CompositeFilter compositeFilter = new CompositeFilter();
        compositeFilter.setFilters(Arrays.asList(
            new CsrfFilter(),
            new XssProtectionHeaderFilter(),
            new BasicAuthenticationFilter(authenticationManager())
        ));

        // 将CompositeFilter添加到HttpSecurity配置中
        http
            .addFilterBefore(compositeFilter, UsernamePasswordAuthenticationFilter.class);
        
        // 其他配置...
    }
}
2. 使用 CompositeFilter

一旦 CompositeFilter 被配置,它会按照你在列表中定义的顺序执行每个过滤器的逻辑。

关键处理代码:

CompositeFilter 的关键处理逻辑在于如何将多个过滤器组合并执行:

import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.List;

public class CompositeFilter extends OncePerRequestFilter {

    private final List<Filter> filters;

    public CompositeFilter(List<Filter> filters) {
        this.filters = filters;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        for (Filter filter : filters) {
            filter.doFilter(request, response, filterChain);
        }
    }
}

在这个示例中,CompositeFilter 继承自 OncePerRequestFilter,确保每个请求只被处理一次。doFilterInternal 方法遍历所有的过滤器,并按顺序调用它们的 doFilter 方法。

目的:

  • CompositeFilter 允许开发者将多个过滤器逻辑组合成一个单独的过滤器,简化了Spring Security的配置。
  • 它可以提高应用程序的安全性,通过集中管理多个安全相关的过滤器。
  • 使用 CompositeFilter 可以提高代码的可读性和可维护性,因为所有相关的安全过滤器都被组织在一起。

CompositeFilter 是 Spring Security 中一个非常有用的工具,它帮助开发者以一种清晰和高效的方式实现复杂的安全需求。通过这种方式,可以确保应用程序的安全性和稳定性。

Solomon_肖哥弹架构
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
html表单没的csrf保护,表单与csrf保护
weixin_30047651的博客
06-19 875
## 表单提交和CSRF在本课程中,我们将介绍将表单数据提交到服务器的基本工作流程。在此过程中,我们将介绍一个新概念:`CSRF`(跨站点请求伪造)。### 新手建议前面几节我们介绍了如何从数据库中获取数据,使用 `Tinker` 添加测试数据。接下来我们在页面中实现添加数据并展示。> 不论做任何复杂的功能,都是从简单开始,慢慢迭代,这里给新手一个建议,不论做什么都先按照 `路由->控...
Flask框架 CSRF 保护实现方法详解
09-18
Flask是一个轻量级的Python Web框架,而Flask-WTF扩展则为Flask提供了CSRF保护,以防止这类攻击。本文将详细讲解如何在Flask应用中实现CSRF保护。 首先,我们需要理解为什么需要CSRF保护CSRF攻击主要针对那些无需...
带你分析CSRF攻击技术场景
kali_Ma的博客
06-10 1186
学习概要 通过本篇文档我们可以更为接近实战的去学习和了解什么是CSRF漏洞、CSRF漏洞是到底如何产生的、在实际场景中被利用是如利用,以及一些在web安全测试用常用插件与工具的使用和技巧。本篇文稿中给出了两个场景CSRF漏洞的利用过程复现: (1)密码修改过程中产生的CSRF漏洞和利用 (2)后台管理添加过程中产生的CSRF漏洞和利用 文稿最近简单的罗列了下当前常用的避免csrf漏洞产生的方法和措施。 1、CSRF 基本概念 CSRF(Cross-site request forgery)跨站请求伪造,黑
Laravel 5.5 的 CSRF 保护
彳亍
06-23 1009
简介CSRF(跨站请求伪造)是一种恶意的攻击,它凭借已通过身份验证的用户身份来运行未经过授权的命令。Laravel 可以轻松地保护应用程序免受 跨站请求伪造 (CSRF) 的攻击。Laravel 会自动为每个活跃用户的会话生成一个 CSRF「令牌」。该令牌用于验证经过身份验证的用户是否是向应用程序发出请求的用户。任何情况下当你在应用程序中定义 HTML 表单时,都应该在表单中包含一个隐藏的 CSR...
HTML表单没有CSRF保护漏洞
热门推荐
煜铭2011
06-20 1万+
0x00 背景 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 恶意攻击者可以利用漏洞攻击做到:攻击者盗用了你的身份,以你的名义发送恶意请求。 CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。 0x01 修复思路 CSRF的防御可以从服务端和客户端两方面着手,防御
security CSRF漏洞保护
程序三两行
08-01 911
跨站请求伪造或者一键式攻击通常缩写为csrf或者xsrf,通过挟持当前浏览器已经登录用户发送恶意请求的攻击烦方法xss利用用户对网站的信任csrf利用网站对用户浏览器的信任举例。
表单中csrf保护
欧阳小白闯天涯
07-16 4480
原文请移步:http://blog.maptoface.com/post/53
SpringSecurity之CSRF漏洞保护
Littewood的博客
07-24 1621
SpringSecurity之CSRF漏洞保护
csrf防护的html页面,登录表单是否需要 CSRF 保护
weixin_33246767的博客
06-04 959
2020-02-18 补充:在说『登录 CSRF』之前先说说『CSRF(Cross Site Request Forgery)』,即跨站请求伪造。举一个真实发生过的例子,攻击者先在自己网站上创建一个页面,这个页面有一个表单,表单的提交路径却是新浪微博发新微博的地址,并且这个页面有 JS 可以让页面加载完毕的时候就自动提交表单的内容。攻击者再想各种办法,骗新浪微博某些大 V 去点击这个页面的链接,受...
没有CSRF保护的HTML表单
Tastill的博客
08-18 2266
https://blog.csdn.net/qq_29277155/article/details/106868701
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
nosurf:Go的CSRF保护中间件
02-03
尽管CSRF是一个突出的漏洞,但Go的与Web相关的软件包基础结构主要由微框架组成,这些微框架既不实施CSRF检查,也不应该实施CSRF检查。 nosurf通过提供nosurf来解决此问题,该CSRFHandler包装了您的http.Handler并在...
CSRF:跨站请求伪造原理与实例
最新发布
h1008685的博客
07-15 101
2] 当受害者登录a网站并保存了该网站的cookie,在未退出登录的情况下,点击攻击者发送的链接,跳转到攻击者所创建的网站。[1] 现有a和b两个网站,其中a网站为受害者常用网站,网站内存在csrf漏洞。b网站为攻击者网站,存在恶意代码。[3] 进入攻击者网站时,触发网站中的恶意代码,使攻击者,伪装成受害者所在网站的账户,进行操作。用户正常使用与攻击者网页发送的请求,进行cookie的比较,其cookie值相同。
配置Java开发环境
Broken_x的博客
07-10 1597
Java开发环境配置
java集合工具类
药的博客
07-12 431
【代码】java集合工具类。
java版的上门家政系统和PHP版的上门家政有什么区别?
baina666的博客
07-12 556
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
Java方法练习-双色球彩票系统
T1798218285的博客
07-11 299
红色球号码从1-33中选择;蓝色球号码从1-16中选择。投注号码由6个红色球号码和1个蓝色球号码组成。三等奖 5+1 / 5+0 3000。四等奖4+1 / 4+0 200。六等奖1+1 / 1+0 5。一等奖6+1 1000w。二等奖6+0 500w。五等奖3+1 / 2+1。
基于Java技术的校园台球厅人员与设备管理系统
heye0910032的博客
07-12 547
本文介绍了一个基于Java技术和SpringBoot框架开发的校园台球厅人员与设备管理系统。该系统利用MySQL数据库进行数据存储,实现了包括首页、个人中心、用户管理、会员账号管理、会员充值管理、球桌信息管理、会员预约管理、普通预约管理、留言反馈和系统管理等多功能集成。系统设计考虑了用户友好性和操作便捷性,旨在提高校园台球厅人员与设备管理的效率和质量。本文介绍了一个基于Java技术和SpringBoot框架开发的校园台球厅人员与设备管理系统。
CSRF原理及其存在场景
06-08
CSRF(Cross-Site Request Forgery)跨站请求伪造是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行恶意操作,从而在用户不知情的情况下完成一些操作,如转账、修改密码等。攻击者通常通过伪造一个请求来实现攻击,使得目标网站误认为该请求是合法的,从而执行了攻击者所要求的操作。 存在CSRF攻击的场景包括但不限于以下几种: 1. 用户在未注销的情况下,访问第三方网站:攻击者可以在第三方网站上设置一个恶意链接或按钮,当用户点击时,就会向目标网站发送一个伪造请求。 2. 用户在浏览器中打开恶意网页:攻击者可以通过诱导用户在浏览器中打开恶意网页,向目标网站发送伪造请求。 3. 邮件中的恶意链接:攻击者可以在邮件中设置恶意链接,当用户点击时,就会向目标网站发送伪造请求。 4. XSS攻击:攻击者通过在目标网站中注入恶意代码,来执行恶意操作。 对于CSRF攻击,网站开发者可以采取以下措施来进行防范: 1. 在关键操作中使用CSRF Token,防止伪造请求的攻击方式。 2. 检查Referer头信息,防止跨站请求伪造攻击。 3. 对关键操作采取二次确认,如需要用户输入密码等。 4. 在Cookie中设置SameSite属性,限制Cookie的发送范围。 5. 对用户输入进行过滤和校验,不信任任何用户输入。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Solomon_肖哥弹架构

你的欣赏就是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值