使用Spring Security和Thymeleaf进行CSRF保护

最新推荐文章于 2024-09-16 16:45:51 发布
最新推荐文章于 2024-09-16 16:45:51 发布
阅读量920 收藏 1
点赞数 1
文章标签: spring csrf java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/127706240
版权

1. 简介

Thymeleaf是一个Java模板引擎,用于处理和创建HTML,XML,JavaScript,CSS和纯文本。有关Thymeleaf和Spring的介绍,请查看这篇文章

在本文中,我们将讨论如何使用Thymeleaf应用程序在Spring MVC中防止跨站点请求伪造(CSRF)攻击。更具体地说,我们将测试HTTP POST方法的CSRF攻击。

CSRF 是一种攻击,它强制最终用户在当前经过身份验证的 Web 应用程序中执行不需要的操作。

2. Maven 依赖项

首先,让我们看看将Thymeleaf与Spring集成所需的配置。在我们的依赖项中需要百里香板弹簧库:

<dependency>
    <groupId>org.thymeleaf</groupId>
    <artifactId>thymeleaf</artifactId>
    <version>3.0.11.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.thymeleaf</groupId>
    <artifactId>thymeleaf-spring5</artifactId>
    <version>3.0.11.RELEASE</version>
</dependency>Copy

请注意,对于 Spring 4 项目,必须使用thymeleaf-spring4库而不是thymeleaf-spring5。可以在此处找到最新版本的依赖项。

此外,为了使用 Spring 安全性,我们需要添加以下依赖项:

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
    <version>5.7.3</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-config</artifactId>
    <version>5.7.3</version>
</dependency>
Copy

两个与 Spring 安全性相关的库的最新版本可在此处此处获得。

3. 爪哇配置

除了这里介绍的 Thymeleaf 配置之外,我们还需要为 Spring Security 添加配置。为此,我们需要创建类:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class WebMVCSecurity extends WebSecurityConfigurerAdapter {

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
          .withUser("user1").password("{noop}user1Pass")
          .authorities("ROLE_USER");
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/resources/**");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
          .authorizeRequests()
          .anyRequest()
          .authenticated()
          .and()
          .httpBasic();
    }
}Copy

有关安全配置的更多详细信息和说明,请参阅Spring 安全系列。

缺省情况下,CSRF 保护在 Java 配置中启用。为了禁用这个有用的功能,我们需要在configure(...方法:

.csrf().disable()Copy

在XML配置中,我们需要手动指定CSRF保护,否则,它将不起作用:

<security:http 
  auto-config="true"
  disable-url-rewriting="true" 
  use-expressions="true">
    <security:csrf />
     
    <!-- Remaining configuration ... -->
</security:http>Copy

另请注意,如果我们使用带有登录表单的登录页面,我们需要始终在登录表单中手动包含 CSRF 令牌作为隐藏参数包含在代码中:

<input 
  type="hidden" 
  th:name="${_csrf.parameterName}" 
  th:value="${_csrf.token}" />Copy

对于其余表单,CSRF 令牌将自动添加到具有隐藏输入的表单中:

<input 
  type="hidden" 
  name="_csrf"
  value="32e9ae18-76b9-4330-a8b6-08721283d048" /> 
<!-- Example token -->Copy

4. 视图配置

让我们继续讨论 HTML 文件的主要部分,包括表单操作和测试过程创建。在第一个视图中,我们尝试将新学生添加到列表中:

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
	xmlns:th="http://www.thymeleaf.org">
<head>
<title>Add Student</title>
</head>
<body>
    <h1>Add Student</h1>
        <form action="#" th:action="@{/saveStudent}" th:object="${student}"
          method="post">
            <ul>
                <li th:errors="*{id}" />
                <li th:errors="*{name}" />
                <li th:errors="*{gender}" />
                <li th:errors="*{percentage}" />
            </ul>
    <!-- Remaining part of HTML -->
    </form>
</body>
</html>Copy

在此视图中,我们通过提供ID姓名性别百分比(可选,如表单验证中所述)将学生添加到列表中。在执行此表单之前,我们需要提供用户密码,以便在 Web 应用程序中对我们进行身份验证。

4.1. 浏览器 CSRF 攻击测试

现在我们进入第二个 HTML 视图。其目的是尝试进行CSRF攻击:

<!DOCTYPE html>
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/>
</head>
<body>
<form action="http://localhost:8080/spring-thymeleaf/saveStudent" method="post">
    <input type="hidden" name="payload" value="CSRF attack!"/>
    <input type="submit" />
</form>
</body>
</html>Copy

我们知道操作 URLhttp://localhost:8080/spring-thymeleaf/saveStudent。黑客想要访问此页面以执行攻击。

为了进行测试,请在另一个浏览器中打开HTML文件,而无需登录应用程序。当您尝试提交表格时,我们将收到以下页面:

 

我们的请求被拒绝,因为我们发送的请求没有 CSRF 令牌。

请注意,HTTP会话用于存储CSRF令牌。发送请求时,Spring 会将生成的令牌与存储在会话中的令牌进行比较,以确认用户没有被黑客入侵。

4.2. JUnit CSRF 攻击测试

如果您不想使用浏览器测试 CSRF 攻击,也可以通过快速集成测试来完成;让我们从该测试的 Spring 配置开始:

@RunWith(SpringJUnit4ClassRunner.class)
@WebAppConfiguration
@ContextConfiguration(classes = { 
  WebApp.class, WebMVCConfig.class, WebMVCSecurity.class, InitSecurity.class })
public class CsrfEnabledIntegrationTest {

    // configuration

}Copy

并继续进行实际测试:

@Test
public void addStudentWithoutCSRF() throws Exception {
    mockMvc.perform(post("/saveStudent").contentType(MediaType.APPLICATION_JSON)
      .param("id", "1234567").param("name", "Joe").param("gender", "M")
      .with(testUser())).andExpect(status().isForbidden());
}

@Test
public void addStudentWithCSRF() throws Exception {
    mockMvc.perform(post("/saveStudent").contentType(MediaType.APPLICATION_JSON)
      .param("id", "1234567").param("name", "Joe").param("gender", "M")
      .with(testUser()).with(csrf())).andExpect(status().isOk());
}Copy

由于缺少CSRF令牌,第一个测试将导致禁止状态,而第二个测试将正确执行。

5. 结论

在本文中,我们讨论了如何使用Spring Security和Thymeleaf框架防止CSRF攻击。

本教程的完整实现可以在GitHub 项目中找到。

allway2
关注
ember-cli-thymeleaf-csrf:一个为百里香叶添加csrf meta标签的余烬插件
05-18
此插件将为百里香叶动态添加csrf标头 在开发/测试/服务器构建中,您将获得以下内容 <meta name="_csrf_header" content="abc" /> <meta name="_csrf" content="abc" /> 在生产中,您将获得可以与百里香模板一起注入的东西 <meta name="_csrf_header" th:content="${_csrf.headerName}" /> <meta name="_csrf" th:content="${_csrf.token}" /> 有一个初始化程序,它将添加ajaxPrefilter在每个请求中包括CSRF标头。
thymeleaf fom表单自带csrf保护探究
m0_67587248的博客
05-27 448
CSRF(Cross-site request forgery),中文名称:跨站请求伪造你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。
SpringSecurity原理解析(八):CSRF防御解析
最新发布
liang8999的博客
09-16 1288
在自定义SpringSecurity配置文件中的configure方法中,通过 HttpSecurity 先调用csrf()从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用程序,2)请求到来时,程序会从请求中获取提交的csrfToken,同时会从HttpSession中获取。之前存储的csrfToken进行比较,如果相同则认为是合法的请求,继续后面的操作,这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验,来检查 Referer字段。
SpringBoot+SpringSecurity+Thymeleaf 演示CSRF攻击
怪咖@的博客
06-07 2542
1. 通过代码示例来 演示CSRF攻击!2. 通过security给我们提供的保护机制,来进行防止CSRF攻击 3. security防止CSRF的原理
从零整合SpringBoot + SpringSecurity + Thymeleaf入门案例(附源码),一步一步手把手构建。零基础小白也可快速上手,实习找工作利器。
fyh559的博客
09-22 886
SpringBoot + SpringSecurity + Thymeleaf 入门案例,适合快速整合权限管理框架的同学,可以快速进行修改源代码实现权限控制的效果。代码是入门案例,较为简单。能够使整合更加迅速。其中搭配了前端页面进行效果显示,是SpringSecurity 的最好案例。
Springboot2.7.13版本+thymeleaf+security整合
qq_40855501的博客
06-28 1389
Springboot2.7.13版本+thymeleaf+security整合,自定义token登录
SpringSecurity】七、SpringSecurity集成thymeleaf
llg___的博客
08-30 1357
/这里别用RestController了,不再返回一个json对象或者普通字符串了/*** 跳转到登陆页面*/@RequestMapping("/toLogin") //GET、POST都行的意思上面的这个return "login"字符串,是返回thymeleaf的逻辑视图名,物理视图 = 前缀 + 逻辑视图 + 后缀,即/templates/ + login + .html(点住application.yaml文件中thymeleaf的配置查看源码:/*** 登录成功后进入主页*/
springsecurity-thymeleaf.zip
07-15
"springsecurity-thymeleaf.zip"这个压缩包很可能是包含了一个整合了Spring SecurityThymeleaf的示例项目或者教程材料,帮助开发者了解如何在Spring Boot应用中实现用户认证和授权,同时利用Thymeleaf进行动态页面...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
Spring Security整合Thymeleaf实现访问控制
08-30
通过`spring-boot-security`这个项目名称,我们可以推测这是一个使用Spring Boot搭建的项目,包含了Spring SecurityThymeleaf的整合示例。在这个项目中,你可能还会发现其他关于权限控制、自定义认证逻辑和异常...
SpringBoot+SpringSecurity+thymeleaf基础代码
07-25
在"SpringBoot+SpringSecurity+thymeleaf基础代码"项目中,我们可以看到这三个组件的集成和使用Spring Security提供了全面的安全管理解决方案,包括登录认证、权限控制和会话管理。它通过定义访问控制规则,保护...
基于SpringBoot+SpringSecurity+Thymeleaf新冠疫情管理系统设计毕业设计.zip
10-20
这个项目将涵盖上述技术的综合运用,对于理解如何在实际环境中使用Spring Boot、Spring SecurityThymeleaf有极大的帮助。在实践中,还需要关注代码结构、异常处理、日志记录、性能优化等方面,以打造一个高质量的...
Spring实战】13 Security+Thymeleaf自定义登录页面
好久不见的流星
12-31 1693
Spring Security 是一个强大的身份验证和访问控制框架,而 Thymeleaf 是一个用于构建动态 Web 页面的强大模板引擎。结合它们,你可以轻松地创建一个具有自定义登录页面的安全Web应用程序。本文通过使用 Thymeleaf 自定义了一个 Spring Security 的登录画面,并且设定了一个登录成功的默认请求。这里只是一个简单的例子,在实际开发中还是需要根据具体需求来设定,都是大同小异,根据需求自由发挥即可。
Spring Security --- ThymeleafSpring Security使用
汤键的博客
06-17 969
Spring Security --- ThymeleafSpring Security使用
SpringSecurity[6]-ThymeleafSpring Security使用/退出登录/Spring SecurityCSRF
listeningdu的博客
12-14 735
上一篇:SpringSecurity[5]-基于表达式的访问控制/基于注解的访问控制/Remember Me功能实现。
动力节点springsecurity笔记-SpringSecurity 集成thymeleaf
Java___interview的博客
04-23 793
上一讲里面我们集成了thymeleaf实现在页面链接的动态判断是否显示,那么在实际开发中,我们会遇到有验证码的功能,那么如何处理呢?复制上一个工程springsecurity-13-thymeleaf ,修改名字为springsecurity-14-captcha见《base64及jwt学习文档.doc》
SpringSecurity整合Thymeleaf实现认证授权
十三月的博客
06-10 588
springsecurity
thymeleaf+security
康康的博客
08-19 321
https://segmentfault.com/a/1190000022067693 https://segmentfault.com/a/1190000013057238 https://www.cnblogs.com/jpfss/p/10910054.html
springsecurity vue结合thymeleaf怎么能够获取${_csrf.parameterName}与${_csrf.token}
weixin_46564011的博客
07-06 687
因为vue中不允许使用${} 所以你是怎么都获取不到的,还有就是你就算在vue中用let x=json转换出来了thymeleaf他已经渲染完毕了你还是获取不到${_csrf.parameterName}与${_csrf.token}你可以这样在html中让他在thymeleaf渲染时先获取了值放到这里,因为我是前后端分离所以表单在js中写着你是没办法直接扔进表单中的 然后在js中你这样写 头顶先定义let变量然后传进去 千万不要在input中 加th:name不然你还是登陆失败 你要直接写name 与va
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值