有一次面试的时候,面试官问什么是csrf,怎么防御?
1.CSRF原理
CSRF 就是跨域请求伪造,
假设用户打开了招商银行网上银行网站,并且登录。
登录成功后,网上银行会返回 Cookie 给前端,浏览器将 Cookie 保存下来。
用户在没有登出网上银行的情况下,在浏览器里边打开了一个新的选项卡,然后又去访问了一个危险网站。
这个危险网站上有一个超链接,超链接的地址指向了招商银行网上银行。
用户点击了这个超链接,由于这个超链接会自动携带上浏览器中保存的 Cookie,所以用户不知不觉中就访问了网上银行,进而可能给自己造成了损失。
2.如何防御?
1).oauth2.0+jwt Token 鉴权的方式,token 不存放cookie。
2).springBoot Security 默认提供了csrf 防御
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().anyRequest().authenticated()
.and()
.formLogin()
.and()
.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
}
}