十七、Spring Security中CSRF

最新推荐文章于 2024-07-26 11:10:06 发布
最新推荐文章于 2024-07-26 11:10:06 发布
阅读量179 收藏
点赞数
分类专栏: java开发 文章标签: spring csrf java Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/booker009/article/details/129604769
版权

在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭csrf防护。

1.什么是CSRF

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。

跨域:只要网络协议,ip地址,端口中任何一个不相同就是跨域请求。

客户端与服务进行交互时,由于http协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。在跨域的情况下,session id可能被第三方恶意劫持,通过这个session id向服务端发起请求时,服务端会认为这个请求是合法的,可能发生很多意想不到的事情。

2.Spring Security中CSRF

从Spring Security4开始CSRF防护默认开启。默认会拦截请求。进行CSRF处理。CSRF为了保证不是其他第三方网站访问,要求访问时携带参数名为_csrf值为token(token在服务端产生)的内容,如果token和服务端的token匹配成功,则正常访问。

2.1实现步骤

2.1.1 编写控制器方法

编写控制器方法,跳转到templates中login.html页面。

最低0.47元/天 解锁文章
BookerABC
关注
专栏目录
SpringSecurityCSRF防护
2201_75856701的博客
01-14 266
继续演示开启CSRF防护的场景(当时关闭了CSRF:.csrf().disable())。依赖不变,核心依赖为Web与Thymeleaf从官网可以知道,CSRF防护的关键在于我们发请求时附带一个随机数(CSRF token),而这个随机数不会被浏览器自动携带(eg: Cookie就会被浏览器自动带上)。
详解如何在spring boot使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity6只关闭部分请求CSRF保护的方法
最新发布
lfl_jeetoon的博客
07-26 263
作者在进行新版的Springboot3.2.5+SpringSecurity6的整合过程,需要对Jwt的功能进行测试。根据网上的建议,采用token方式进行鉴权的项目,就不要对请求采取csrf保护了。以上写法仅对Springboot3.2.5+SpringSecurity6这个版本有效,其它的版本没测,请读者注意。先说这个做法起不到关闭部分请求保护的作用,而是直接全部关闭了CSRF保护。以下写法是新版本的正确写法,也不知道老外为什么那么喜欢折腾,往往有些功能没有什么本质上的变化,只是写法各有千秋。
SpringSecurityCSRF、环境配置、授权、认证功能、记住我功能实现
m0_73976305的博客
06-08 972
SpringSecurity CSRF跨站请求伪造攻击 开发环境搭建 认证 直接认证 使用数据库认证 自定义登录界面 授权 基于角色的授权 基于权限的授权 使用注解判断权限 记住我 SecurityContext
SpringSecurity(10)——Csrf防护
peng_gx的博客
01-20 1901
SpringSecurity Csrf防护
一分钟理解post和put(安全与幂等角度)
小胖的博客
11-22 6881
HTTP方法的安全性和幂等性 可以认为安全的方法都是只读的方法(GET, HEAD, OPTIONS),不会改变资源状态,显然,这三个方法也是幂等的。 DELETE方法的语义表示删除服务器上的一个资源,第一次删除成功后该资源就不存在了,资源状态改变了,所以DELETE方法不具备安全特性。然而HTTP协议规定DELETE方法是幂等的,每次删除该资源都要返回状态码200 OK,服务器端要实现幂等的DE...
SpringSecurity-CSRF
超级氯化钾的博客
05-26 134
文章目录CSRFSpringSecurityCSRF实现 CSRF Cross-site request forgery跨站请求伪造。通过伪造用户请求访问受信任站点的非法请求访问 跨域:只要网络协议,ip地址,端口任何一个相同就是跨域请求 客户端与服务进行交互时,由于http协议本身是无状态协议,所以引入了cookie进行记录客户端身份。 在cookie会存放sessionid用来识别客户端身份。 在跨域的情况下,sessionid可能被第三方进行劫持,通过这个sessionid向服务端发送请求时
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1262
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
Java Spring Security 安全框架:(十七Spring Security CSRF
地球村
10-12 464
Spring Security CSRF1.什么是 CSRF2.Spring Security CSRF2.1 实现步骤2.1.1 编写控制器方法2.1.2 新建 login.html2.1.3 修改配置类 从刚开始说明 Spring Security 时,在配置一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护 1.什么是 CSRF CSRF(Cross-site request forgery)跨
Spring Security(六) —— CSRF
eyes++的博客
07-26 4183
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
SpringSecurityCSRF攻击
2201_75856701的博客
01-13 501
一些网站比如知乎、简书的外部链接,点击之后会有提示(免责声明),此操作有风险是否继续,这便与CSRF密切相关。当然这个POST接口无法直接在浏览器发起请求,我们需要借助PostMan来实现POST请求的发送。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?防护,这在上一篇及官网关于SpringBoot自动配置项那里可以看到。建好项目后,创建一个简单的HelloController.java,包含一个。项目模拟一个按钮操作,发起。,模拟一个钓鱼网站。
Spring Security(十一) Spring Security CSRF
我是一只蘑菇17的博客
09-26 1390
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者SessionRiding。通过伪造用户请求访问受信任站点的非法请求访问。跨域:只要网络协议,ip 地址,端口任何一个不相同就是跨域请求。客户端与服务进行交互时,由于 http 协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie会存放session id用来识别客户端身份的。
spring security 处理CSRF
singkingcho的专栏
12-18 1021
csrf概念 英文全称叫做: cross-site request forgery,翻译过来叫做跨站请求伪造。spring security默认情况下是开启了csrf保护的。所谓的CSRF一般会在用户做了某个动作之后附加了一些额外动作。 csrf工作机制 往往是利用用户在某个系统已经登录过,其具有一些服务器操作资源的权限,攻击者利用伪造的链接或其它骗用户完成某个操作,而这个操作会偷偷和该用户可操作的系统交互。 一个简单的示例图 如何解决 根本问题在于,我们必须要确定这个行为是不是由本身客户端发出的,而
Spring Security跨站请求伪造(CSRF
猪猪神功屁
08-03 1818
spring security csrf
spring security4.2 配置CSRF防御
Vevinlong的博客
08-03 5576
spring security4.2 配置CSRF防御 注:源文请参考官方手册 最经项目用到csrf,看了官方文档后,结合实际开发过程,记录下所遇到的问题,其第1、2、3点都没有什么问题。而是在使用文件上传时遇到问题,查了比较久的时间,从怀疑xhr对象,到跨域访问(用到的插件动态创建了一个iframe),最终发现是当form设置了enctype="multipart/form-data"之后,
springsecurityCSRF怎么使用
05-13
Spring Security使用CSRF可以通过以下步骤实现: 1. 在HTML表单添加CSRF令牌。 2. 配置Spring Security以启用CSRF保护。 3. 配置CSRF令牌在表单提交时如何发送到服务器。 下面是一个基本的示例: 1. 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值