无状态Spring安全性第1部分:无状态CSRF保护

最新推荐文章于 2021-12-27 16:40:17 发布
最新推荐文章于 2021-12-27 16:40:17 发布
阅读量184 收藏
点赞数
文章标签: java python cookie web http

如今,随着RESTful架构变得越来越标准,可能值得花一些时间重新考虑当前的安全方法。 在这个小系列的博客文章中,我们将探索一些以无状态方式解决与Web相关的安全问题的相对较新的方法。 这第一篇文章是关于保护您的网站免受跨站请求伪造(CSRF)的攻击。

总结:什么是跨站点伪造?

CSRF攻击基于挥之不去的身份验证Cookie。 在登录或以其他方式标识为网站上的唯一访问者之后,该网站可能会在浏览器中留下cookie。 如果不显式注销或以其他方式删除此cookie,它可能会保持一段时间有效。

另一个站点可以通过使浏览器向受攻击的站点发出(跨站点)请求来滥用此功能。 例如,包括一些用于在“ http://siteunderattack.com/changepassword?pw=hacked”标签上进行POST的Javascript,将使浏览器发出该请求,并将对该域仍然有效的任何(身份验证)cookie附加到该请求!

即使单源策略(SOP)不允许恶意站点访问响应的任何部分。 从上面的示例中可以很明显地看出,如果请求的URL在后台触发任何副作用(状态更改),则损害已经完成。

常用方法

常用的解决方案是引入所谓的共享秘密CSRF令牌的要求,并将其作为先前响应的一部分让客户端知道。
然后,对于任何有副作用的请求,客户端都必须将其ping回服务器。 可以直接在表单中作为隐藏字段或作为自定义HTTP标头完成此操作。 无论哪种方式,其他站点都无法成功产生包含正确CSRF令牌的请求,因为SOP阻止跨站点读取来自服务器的响应。 这种方法的问题在于服务器需要记住会话中每个用户的每个CSRF令牌的值。

无状态方法

1.切换到完整且设计正确的基于JSON的REST API。

单源策略仅允许跨站点的HEAD / GET和POST。 POST只能是以下哑剧类型之一:application / x-www-form-urlencoded,multipart / form-data或text / plain。 确实没有JSON! 现在考虑到GET永远不要在任何经过​​适当设计的基于HTTP的API中触发副作用,这让您可以简单地禁止任何非JSON POST / PUT / DELETE,一切都很好。 对于上传文件(多部分/表单数据)的方案,仍然需要明确的CSRF保护。

2.检查HTTP Referer标头。

通过检查仍然易受攻击的场景(例如多部分/表单数据POST)的Referer标头的存在和内容,可以进一步完善上述方法。 浏览器使用此标头来指定触发请求的确切页面(url)。 这可以轻松地用于检查站点的预期域。 请注意,如果选择进行此类检查,则在没有标题的情况下,切勿允许请求。

3.客户端生成的CSRF令牌。

让客户端在Cookie和自定义HTTP标头中生成并发送相同的唯一秘密值。 考虑到仅允许网站为其自己的域读取/写入Cookie,因此只有真实网站才能在两个标头中发送相同的值。 使用这种方法,您的服务器要做的就是在每个请求无状态的基础上检查两个值是否相等!

实作

着眼于第三种基于显式但基于无状态CSRF令牌的安全性的方法,让我们看看使用Spring Boot和Spring Security的代码的外观。

在Spring Boot中,您会获得一些不错的默认安全设置,您可以使用自己的配置适配器对其进行微调。 在这种情况下,所需要做的就是禁用默认的csrf行为并添加自己的StatelessCSRFFilter:

自定义CSRF保护 

@EnableWebSecurity
@Order(1)
public class StatelessCSRFSecurityConfig 
		extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.csrf().disable().addFilterBefore(
			new StatelessCSRFFilter(), CsrfFilter.class);
	}
}

这是StatelessCSRFFilter的实现:

自定义CSRF过滤器 

public class StatelessCSRFFilter extends OncePerRequestFilter {

	private static final String CSRF_TOKEN = "CSRF-TOKEN";
	private static final String X_CSRF_TOKEN = "X-CSRF-TOKEN";
	private final RequestMatcher requireCsrfProtectionMatcher = new DefaultRequiresCsrfMatcher();
	private final AccessDeniedHandler accessDeniedHandler = new AccessDeniedHandlerImpl();

	@Override
	protected void doFilterInternal(HttpServletRequest request, 
			HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		
		if (requireCsrfProtectionMatcher.matches(request)) {
			final String csrfTokenValue = request.getHeader(X_CSRF_TOKEN);
			final Cookie[] cookies = request.getCookies();

			String csrfCookieValue = null;
			if (cookies != null) {
				for (Cookie cookie : cookies) {
					if (cookie.getName().equals(CSRF_TOKEN)) {
						csrfCookieValue = cookie.getValue();
					}
				}
			}

			if (csrfTokenValue == null || !csrfTokenValue.equals(csrfCookieValue)) {
				accessDeniedHandler.handle(request, response, new AccessDeniedException(
						"Missing or non-matching CSRF-token"));
				return;
			}
		}
		filterChain.doFilter(request, response);
	}

	public static final class DefaultRequiresCsrfMatcher implements RequestMatcher {
		private final Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");

		@Override
		public boolean matches(HttpServletRequest request) {
			return !allowedMethods.matcher(request.getMethod()).matches();
		}
	}
}

不出所料,无状态版本在两个标头值上只做一个简单的equals()。

客户端实施

客户端实现也很简单,尤其是在使用AngularJS时。 AngularJS已经提供了内置的CSRF令牌支持。 如果您告诉它要读取的cookie,它将自动将其值发送到您选择的自定义标头中。 (浏览器负责发送cookie标头本身。)

您可以按以下方式覆盖AngularJS的默认名称(XSRF而不是CSRF):

设置适当的令牌名称 

$http.defaults.xsrfHeaderName = 'X-CSRF-TOKEN';
$http.defaults.xsrfCookieName = 'CSRF-TOKEN';

此外,如果您想为每个请求生成一个新的令牌值,则可以将自定义拦截器添加到$ httpProvider中,如下所示:

拦截器生成cookie 

app.config(['$httpProvider', function($httpProvider) {
    //fancy random token, losely after https://gist.github.com/jed/982883
    function b(a){return a?(a^Math.random()*16>>a/4).toString(16):([1e16]+1e16).replace(/[01]/g,b)};

    $httpProvider.interceptors.push(function() {
        return {
            'request': function(response) {
                // put a new random secret into our CSRF-TOKEN Cookie before each request
                document.cookie = 'CSRF-TOKEN=' + b();
                return response;
            }
        };
    });    
}]);

您可以在github上找到一个完整的可用示例。
确保已安装gradle 2.0,并使用“ gradle build”和“ gradle run”简单地运行它。 如果要像eclipse一样在IDE中使用它,请使用“ gradle eclipse”,只需从IDE内导入并运行它即可(无需服务器)。

免责声明

有时,经典的CSRF令牌被错误地视为针对重播或暴力攻击的解决方案。 此处列出的无状态方法未涵盖此类攻击。 我个人认为这两种类型的攻击都应从另一个角度进行考虑,例如使用https和速率限制。 对于公开网站上的任何数据输入,我俩都认为这是必须的!

翻译自: https://www.javacodegeeks.com/2014/10/stateless-spring-security-part-1-stateless-csrf-protection.html

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring CSRF防护
YOUTH_TFG的博客
02-16 826
Spring CSRF
csrf-tokenservice:无状态CSRF(跨站请求伪造)令牌服务
04-28
CSRF \ TokenService 无状态CSRF(跨站请求伪造)令牌服务 :meat_on_bone: 安装 $ composer require schnittstabil/csrf-tokenservice 用法 <?php require __DIR__. '/vendor/autoload.php' ; use Schnittstabil \ Csrf \ TokenService \ TokenService ; // Shared secret key used for generating and validating token signatures: $ key = 'This key is not so secret - change it!' ; // Time to Live in seconds; default is 1440 seconds === 24 minutes: $
csrf攻击_无状态Spring安全性第1部分:无状态CSRF保护
cunfen0516的博客
12-16 145
csrf攻击 如今,随着RESTful架构变得越来越标准,可能值得花一些时间重新考虑当前的安全方法。 在这个小系列的博客文章中,我们将探索一些以无状态方式解决与网络相关的安全问题的相对较新的方法。 这第一篇文章是关于保护您的网站免受跨站请求伪造(CSRF)的攻击。 总结:什么是跨站点伪造? CSRF攻击基于挥之不去的身份验证Cookie。 在登录或以其他方式标识为网站上的唯一身份访问者之后,该...
状态服务 java_Spring Security,无状态REST服务和CSRF
weixin_28991715的博客
02-19 113
我有一个REST服务,它使用JavaSpring-boot和带有基本访问身份验证的SpringSecurity构建。没有视图,没有JSP等,没有“登录”,只有可以从单独托管的React应用调用的无状态服务。我已经阅读了许多有关CSRF保护的文档,但是无法决定我应该使用spring-securityCSRF配置还是仅禁用它?如果禁用csrf保护,则可以使用我的基本身份验证使用curl调用服务,如下...
状态Spring安全性第2部分:无状态身份验证
最佳 Java 编程
05-24 180
Spring Stateless Security系列的第二部分是关于以无状态方式探索身份验证的方法。 如果您错过了CSRF的第一部分,可以在这里找到。 因此,在谈论身份验证时,其全部内容就是让客户端以可验证的方式向服务器标识自己。 通常,这始于服务器向客户端提供挑战,例如要求填写用户名/密码的请求。 今天,我想着重介绍在通过此类初始(手动)挑战后会发生什么情况,以及如何处理其他HTTP...
spring security中的csrf防御原理(跨域请求伪造)
08-25
总之,Spring Security通过生成和验证CSRF Token,有效地防止了跨域请求伪造攻击,增强了应用程序的安全性。为了充分利用这一功能,你需要确保所有可能导致状态改变的HTTP请求都包含有效的CSRF Token。同时,为了不...
springboot-security:Spring Boot安全性
05-15
在安全方面,Spring Boot 提供了与 Spring Security 的紧密集成,使得应用的安全性设置变得更加便捷。 Spring Security 是一个强大的安全框架,用于处理 Web 应用程序的身份验证和授权。它提供了一套全面的工具来...
第 5-1 课:使⽤ Spring Boot Security 进⾏安全控制1
最新发布
08-03
- **过滤器链**:Spring Security 基于过滤器链来实现安全性。`FilterSecurityInterceptor` 是核心过滤器,负责拦截请求并执行授权检查。 - **角色与权限**:Spring Security 支持角色和权限的概念,通过 `hasRole...
Spring安全:Spring安全
02-03
**Spring安全概述** Spring Security是Java领域中一个强大的安全框架,专为Web和企业级应用提供全面的安全解决方案。它提供了一套丰富的API和组件,帮助开发者处理身份验证、授权、会话管理以及防止常见攻击等问题...
springboot_service:Spring Boot安全性
02-19
Spring Boot中,安全性是至关重要的一个方面,因为没有安全性的应用很容易遭受各种攻击,如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。下面我们将深入探讨Spring Boot中的安全性相关的知识点。 1. *...
【网络安全】CSRF同样能携带缓存中的Token,那怎么实现的防CSRF
嗨Sirius
03-15 405
Token原理和作用 ①:token和cookie一样都是首次登陆时,由服务器下发,都是当交互时进行验证的功能,作用都是为无状态HTTP提供的持久机制。 ②:token存在哪儿都行,localstorage或者cookie。 ③:token和cookie举例,token就是说你告诉我你是谁就可以。 cookie 举例:服务员看你的身份证,给你一个编号,以后,进行任何操作,都出示编号后服务员去看查你是谁。 token 举例:直接给服务员看自己身份证 ④:对于token而言,服务器不需要去查看你是谁,不需要
SpringSecurity CSRF引发的思考Cookie、Session、Token和JWT
wdquan19851029的专栏
12-27 5274
目录 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 2.CSRF 跨站伪造请求 3.Cookie和Session 4.Cookie和Session的区别 5.什么是Token(重点) 仅仅用seesion+cookie存在的问题 【疑问?】token放在客户端哪里?客户端是怎么每次取到token的 6.JSON Web Token(JWT) Token和JWT: 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 【疑问?】浏览器对于 cookie
利用spring-security解决CSRF问题
热门推荐
Frankenstein的博客
04-22 4万+
从配置到原理,一步步讲解如何利用Spring的security框架来处理scrf问题。
状态WEB HTTP Service安全性方式之一
ksgt00016758的专栏
01-13 2024
在一些环境中,可能需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录。如一些REST风格的API,如果不使用OAuth2协议,就可以使用如REST+HMAC认证进行访问。HMAC(Hash-based Message Authentication Code):基于散列的消息认证码,使用一个密钥和一个消息作为输入,生成它们的消
CSRF进攻 (跨站域请求伪造)
IT_LOSER的专栏
10-19 695
CSRF 攻击的对象 在讨论如何抵御 CSRF 之前,先要明确 CSRF 攻击的对象,也就是要保护的对象。从以上的例子可知,CSRF 攻击是黑客借助受害者的 cookie 骗取服务器的信任,但是黑客并不能拿到 cookie,也看不到 cookie 的内容。另外,对于服务器返回的结果,由于浏览器同源策略的限制,黑客也无法进行解析。因此,黑客无法从返回的结果中得到任何东西,他所能做的就是给服务器
Session、Token验证的区别以及CSRF攻击
近光的博客
06-06 7980
Session是什么 session意为“会话”。我们都知道HTTP是无状态的协议,但有时我们需要保存状态来进行后面的操作,比如某个电商网站的购物车功能(在不登录的情况下,也就是不使用数据库),如果不使用session,那么每次添加物品到购物篮后都不会保存,结果就是刷新一下购物篮就会变成空的。所以我们需要这个session来保存一定的状态。当用户打开某个网页的时候,就发生了一次会话,也就是...
spring security CSRF防护
aabbyyz的博客
10-22 1655
分享一下我老师大神的人工智能教程!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴! CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSR...
SpringBoot+SpringSecurity防护CSRF(基于Html)
【欢迎关注公众号:冬瓜白】
07-22 1万+
关于SpringSecurity防护CSRF网上很多资料都是基于Thymeleaf(jsp)的,连官方文档也是: 但是如果是前后端分离应该怎么处理呢,也可以自己写过滤器实现,不过感觉比较麻烦;其实就算是使用Html实现也是很简单的,可以首先看看SpringSecurity防护CSRF的核心过滤器: 重点看看它的doFilterInternal()方法: 这个方法将CrsfToke...
spring security的CSRF功能
huangbaokang的博客
12-07 1259
默认是开启了spring security 的CSRF功能,如果我们没有配置禁用,Spring Security CSRF 会针对 PATCH,POST,PUT 和 DELETE 方法进行防护。 对如下的请求是不防护的 可以看到,从request中获取token,所以我们在页面中进行传递,我们可以使用thymeleaf模板引擎 <!--引入thymethef模板引擎--> <dependency> <groupId>org.s
Spring框架实战第四版:探索Spring 4最新特性
"Spring in Action, 4th Edition" 是一本关于Spring框架的实战指南,针对Spring 4版本进行了更新,涵盖了Spring MVC、REST、安全、Web Flow等最新特性。作者Craig Walls通过简短的代码片段和持续的例子,教你如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值