Spring Security(十一) Spring Security 中 CSRF

已于 2023-07-19 16:43:33 修改
阅读量9.9k 收藏 23
点赞数 10
分类专栏: 安全管理框架(Spring Security、Shiro) 文章标签: spring csrf java
于 2020-10-13 18:04:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/donglinjob/article/details/109057312
版权

从刚开始学习 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。

1 什么是 CSRF

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。

跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。

客户端与服务进行交互时,由于 http 协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。在跨域的情况下,session id 可能被第三方恶意劫持,通过这个 session id 向服务端发起请求时,服务端会认为这个请求是合法的,可能发生很多意想不到的事情。

2 Spring Security 中 中 CSRF

从 Spring Security4 开始 CSRF 防护默认开启。默认会拦截请求。进行 CSRF 处理。CSRF 为了保证不是其他第三方网站访问,要求访问时携带参数名为_csrf 值为 token(token 在服务端产生)的内容,如果token 和服务端的 token 匹配成功,则正常访问。

2.1 实现步骤

2.1.1 编写控制器方法

编写控制器方法,跳转到 templates 中 login.html 页面。

@GetMapping( "/showLogin")
public String showLogin() {
   return  "login";
}

2.1.2 新建 login.html

在项目 resources 下新建 templates 文件夹,并在文件夹中新建login.html 页面。红色部分是必须存在的否则无法正常登录。

<!DOCTYPE  html>
<l html  xmlns= "http://www.w3.org/1999/xhtml"
xmlns: th= = "http://www.thymeleaf.org">
	<head>
		<meta  charset= "UTF-8">
		<title>Title</ title>
	</head>
	<body>
		<form action ="/login"  method= "post">
			<input type="hidden"  th:value="${_csrf.token}"  name="_csrf"  th:if="${_csrf}"/>
			用户名:<input  type="text"  name= "username"/>< br/>
			密码:<input  type="password"  name= "password"/>< br/>
			<input  type="submit"  value="登录"/>
		</form>
	</body>
</html>

2.1.3 修改配置类

在配置类中注释掉 CSRF 防护失效

//关闭 csrf 防护
//http.csrf().disable();

plenilune-望月
关注
  • 10
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
详解如何在spring boot使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security CSRF防护的示例代码
08-26
主要介绍了spring security CSRF防护的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
主要介绍了使用SpringSecurity处理CSRF攻击的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
解决Security6.1版本csrf().disable()已弃用问题
最新发布
m0_65769108的博客
11-22 1238
来关闭csrf进行测试。新版本csrf().disable()已经弃用。
权限控制-SpringSecurity学习
qingfulang9322的博客
08-21 295
    1.添加依赖 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-security&lt;/artifactId&gt; &lt...
SpringSecurity关闭csrf防护
liubopro666的博客
10-23 635
CSRF防护:CSRF:跨站请求伪造,通过伪造用户请求访问受信任的站点从而进行非法请求访问,是一种攻击手段。Spring Security为了防止CSRF攻击,默认开启了CSRF防护,这限制了除了GET请求以外的大多数方法。我们要想正常使用Spring Security需要突破CSRF防护。
SpringSecurity关闭csrf拦截
Leon_Jinhai_Sun的博客
11-13 2062
然后你开开心心的输入了用户名user,密码user,就出现了如下的界面: 403什么异常?这是SpringSecurity的权限不足!这个异常怎么来的?还记得上面SpringSecurity内置认证页面源码的那个_csrf隐藏input吗?问题就在这了! 完整的spring-security配置如下 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/sch.
SpringSecurity(十七)------CSRF
Apple_Andy的博客
10-10 1550
一.引入 从刚开始学习Spring Security时,在配置类一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭csrf防护。 二.什么是CSRF CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行. 这就利用了web用户身份认证验证
Spring Security4 CSRF 如何关闭CSRF功能
热门推荐
醉陌浮生,乱谜浊
09-17 1万+
什么是CSRFcsrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI……而现在,互联网上的许多站点仍对此毫无防备,以至于安全业
SpringSecurity的防Csrf攻击实现代码解析
08-24
主要介绍了SpringSecurity的防Csrf攻击实现代码解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
django-csrf使用和禁用方式
09-17
主要介绍了django-csrf使用和禁用方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
详解利用django间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
主要介绍了详解利用django间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring securitycsrf防御原理(跨域请求伪造)
08-25
主要介绍了spring securitycsrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security(五) 访问控制 url 匹配及 内置访问控制方法介绍
奥迪的博客
09-28 6677
一、 访问控制 url 匹配制 在前面讲解了认证所有常用配置,主要是对 http.formLogin()进行操作。而在配置类 http.authorizeRequests()主要是对 url 进行控制,也就是我们所说的授权(访问控制)。http.authorizeRequests()也支持连缀写法,总体公式为: url 匹配规则. 权限控制方法 通过上面的公式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了 Spring Security 的授权。 在所有匹...
Spring Security(二) UserDetailsService 和 PasswordEncoder 密码解析器 详解
奥迪的博客
09-28 5443
一、 UserDetailsService 详解 当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的。而在实际项目账号和密码都是从数据库查询出来的。所以我们要通过自定义逻辑控制认证逻辑。 如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。接口定义如下: 1 返回值 返回值 UserDetails 是一个接口,定义如下 要想返回 UserDetails 的实例就只能返回接口的实现类。Spring Security 提供了.
Spring Security(六) Spring Security角色权限判断 及 自定义 403  处理方案
奥迪的博客
09-29 1773
一、 角色权限判断 除了之前讲解的内置权限控制。Spring Security 还支持很多其他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否具有特定的要求。 1 hasAuthority(String) 判断用户是否具有特定的权限,用户的权限是在自定义登录逻辑创建 User 对象时指定的。 下图 admin 就是用户的权限。admin 严格区分大小写。 在配置类通过 hasAuthority(“admin”)设置具有 admin 权限时才能访问。 .antMatcher
Spring Security(三) 自定义登录逻辑及登录页面
奥迪的博客
09-28 1616
一、 自定义登录逻辑 当进行自定义登录逻辑时需要用到之前讲解的UserDetailsService 和 PasswordEncoder。 但是 Spring Security 要求:当进行自定义登录逻辑时容器内必须有 PasswordEncoder 实例。所以不能直接 new 对象。 1 编写配置类 新建类 com.bjsxt.config.SecurityConfig 编写下面内容 @Configuration public class SecurityConfig { @Bean pub
springsecurityCSRF怎么使用
05-13
Spring Security提供了防止跨站点请求伪造(CSRF)攻击的机制。在Spring Security使用CSRF可以通过以下步骤实现: 1. 在HTML表单添加CSRF令牌。 2. 配置Spring Security以启用CSRF保护。 3. 配置CSRF令牌在表单提交时如何发送到服务器。 下面是一个基本的示例: 1. 在HTML表单添加CSRF令牌 在表单添加CSRF令牌可以防止攻击者向服务器发送伪造的请求。可以使用Spring Security的标签库来添加CSRF令牌。以下是一个示例: ```html <form method="post" action="/process-form"> <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" /> <!-- 其他表单元素 --> <button type="submit">Submit</button> </form> ``` 在这个例子,我们使用了隐藏的输入字段来存储CSRF令牌,并使用Spring Security的EL表达式来生成令牌名称和值。 2. 配置Spring Security以启用CSRF保护 要启用Spring SecurityCSRF保护,需要配置一个CsrfTokenRepository。以下是一个示例: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); } } ``` 在这个例子,我们使用了CookieCsrfTokenRepository作为CsrfTokenRepository。这个仓库将生成一个CSRF令牌,并将其存储在一个cookie,这个cookie会在每个请求发送回服务器。 3. 配置CSRF令牌在表单提交时如何发送到服务器 当表单被提交时,需要将CSRF令牌发送回服务器。可以使用以下代码片段来从页面的隐藏字段提取CSRF令牌,并在表单提交时将其发送回服务器: ```javascript $(function () { var csrfToken = $("meta[name='_csrf']").attr("content"); var csrfHeader = $("meta[name='_csrf_header']").attr("content"); $(document).ajaxSend(function(e, xhr, options) { xhr.setRequestHeader(csrfHeader, csrfToken); }); }); ``` 在这个例子,我们使用了jQuery来提取页面CSRF令牌,并将其作为请求头发送回服务器。 以上是一个基本的Spring Security使用CSRF的示例。如果需要更高级的配置,可以参考Spring Security的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

plenilune-望月

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值