一、概述
简单介绍一下csrf攻击漏洞。就是你的网站cookie和session信息可以被其他网站盗用,用于非法请求。
应用开发环境:IDEA+JDK1.8
开发框架:Spring boot +thymeleaf+shiro
测试:第三方安全公司渗透测试。
二、解决方法
这里只讲主动防御方法。
总体思路是:用户登录时,服务端分配一个随机token,存储到session里。用户进行其他请求时,从session里取出这个token放到请求头headers里,服务端收到请求时,从请求头里取出token,和session里面的token进行校验,相同则表示是合法请求,不同则拒绝该请求。
bootraptable
三、关键代码
3.1 前端
前端http请求没有统一,需要根据实际情况来配置。
- 需要在相关页面加上隐藏token字段,代码参考:
<input type="hidden" id="csrf_token" class="hidden" th:value="${session.csrf_token}"/>
特别要注意多级子页面,对于上述token的初始化和获取。
- ajax请求,需要加如下方法,将token加在请求头中:
beforeSend: function(XMLHttpRequest) {
XMLHttpRequest.setRequestHeader("csrf_token", $("#csrf_token",parent.document).val());
}
- 统一的http请求:
/** 设置全局ajax处理 */
$.ajaxSetup({
complete: function(XMLHttpRequest, textStatus) {
if (textStatus == 'timeout') {
$.modal.alertWarning("服务器超时,请稍后再试!");
$.modal.enable();
$.modal.closeLoading();
} else if (textStatus == "parsererror" || textStatus == "error") {
$.modal.alertWarning("服务器错误,请联系管理员!");
$.modal.enable();
$.modal.closeLoading();
}
},
beforeSend: function(XMLHttpRequest) {
XMLHttpRequest.setRequestHeader("csrf_token", $("#csrf_token",parent.document).val());
}
});
注意事项:
1.bootraptable封装了自己的http请求,如果上述全局配置不生效,需要修改该插件源码:
$('#' + options.id).bootstrapTable({
id: options.id,
url: options.url,
ajaxOption: {
"headers": options.csrf_token
}
通过ajaxOption将token加入headers中。
3.2 后端
登录接口:
getRequest().getSession().setAttribute(JWTConst.CONN_CSRF_TOKEN_HEADER, UUID.randomUUID().toString());
编写一个过滤器或者拦截器,我这里是拦截器,区别是过滤器会过滤所有请求包括页面,拦截器只能拦截请求。
String csrfTokenOld = request.getSession().getAttribute(JWTConst.CONN_CSRF_TOKEN_HEADER).toString();
String csrfToken = request.getHeader(JWTConst.CONN_CSRF_TOKEN_HEADER);
if (csrfToken == null || "".equals(csrfToken) || !csrfToken.equals(csrfTokenOld)) {
logger.error(JwtErrEnums.TOKEN_INEXISTENCE.getMsg());
throw new AuthException(JwtErrEnums.TOKEN_INEXISTENCE);
}
一般情况下,我们只需要拦截POST请求,我们在设计请求时,包含重要敏感信息的请求建议使用POST方式。
- 如果系统有自动登录功能,还需要在自动登录时,创建一个csrf_token放入session中:
HttpServletRequest req = (HttpServletRequest)request;
if(req.getSession().getAttribute(Constants.CONN_CSRF_TOKEN_HEADER) == null) {
req.getSession().setAttribute(Constants.CONN_CSRF_TOKEN_HEADER, UUID.randomUUID().toString());
}
四、其他方法
还可以使用spring security框架。下次再介绍。