SpringSecurity6.0版本 CSRF验证的处理

已于 2022-12-12 17:46:18 修改
阅读量1.5k 收藏 2
点赞数 1
文章标签: spring boot java
于 2022-12-12 17:35:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjg719/article/details/128290380
版权

目录

问题描述

6版本(starter 3版本)之前,我们可以简单地通过如下代码开启CSRF验证,并且将token通过Cookie提供给前端

http.csrf()
	.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
;

默认设置下前端可以从XSRF-TOKEN字段拿到token,然后把它丢到请求header中的X-XSRF-TOKEN字段中即可

6版本之后会发现单纯这样开启时按照以往的请求方式会被拦截并302到登陆界面,此时,cookie里有XSRF-TOKEN字段,而302的网页里也有一段

<input name="_csrf" type="hidden" value="xsAQ1pzqT6wQB6SZxE8QXANbvNNXV483n1xCBpbhmQKqRRO_p_J04avffM89Y5SgoWIkPTE4kbFgZLoa_G91ZKXQrDuddCeH" />

而网页里的这个才是真正的 token ,cookie里的那个是无效的。

解决方案

将上述开启代码改为

http.csrf()
	.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
    .csrfTokenRequestHandler(new CsrfTokenRequestAttributeHandler())
;

问题追踪

CSRF验证由CsrfFilter类负责,查看该类的doFilterInternal方法,以debug模式运行发现这里的actualToken null导致匹配不成功

String actualToken = this.requestHandler.resolveCsrfTokenValue(request, csrfToken);

其中requestHandler的定义为

private CsrfTokenRequestHandler requestHandler = new XorCsrfTokenRequestAttributeHandler();

查看该方法的实现

@Override
	public String resolveCsrfTokenValue(HttpServletRequest request, CsrfToken csrfToken) {
		String actualToken = super.resolveCsrfTokenValue(request, csrfToken);
		return getTokenValue(actualToken, csrfToken.getToken());
	}

debug模式运行发现这里的在执行了父类的方法后actualToken 是有值的,那么罪魁祸首就是getTokenValue这个方法,这是一个静态方法,老实说它写了啥我看不懂

但是我们发现XorCsrfTokenRequestAttributeHandler这个类有一个父类CsrfTokenRequestAttributeHandler,它没有重写resolveCsrfTokenValue方法,而且有无参构造方法,那么直接new一个覆盖原定义就好了。

银之石
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
weixin_45114101的博客
12-26 2432
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
SpringSecurity(6.1.x版本) 认证,授权,自定义登录,内部机制探讨
m0_73976305的博客
07-18 1534
SpringSecurity CSRF跨站请求伪造攻击 SFA会话固定攻击 XSS跨站脚本攻击 开发环境搭建 认证 直接认证 使用数据库认证 自定义验证 其他配置 自定义登录界面 记住我功能 授权 基于角色授权 基于权限授权 使用注解权限判断 内部机制探究 授权校验流程 安全上下文 安全上下文持久化过滤器
关于Spring SecurityCSRF
最新发布
寻码启示
06-05 417
GET请求是正常的,但是POST请求会报403错误。Spring中POST请求不到。
Spring Security(六) —— CSRF
eyes++的博客
07-26 4032
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1149
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
Spring Security中启用CSRF防护(REST版)
fxtxz2的专栏
03-13 837
REST版本csrf防护,就是在原有的登录接口基础上面,新增一个实时随机请求头来,实现CSRF防护。
Spring Security(十一) Spring SecurityCSRF
热门推荐
奥迪的博客
10-13 1万+
从刚开始学习 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 1 什么是 CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。 跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。 客户
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证和匹配。CsrfFilter 的主要作用是保护 Web ...
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
spring security中的csrf防御原理(跨域请求伪造)
08-25
处理这些请求的服务器端,Spring Security会自动检查并验证提交的CSRF Token,如果验证失败,请求会被拒绝,从而防止CSRF攻击。 总之,Spring Security通过生成和验证CSRF Token,有效地防止了跨域请求伪造攻击,...
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
使用SpringSecurity处理CSRF攻击的方法步骤 春Security是当前最流行的Java Web应用程序安全框架之一,它提供了强大的安全功能,包括身份验证、授权、CSRF防护等。CSRF(Cross-site request forgery)是一种常见的...
spring security CSRF防护的示例代码
08-26
Spring Security 4.0 及更高版本默认启用 CSRF 防护,以防止 CSRF 攻击应用程序。下面是 Spring Security CSRF 防护机制的详细解释。 CSRF 攻击 CSRF 攻击是一种迫使用户在当前已登录的 Web 应用程序上执行非本意...
Spring Security】认证&密码加密&Token令牌&CSRF的使用详解
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
12-21 5391
我们都知道Spring Security是做认证的,那它到底是怎么认证的呢?它是怎么将明文密码加密的呢?Token令牌的使用与CSRF跨域请求伪造是什么等等我们都不知道,但是通过这篇文章我相信你会有所了解有所收获!!!创建自定义MD5加密类并实现@Override//对密码进行 md5 加密​@Override// 通过md5校验修改@Bean// 自定义MD5加密方式:数据库中的用户密码也需要更换成对应自定义MD5//MD5自定义加密方式:最后,将生成的MD5。
SpringSecurity6从入门到上天系列第五篇:详解SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
treewithwater的博客
11-20 1142
本文是SpringSecurity6从入门到上天系列第五篇,详细介绍了SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
SpringSecurity (4) CSRFCSRF-TOKEN 的处理
O_o
05-17 9462
本文主要介绍SpringSecuritySpringBoot 整合过程中关于 CSRF处理
springboot框架学习 springSecurity5的CSRF保护(cookie跨域保护)
m0_59588838的博客
05-02 2418
昨天遇到的一个毁灭性的bug,前提是我没有系统的了解springsecurity5这款安全框架,它封装管理的一些保护机制,其中导致我明明页面和对应的方法映射写的都好好的,结果就是从一个页面跳转另一个页面报出403错误,且显示得不到任何映射,这就很让我困扰,本来我以为是我controller层的方法写的有问题,做好如下的调试代码: @RequestMapping("query") public User query(String username){ System.out.pr
处理Spring Security在配置好csrf后接口报401问题
永远sayYES的博客
09-22 2048
处理Spring Security在配置好csrf后接口报401问题 现象:接口报401,csrf disable后接口正常200 项目是基于Java Spring boot 2.4.4 写的,原来是csrf是disable的,项目一直跑是没有问题。有一天项目需要配置csrf,不然会有潜在的CSRF风险(跨站请求伪造攻击)。 话不多说,改就完了。 原有配置 http.csrf().disable() 修改后的配置 http.csrf().csrfTokenRepository(CookieCsrfToke
SpringSecurityCSRF漏洞保护
Littewood的博客
07-24 1620
SpringSecurityCSRF漏洞保护
一文带你读懂Spring Security 6.0的实现原理
m0_73311735的博客
07-28 307
本文重点分析了Spring Security的源码和架构,帮助读者理解其实现原理。由于篇幅有限,本文只覆盖了身份认证和鉴权模块的核心逻辑,很多特性没有涉及,包括Session管理,Remember Me服务,异常分支和错误处理等等,不过有了上述的基础知识,读者完全可以自己分析源码并深入理解这些特性。
Spring Security如何防止csrf
12-01
Spring Security提供了多种方式来防止CSRF攻击,以下是其中两种常用的方式: 1. 在认证页面携带CSRF Token请求:在认证页面中添加一个隐藏的input标签,用于存储CSRF Token,然后在表单提交时将Token一同提交到后台进行验证Spring Security会自动生成Token并存储在Session中,可以通过Thymeleaf等模板引擎来获取Token并添加到表单中。 2. 启用CSRF防护机制:Spring Security默认启用了CSRF防护机制,可以通过在表单中添加CSRF Token或者在请求头中添加X-CSRF-TOKEN参数来进行验证。如果需要禁用CSRF防护机制,可以在Spring Security配置文件中添加以下配置: ```java http.csrf().disable(); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值