spring security的CSRF功能

最新推荐文章于 2024-09-04 12:38:36 发布
最新推荐文章于 2024-09-04 12:38:36 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 漏洞、安全、’工具 文章标签: spring security CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangbaokang/article/details/110800666
版权

默认是开启了spring security 的CSRF功能,如果我们没有配置禁用,Spring Security CSRF 会针对 PATCH,POST,PUT 和 DELETE 方法进行防护。
对如下的请求是不防护的
在这里插入图片描述
在这里插入图片描述
可以看到,从request中获取token,所以我们在页面中进行传递,我们可以使用thymeleaf模板引擎

 <!--引入thymethef模板引擎-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>

在登录页中增加隐藏域,携带_csrf进行提交

<!DOCTYPE html xmlns:th="http://www.thymeleaf.org/">
<html lang="en" >
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="/test/login"method="post">
    <input type="hidden" th:if="${_csrf}!=null" th:value="${_csrf.token}" name="_csrf"/>
    用户名:<input type="text"name="username"/><br/>
    密码:<input type="password"name="password"/><br/>
    <input type="checkbox" name="remember-me"/>记住我
    <input type="submit"value="提交"/>
</form>
</body>
</html>

也可以如下 <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>

如果name不是remember-me,也可以进行设置,这个是上一讲的内容了
在这里插入图片描述
我们如果没禁用csrf(默认开启),在表单上加上那段隐藏域代码就可以测试了。

注意点,如果开启了csrf功能,则登出功能需要使用表单post提交,而不能是之前的超链接。
在这里插入图片描述

黄宝康
关注
专栏目录
Spring Security-CSRF防护 快速开始
西京刀客
10-22 655
文章目录一、什么是CSRF1. 如何防御CSRF攻击二、何时使用CSRF保护三、Spring SecurityCSRF token攻击防护四、如何关闭Spring SecurityCSRF防护 一、什么是CSRF CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一,攻击方通过伪造用户请求访问受信任站点。 通常的CSRF攻击方式如下: 你登录了网站A,攻击者向你的网站A账户发送留言、伪造嵌入页面,带有危险操作链接。 当你在登录状态下点击了攻击者的连接,因
SpringSecurityCSRF攻击
Jinmindong
12-23 139
一些网站比如知乎、简书中的外部链接,点击之后会有提示(免责声明),此操作有风险是否继续,这便与CSRF密切相关。虽然默认开启CSRF防护,但是幂等请求诸如"GET", “HEAD”, “TRACE”, "OPTIONS"被忽略。默认开启CSRF防护,对于非幂等请求诸如"POST", “PUT”, "DELETE"等请求进行拦截。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?,请求成功到达源站后端,实现了CSRF:跨站请求伪造。,结果也是被拦截,返回403;
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security CSRF防护
aabbyyz的博客
10-22 1670
分享一下我老师大神的人工智能教程!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴! CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSR...
spring security 中的csrf 漏洞保护
最新发布
冬阳
09-04 1207
spring security 如何开启CSRF防护,以及 CSRF是什么; (Cross-Site Request Forgery 跨站请求伪造),也可称为一键式攻击(one-click-attack)通常缩写为 CSRF 或者 XSRF。
springSecurity csrf ajax
一叶竹
10-30 1037
html设置 ajax : var token = $("meta[name='_csrf']").attr("content"); var header = $("meta[name='_csrf_header']").attr("content");  $.ajax({           url: "./deleteRes",
spring security CSRF防护的示例代码
08-26
Spring Security CSRF 防护机制详解 CSRF(Cross-site request forgery),即跨站请求伪造,是一种常见的 Web 攻击。Spring Security 4.0 及更高版本默认启用 CSRF 防护,以防止 CSRF 攻击应用程序。下面是 Spring ...
十七、Spring SecurityCSRF
booker009的博客
03-17 187
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。跨域:只要网络协议,ip地址,端口中任何一个不相同就是跨域请求。客户端与服务进行交互时,由于http协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
SpringSecurityCSRF漏洞保护
Littewood的博客
07-24 1665
SpringSecurityCSRF漏洞保护
SpringSecurityCSRF防护
2201_75856701的博客
01-14 267
继续演示开启CSRF防护的场景(当时关闭了CSRF:.csrf().disable())。依赖不变,核心依赖为Web与Thymeleaf从官网中可以知道,CSRF防护的关键在于我们发请求时附带一个随机数(CSRF token),而这个随机数不会被浏览器自动携带(eg: Cookie就会被浏览器自动带上)。
spring security4.2 配置CSRF防御
Vevinlong的博客
08-03 5581
spring security4.2 配置CSRF防御 注:源文请参考官方手册 最经项目用到csrf,看了官方文档后,结合实际开发过程,记录下所遇到的问题,其中第1、2、3点都没有什么问题。而是在使用文件上传时遇到问题,查了比较久的时间,从怀疑xhr对象,到跨域访问(用到的插件动态创建了一个iframe),最终发现是当form设置了enctype="multipart/form-data"之后,
4-SpringSecurityCSRF防护
Heartsuit的博客
12-13 387
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验SpringSecurity的各项Feature。 接着上一篇文章3-SpringSecurity:自定义Form表单中的项目:spring-security-form,继续演示开启CSRF防护的场景(当时关闭了CSRF:.csrf().disable())。 依赖不变,核心依赖为Web与Thymeleaf: <dependencies> <dependency> <groupId&
Spring Security(十一) Spring SecurityCSRF
热门推荐
奥迪的博客
10-13 1万+
从刚开始学习 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 1 什么是 CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。 跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。 客户
Spring Security学习笔记
weixin_43877332的博客
05-17 1107
1.特点 # 1.1认证方式 如果用户没有设置密码,则系统会自动生成一个密码在控制台打印。 参考UserDetailsServiceAutoConfiguration类中这段代码: package org.springframework.boot.autoconfigure.security.servlet; private String getOrDeducePassword(User user, PasswordEncoder encoder) { String password =
SpringSecurity 对某些请求不进行csrf验证
qwer1154928613的博客
09-04 461
方法1: 方法2:
Freemarker中提交Spring Security表单CSRF保护问题
熊大的专栏
05-14 1282
Freemarker中提交Spring Security表单CSRF保护问题 1. 问题描述 这是一个普通的ftl文件提交表单 &lt;form method="post" action="/login"&gt; &lt;div&gt;&lt;label&gt; 用户名 : &lt;input type="text" name="username"
Spring Security中启用CSRF防护(REST版)
fxtxz2的专栏
03-13 913
REST版本的csrf防护,就是在原有的登录接口基础上面,新增一个实时随机请求头来,实现CSRF防护。
Spring Security CSRF防御详解与实现
Spring Security中的CSRF防御原理涉及到了一项关键的安全措施,用于防止跨域请求伪造(Cross-Site Request Forgery, CSRF)攻击。CSRF是一种网络攻击手段,攻击者利用用户已登录的会话,伪装成用户在用户不知情的情况...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黄宝康

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值