Spring security CSRF 跨域访问限制问题

最新推荐文章于 2024-06-23 14:33:47 发布
最新推荐文章于 2024-06-23 14:33:47 发布
阅读量3.2k 收藏 8
点赞数 1
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huyuchengus/article/details/109109000
版权

在我们写 Spring 安全的时候通常有这么一句话:

httpSecurity.csrf().disable().

从这句话的字面意思就很明白就是禁用 csrf,什么是 csrf,为什么要禁用可能就一脸懵逼了。

因为你很有可能会遇到一个错误:

HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.

这个就是做 Web 开发的时候非常头痛的跨域访问问题。

Spring Security 后,引入了CSRF,默认是开启。不得不说,CSRF和RESTful技术有冲突。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。

什么是 CSRF ,这是一个 WEB 应用安全的问题,CSRF(Cross-site request forgery 跨站请求伪造,也被称为“One Click Attack” 或者Session Riding,攻击方通过伪造用户请求访问受信任站点。

其实跨域攻击操作过程比较简单,就是如果你不采取任何限制的时候,对 POST 相对风险系数比较高的访问,用户可以伪造请求,然后对服务器进行攻击和修改。

比如说通过 伪造 POST 请求,然后能够将用户的数据删除。

在跨域 (同一个 IP、同一个网络协议、同一个端口,三者都满足就是同一个域,否则就有跨域问题)。为什么在基于网页开发的时候没有这个跨域的问题,但是基于 RETS 开发的时候就非常明显。

这是因为在网页开发的时候,首先服务器会返回 sessionid 到客户端的界面,在客户端向服务器请求的时候,都会带有这个 session id。

在 RESTFul 开发的时候,这个情况就没有办法避免,因为我们的 API 会暴露给不同的用户,用户可能也会使用不同的 IP 地址,尤其用户可能还部署了多个服务器的情况下。

因此,我们在 Spring 安全配置下,需要禁用 CSRF。

禁用方法

有你需要在,程序 http 过滤器上禁用。

 

Spring-security-csrf-01

 

这个就是你在上面看到的那个代码。

https://www.ossez.com/t/spring-security-csrf/587

HoneyMoose
关注
专栏目录
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
weixin_45114101的博客
12-26 2465
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
springboot后端实现防御xSRF攻击的策略,及session token防御机制代码分析
阿啄debugIT
02-10 677
前言 csrf/xsrf(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。攻击者将会盗用你的身份,以你的名义发送恶意请求 产生csrf攻击需要有两个步骤 登陆受信网站A,并且在本地生产对应的cookie 在不登出A的情况下,访问危险网站B csrf攻击是源...
Spring Security跨站请求伪造(CSRF
猪猪神功屁
08-03 1799
spring securitycsrf
(新)Spring Security如何实现跨域
最新发布
weixin_55772633的博客
06-23 369
浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是跨域的HTTP请求。默认情况下是被禁止的。同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。前后端分离项目,前端项目和后端项目一般都不是同源的,所以肯定会存在跨域请求的问题。所以我们就要处理一下,让前端能进行跨域请求。
SpringSecurity(十七)------CSRF
Apple_Andy的博客
10-10 1894
一.引入 从刚开始学习Spring Security时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭csrf防护。 二.什么是CSRF CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行. 这就利用了web中用户身份认证验证
Nginx Referer校验模块 防盗链和CSRF ngx_http_referer_module
键盘上流淌的日子
10-16 2582
欢迎大家关注本博,同时欢迎大家评论交流,可以给个赞哦!!!   ngx_http_referer_module用于通过检测"Referer"请求头来防御CSRF漏洞,过滤掉具有无效"Referer"头的请求。   需要注意的是,使用适当的"Referer"标头值来伪造请求非常容易,因此,此模块并不能彻底组织此类请求。应用时,还需考虑到常规浏览器或有效请求可能不会发送"Referer"请求头。   什么是Referer   Http Referer是Header的一部分,当浏览器向web服务器发送请求的时.
【漏洞】CSRF跨站请求伪造漏洞,springboot修复思路
a987212198的博客
02-15 4005
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。
Springboot中的csrf问题
weixin_45582552的博客
04-12 4519
1、CSRF是什么 CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 2、CSRF攻击的本质原因 CSRF攻击是源于Web的隐式身份验证机制!Web的身份验证机制虽然可以保证一个请求是来自于某个用户...
SpringBoot 如何防御 CSRF 攻击
mry6的博客
04-29 1591
接下来,用户首先访问 csrf-simulate-web 项目中的接口,在访问的时候需要登录,用户就执行了登录操作,访问完整后,用户并没有执行登出操作,然后用户访问 csrf-loophole-web 中的页面,看到了超链接,好奇这美女到底长啥样,一点击,结果钱就被人转走了。因为在 CSRF 攻击中,黑客网站其实是不知道用户的 Cookie 具体是什么的,他是让用户自己发送请求到网上银行这个网站的,因为这个过程会自动携带上 Cookie 中的信息。在登录成功后回调的详细解释。
Springboot +spring security,解决跨域问题
weixin_40991408的博客
05-26 2325
Springboot +spring security,解决跨域问题
十七、Spring SecurityCSRF
booker009的博客
03-17 177
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问跨域:只要网络协议,ip地址,端口中任何一个不相同就是跨域请求。客户端与服务进行交互时,由于http协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。
Java Spring Security 安全框架:(十七)Spring SecurityCSRF
地球村
10-12 463
Spring SecurityCSRF1.什么是 CSRF2.Spring SecurityCSRF2.1 实现步骤2.1.1 编写控制器方法2.1.2 新建 login.html2.1.3 修改配置类 从刚开始说明 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护 1.什么是 CSRF CSRF(Cross-site request forgery)跨
第9章 Spring Security CSRF防御
Shiro框架02
10-23 384
Spring Security默认就已经开启CSRF防御。 什么是CSRF CSRF 是浏览器跨站伪造请求,黑客可以诱导用户执行一些用户意想不到行为,它允许攻击者部分绕开 同源策略。 例如,当用户登录系统A后,用户可以修改自己的邮箱,然后浏览器提交请求如下 POST /email/change HTTP/1.1 Host: vulnerable-website.com Content-Type: application/x-www-form-urlencoded Content-Length: 30 Coo
4-SpringSecurityCSRF防护
Heartsuit的博客
12-13 374
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验SpringSecurity的各项Feature。 接着上一篇文章3-SpringSecurity:自定义Form表单中的项目:spring-security-form,继续演示开启CSRF防护的场景(当时关闭了CSRF:.csrf().disable())。 依赖不变,核心依赖为Web与Thymeleaf: <dependencies> <dependency> <groupId&
Spring Security Config : HttpSecurity安全配置器 CsrfConfigurer
Details Inside Spring
06-09 2535
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,CsrfConfigurer的配置任务如下 : 配置如下安全过滤器Filter CsrfFilter 对应#requireCsrfProtectionMatcher方法指定的RequestMatcher会应用CSRF保护,如果#requireCsrfProtectionMatcher没有被使用者调用,使用...
编码技巧——HTTP接口安全防范CSRF攻击
娜娜米的博客
04-19 3494
​ 上一篇《编码技巧——HTTP接口安全防范CORS攻击》介绍了同源策略、跨域、CORS,本篇介绍下CRSF漏洞及常用服务端解决方案; 思考一个问题:如果你说 同源策略SOP 就是“禁止跨域请求”,这也不完全准确,因为本质上 SOP 并不是禁止跨域请求,而是在请求后拦截了请求的回应。因此——这就会引起CSRF漏洞,即被恶意网站模拟的、带上了cookies(虽然由于SOP策略读不到cookies信息)的、非用户预期的请求,已经打到了服务端的接口上!
解决Security6.1版本csrf().disable()已弃用问题
m0_65769108的博客
11-22 2157
来关闭csrf进行测试。新版本csrf().disable()已经弃用。
7.2 使用Security进行权限控制和防止 CSRF
Qiuyuguohou的博客
03-12 4579
Securit进行安全控制和防止CSRF
spring security解决跨域请求
06-04
Spring Security 是一个基于 Spring 的安全框架,主要用于为 Java Web 应用程序提供身份验证和授权功能。而跨域请求通常是指在浏览器环境下,前端页面使用 AJAX 发起跨域请求,而后端服务器需要响应跨域请求的场景。 Spring Security 提供了解决跨域请求的方式,其中比较常用的是 CORS(跨域资源共享)机制。CORS 机制通过在服务器端设置响应头来允许跨域访问,具体步骤如下: 1. 在 Spring Security 的配置中添加 cors() 方法,如下: ``` @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.cors() .and() //其他配置 .csrf().disable(); } @Bean public CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.addAllowedOrigin("*"); configuration.addAllowedHeader("*"); configuration.addAllowedMethod("*"); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } } ``` 2. 在 CorsConfigurationSource 中设置允许跨域访问的源、方法和头信息。以上代码中的 configuration.addAllowedOrigin("*") 表示允许所有来源跨域访问,configuration.addAllowedHeader("*") 表示允许所有头信息,configuration.addAllowedMethod("*") 表示允许所有 HTTP 方法。 以上就是 Spring Security 解决跨域请求的方法,希望对您有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

HoneyMoose

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值