锱铢必较:在spring boot中使用神器防止CSRF攻击

最新推荐文章于 2024-07-12 15:51:39 发布
最新推荐文章于 2024-07-12 15:51:39 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: activeMQ maven netty rabbitMQ Tomcat dockerhub 文章标签: java 程序员 互联网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java1856905/article/details/89335470
版权

在一个spring boot项目中,需要防止CSRF攻击,按理说应该集成spring security才对。

但是不想使工程变得太复杂,这时可以只把spring security中的相关filter引入来进行。

在pom中添加相关依赖

 
<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-freemarker</artifactId> </dependency> <!-- Security (used for CSRF protection only) --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> </dependency> </dependencies>

在app启动时,添加CsrfFilter

 
@SpringBootApplication public class Application extends WebMvcConfigurerAdapter { @Bean public FilterRegistrationBean csrfFilter() { FilterRegistrationBean registration = new FilterRegistrationBean(); registration.setFilter(new CsrfFilter(new HttpSessionCsrfTokenRepository())); registrati
最低0.47元/天 解锁文章
java1856905
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot实战之CSRF(跨站请求伪造)
思与学的博客
10-06 2万+
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。攻击通过在授权用户访问的页面包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛,并且后者刚刚发布了一个具有Bob银行链接的图片
Spring Boot | Spring BootCSRF 防护功能“ 、Security “管理前端页面“
m0_70720417的博客
05-19 1172
目录: 一、SpringBoot 自定义 "用户授权管理" ( 总体内容介绍 ) 二、实现 "CSRF" 防护功能 ( 通过 "HttpSecurity类" 的 csrf( )方法来实现 "CSRF" 功能 ) : 1. "关闭" CSRF 防护功能 : ① 创建好 "基本的项目" ② 创建数据修改页面 ③ 编写后台控制层方法 ④ CSRF 默认防护效果测试 ⑤ 关闭 Security 的 " CSRF 防御功能" ......
Springboot集成CSRF攻击
hao_kkkkk的专栏
10-20 2460
springboot CSRF攻击防护
Spring官方提供【CSRF攻击】解决方案
qq_35040959的博客
01-16 1625
·Spring官方提供【CSRF攻击】解决方案
一、Springboot安全之防CSRF攻击
热门推荐
panchang199266的博客
10-18 1万+
(一)简要介绍   跨站请求伪造(Cross-site request fogery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的WEB应用程序上执行非本意的操作的攻击方法。   举个栗子: 用户小z登录了网站A,同时打开网站B 网站B隐蔽的发送一个请求至网站A 网站A通过session、cookie等身...
【漏洞】CSRF跨站请求伪造漏洞,springboot修复思路
a987212198的博客
02-15 3942
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。
快递行业报告:寻找大行业的龙头
03-19
快递收费 对象是电商平台上的小B商家,快递成本需要锱铢必较。 2. 快递同质化:淘系上发货的需求是随机的,倒逼快递全国铺网,各家深度广度接近,产品同质,没有区域性公司。 供给 1. 总公司固定成本占比更高,固定...
产品文字设计原则:产品文案的4个“不要”
02-26
我应该算是比较啰嗦的,经常重要的事会说三遍,但是在产品上,对文字却格外小气,锱铢必较。所以在我参与设计的产品,很少看到“我的xx”,“xx成功”之类的标题、提示语。在这里和大家分享下我的产品文字设计原则...
语文《咬文嚼字》同步练习2 新人教版必修5.doc
10-13
3. 加点字的正确读音是语文学习的基础,例如"嫌"的正确读音是"xían","番"是"fān","锱铢必较"的"锱"是"zī","分量"的"分"是"fèn","涎"是"xián","和"在"调和"是"hé","镞"是"zú","缘"是"yuán","讶"是...
详解如何在spring boot使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
欧阳修不“识人”,用人要客观评价而非锱铢必较
08-19
欧阳修不“识人”,用人要客观评价而非锱铢必较
语文咬文嚼字 同步练习苏教版必修五.doc
10-12
题目测试学生对于汉字读音的准确性(如“憎恶”的“憎”读zēng,“适宜”的“宜”读yí),以及辨析错别字的能力(如“变本加励”应为“变本加厉”),还有成语的正确使用(如“咬文嚼字”和“锱铢必较”)。...
springboot项目本地运行没问题,服务器上部署失败
fighting_2017的博客
05-28 1万+
起因 由于自己之前没接触过后端开发,最近项目需要了解后端,搭了一个简单的后端服务器,写了两个简单的api,在本地调通后非常高兴。结果已部署到服务器上各种问题。下面就总结一下遇到的问题 常见问题总结 1、部署后项目不能正常运行 这类问题一定要仔细查看log信息,注意查看出错信息最下方的错误信息。错误log信息如下 严重: FAIL - Application at context path [/f...
Springboot实现csrf拦截器
初学者乐园的博客
03-10 6487
Springboot实现csrf拦截器,仅供参考: /** * csrf拦截器 * */ @Component(&amp;quot;csrfInterceptor&amp;quot;) public class CsrfInterceptor extends HandlerInterceptorAdapter { @Autowired private Configuration configuration; ...
springboot跨域】自定义拦截器与自定义过滤器互斥、springsecurity拦截预检请求OPTIONS
weixin_41955471的博客
01-19 2501
问题描述: 由于在项目自定义了一个拦截器,这个拦截器会在filter过滤器之前执行,并且在此间还会被springSecurity拦截一次,前端请求会先发送一次预检请求,由于SpringSecurity对该OPTIONS请求进行了拦截,发现头部没有携带Token信息,直接返回了401的状态,浏览器认为预检请求不通过,之后的真实请求当然也认为是不通过的。 解决方案: 因为使用的是SpringBoot+SpringSecurity框架,所以需要编写Cors跨域的配置,并在WebSecurityCon
csrf防御】springboot项目如何防御csrf
run_boy_2022的博客
06-14 1156
CSRF(Cross-Site Request Forgery) ,通过单词简单理解就是跨站点请求伪造,用通俗简单点就是攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的操作1、用户打开浏览器访问受信任网站A,输入用户名和密码请求登录网站A;2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3、用户未退出网站A之前,在同一浏览器,打开一个TAB页访问网站B;
什么是SSRF以及如何预防-----代码实例
jimmyleeee的专栏
05-19 970
SSRF的预防代码实例
java版的上门家政系统和PHP版的上门家政有什么区别?
最新发布
baina666的博客
07-12 590
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值