Spring REST 配置CSRF防护

最新推荐文章于 2024-08-20 18:22:37 发布
最新推荐文章于 2024-08-20 18:22:37 发布
阅读量6.4k 收藏
点赞数
分类专栏: Java 文章标签: spring session rest csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laojiaqi/article/details/52637194
版权
本文介绍了Spring REST服务如何配置CSRF防护,包括理解CSRF攻击的原理,防御措施,以及REST服务中CSRF token如何存储在header中以避免通过cookie的安全问题。文章还提供了实验案例,展示了带有和不带token的POST请求的不同结果。
摘要由CSDN通过智能技术生成

Spring REST 配置CSRF防护

内容从以下几个方面展开
  • 什么是CSRF防护
  • 如何运用CSRF进行防御(WEB)
  • 如何将CSRF防御,运用到REST中
1.什么是CSRF

CSRF 攻击简单来说,是多Tab页面浏览器的一个安全漏洞,比如你正在访问A网站,此时如果浏览器有你的cookie,并且session没有过期,此时你去访问B网站,那么B网站可以直接调用A网站的接口,而A网站则认为是你本人进行的操作。以下是图示:

2.如何进行防御

对CSRF进行防御,可以通过加Token.也就是当你访问A网站的时候,A会给你一个token,然后,接下去的post请求,你需要把token带上,不然服务器则拒绝接收这个请求。
- 1. token的产生:spring-security 4.0之后默认开启csrf,可以直接产生csrf token。
- 2. token的存储:这里存储是指服务端的存储,token是存储在session中。
- 3. token的传送:token可以通过cookie,也可以放在header中自定义的属性中。
- 4. token的接收和返回:前段收到http respon 之后,需要把相应的token返回回来。
- 5. token校验:服务器端对自己持有的token和客户端反馈回来的token进行校验,决定是否拒绝服务(拒绝服务可以自定义)。

3.REST 的CSRF防御

一般写REST服务(也就是直接@ResponseBody)返回json字符串,则可以把token加在header里头的自定义属性中,为什么不能直接加在header中的cooike里

最低0.47元/天 解锁文章
乱在长安
关注
专栏目录
基于restSpringSecurity(依赖csrf)
makefriend7的专栏
12-06 977
原理如下,登陆后获得csrf,所有请求均需带该csrf, 如果想较好保障安全,建议使用https(例子暂不使用) pom文件如下 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http:/
Spring REST
weixin_34306676的博客
07-02 89
REST风格   /user/1    get请求    获取用户   /user/1  post请求    新增用户   /user/1  put请求      更新用户   /user/1  delete请求  删除用户   在Spring MVC中如何提交put和delete请求呢?   需要在web.xml文件中配置一个HiddenHttpMethodFilter过滤器。该过...
Spring REST 教程(一)
最新发布
龙哥盟
08-20 1312
在本章中,我们将学习以下内容:休止符基础REST 资源及其表示HTTP 方法和状态代码理查森的成熟度模型今天,网络已经成为我们生活中不可或缺的一部分——从在脸书上查看状态到在线订购产品,再到通过电子邮件交流。Web 的成功和无处不在导致组织将 Web 的架构原则应用于构建分布式应用。在这一章中,我们将深入 REST,一种形式化这些原则的架构风格。REST 代表表述性状态转移,是一种用于设计分布式网络应用的架构风格。罗伊·菲尔丁在他的博士论文1。
REST是什么(转)
tornado886的专栏
05-25 2008
REST是什么(转)概述     REST是英文Representational State Transfer的缩写,中文翻译:表述性状态转移。     他是由Roy Thomas Fielding博士在他的论文 《Architectural Styles and the Design of Network-based Software Architectures》中提出的一个术语。    
csrf 设置
weixin_33775582的博客
01-25 223
csrf 只在 post请求中 需要设置 1.   form 请求中 只需要在form 表单内 写进去 {%csrf_token%}      2.   ajax请求 中 设置csrf的方法     需要导入 jquery.cookie.js     $.ajax({       url:'/index/',       type:'POST',       data:{'us...
spring security4.2 配置CSRF防御
Vevinlong的博客
08-03 5576
spring security4.2 配置CSRF防御 注:源文请参考官方手册 最经项目用到csrf,看了官方文档后,结合实际开发过程,记录下所遇到的问题,其中第1、2、3点都没有什么问题。而是在使用文件上传时遇到问题,查了比较久的时间,从怀疑xhr对象,到跨域访问(用到的插件动态创建了一个iframe),最终发现是当form设置了enctype="multipart/form-data"之后,
REST-spring-security.rar_java rest_java security_rest_rest secu
09-24
此外,Spring Security还提供了CSRF(跨站请求伪造)防护,这是Web应用普遍面临的一种攻击。对于RESTful API,如果不需要状态保持,通常会禁用CSRF保护,因为CSRF依赖于浏览器的Cookie,而RESTful服务通常不依赖于...
spring-boot-basic-auth:使用基本身份验证的安全Spring Boot REST API
02-04
实际应用中,你可能还需要考虑其他安全措施,如CSRF防护、密码哈希、角色和权限管理等。在`spring-boot-basic-auth-master`这个项目中,你应该能够找到更详细的配置和示例代码,帮助你更好地理解整个流程。
新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制的项目
05-21
Spring Boot项目中,只需简单配置即可启用Spring Security,它可以处理登录、权限控制、CSRF防护等多种安全问题。Spring Security支持自定义认证和授权逻辑,允许开发者根据业务需求定制安全策略。 **JWT(JSON ...
spring-rest-api:这是一个演示Spring应用程序
05-11
Spring Security提供了一套强大的安全解决方案,包括身份验证、授权、CSRF防护等。开发者可能已经配置Spring Security来保护API,防止未授权访问。 综上所述,"spring-rest-api"项目展示了如何使用Spring框架构建...
spring rest
weixin_34138255的博客
02-27 121
幂等 PUT 初始状态:0 修改状态:1 * N 最终状态:1 DELETE 初始状态:1 修改状态:0 * N 最终状态:0 非幂等 POST 初始状态:1 修改状态:1 + 1 =2 N次修改: 1+ N = N+1 最终状态:N+1 幂等/非幂等 依赖于服务端实现,这种方式是一种契约 #自描述消息 > Accept:...
Spring整合CXF,发布RSETful 风格WebService
weixin_33964094的博客
07-23 175
这篇文章是承接之前CXF整合Spring的这个项目示例的延伸,所以有很大一部分都是一样的。关于发布CXF WebServer和Spring整合CXF这里就不再多加赘述了。如果你对Spring整合CXF WebService不了解,具体你可以参看这两篇文章: http://www.cnblogs.com/hoojo/archive/2011/03/30/1999563.html http://ww...
Spring rest
GeoJava的专栏
02-21 752
1.Rest的基本原理 Rest与RPC几乎没有任何关系。RPC是面向服务的,并关注行为和动作,而REST是面向资源的,强调描述应用程序的事物和名词。 为了理解REST是什么,我们将它的首字母缩写拆分成不同的组成部分 简单说,rest就是将资源的状态以合适的形式从服务器转移到客户端(或者反之) 2.Spring是如何支持REST的 3.编写面向资源的Control
Spring REST
李思苇
09-15 258
转自:https://www.cnblogs.com/forerver-elf/p/6610901.html RPC是面向服务的,并关注与行为和动作;而REST是面向资源的,强调描述应用程序的事务的名词。REST将资源的状态以最适合客户端或服务端的形式从服务器端转移到客户端。   REST   Representational(表述性):REST资源实际上可以用各种形式来进行表述,包括XML...
SpringSecurity】CSRF、环境配置、授权、认证功能、记住我功能实现
m0_73976305的博客
06-08 972
SpringSecurity CSRF跨站请求伪造攻击 开发环境搭建 认证 直接认证 使用数据库认证 自定义登录界面 授权 基于角色的授权 基于权限的授权 使用注解判断权限 记住我 SecurityContext
Spring Security4配置CSRF问题记录
bigger_bug的博客
01-04 742
spring security4默认是开启csrf的,所以在登陆页面需要添加<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>如上,可以获取到csrf的token值,但是,一般情况下我们都会将登录页的安全配置为none,这样的话登录页面就不属于security的管理范围之内了,所以就会导致在登录页面无
Spring框架深度解析:第3版精华
**Spring Security**:第七章探讨了Spring Security,这是Spring生态中的安全组件,讲解了身份验证、授权、CSRF防护以及访问控制等安全策略。 **Spring Mobile**:第八章讲述了Spring Mobile模块,它扩展了Spring ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值