SpringBoot 如何防御 CSRF 攻击

最新推荐文章于 2023-07-06 15:10:53 发布
最新推荐文章于 2023-07-06 15:10:53 发布
阅读量538 收藏 4
点赞数
文章标签: csrf 前端
原文链接:https://www.cnblogs.com/rinack/p/14868585.html
版权

原文地址:SpringBoot 如何防御 CSRF 攻击 - 如.若 - 博客园

CSRF 就是跨域请求伪造,英文全称是 Cross Site Request Forgery。

这是一种非常常见的 Web 攻击方式,其实是很好防御的,但是由于经常被很多开发者忽略,进而导致很多网站实际上都存在 CSRF 攻击的安全隐患。我们通过一篇文章来详细讲解,什么是 CSRF 攻击以及 CSRF 攻击该如何防御。

1.CSRF 原理

想要防御 CSRF 攻击,那我们得先搞清楚什么是 CSRF 攻击,通过下面一张图,来和大家梳理 CSRF 攻击流程:

               

其实这个流程很简单:

  1. 假设用户打开了招商银行网上银行网站,并且登录。
  2. 登录成功后,网上银行会返回 Cookie 给前端,浏览器将 Cookie 保存下来。
  3. 用户在没有登出网上银行的情况下,在浏览器里边打开了一个新的选项卡,然后又去访问了一个危险网站。
  4. 这个危险网站上有一个超链接,超链接的地址指向了招商银行网上银行。
  5. 用户点击了这个超链接,由于这个超链接会自动携带上浏览器中保存的 Cookie,所以用户不知不觉中就访问了网上银行,进而可能给自己造成了损失。

CSRF 的流程大致就是这样,接下来松哥用一个简单的例子和小伙伴们展示一下 CSRF 到底是怎么回事。

2.CSRF实践

接下来,我创建一个名为 csrf-1 的 Spring Boot 项目,这个项目相当于我们上面所说的网上银行网站,创建项目时引入 Web 和 Spring Security 依赖,如下:

                 

创建成功后,方便起见,我们直接将 Spring Security 用户名/密码 配置在 application.properties 文件中:

spring.security.user.name=teest 
spring.security.user.password=123

然后我们提供两个测试接口:

@RestController 
public class HelloController { 
    @PostMapping("/transfer") 
    public void transferMoney(String name, Integer money) { 
        System.out.println("name = " + name); 
        System.out.println("money = " + money); 
    } 
    @GetMapping("/hello") 
    public String hello() { 
        return "hello"; 
    } 
}

假设 /transfer 是一个转账接口(这里是假设,主要是给大家演示 CSRF 攻击,真实的转账接口比这复杂)

最后我们还需要配置一下 Spring Security,因为 Spring Security 中默认是可以自动防御 CSRF 攻击的,所以我们要把这个关闭掉:

@Configuration 
public class SecurityConfig extends WebSecurityConfigurerAdapter { 
    @Override 
    protected void configure(HttpSecurity http) throws Exception { 
        http.authorizeRequests().anyRequest().authenticated() 
                .and() 
                .formLogin() 
                .and() 
                .csrf() 
                .disable(); 
    } 
}

配置完成后,我们启动 csrf-1 项目。

接下来,我们再创建一个 csrf-2 项目,这个项目相当于是一个危险网站,为了方便,这里创建时我们只需要引入 web 依赖即可。

项目创建成功后,首先修改项目端口:

server.port=8081

然后我们在 resources/static 目录下创建一个 hello.html ,内容如下:

<body> 
<form action="http://localhost:8080/transfer" method="post"> 
    <input type="hidden" value="javaboy" name="name"> 
    <input type="hidden" value="10000" name="money"> 
    <input type="submit" value="点击查看美女图片"> 
</form> 
</body>

这里有一个超链接,超链接的文本是点击查看美女图片,当你点击了超链接之后,会自动请求 http://localhost:8080/transfer 接口,同时隐藏域还携带了两个参数。配置完成后,就可以启动 csrf-2 项目了。接下来,用户首先访问 csrf-1 项目中的接口,在访问的时候需要登录,用户就执行了登录操作,访问完整后,用户并没有执行登出操作,然后用户访问 csrf-2 中的页面,看到了超链接,好奇这美女到底长啥样,一点击,结果钱就被人转走了。

3.CSRF防御

先来说说防御思路,CSRF 防御一个核心思路就是在前端请求中,添加一个随机数。因为在 CSRF 攻击中,黑客网站其实是不知道用户的 Cookie 具体是什么的,他是让用户自己发送请求到网上银行这个网站的,因为这个过程会自动携带上 Cookie 中的信息。所以我们的防御思路是这样:用户在访问网上银行时,除了携带 Cookie 中的信息之外,还需要携带一个随机数,如果用户没有携带这个随机数,则网上银行网站会拒绝该请求。黑客网站诱导用户点击超链接时,会自动携带上 Cookie 中的信息,但是却不会自动携带随机数,这样就成功的避免掉 CSRF 攻击了。

Spring Security 中对此提供了很好的支持,我们一起来看下。

3.1 默认方案

Spring Security 中默认实际上就提供了 csrf 防御,但是需要开发者做的事情比较多。首先我们来创建一个新的 Spring Boot 工程,创建时引入 Spring Security、Thymeleaf 和 web 依赖。

               

项目创建成功后,我们还是在 application.properties 中配置用户名/密码:

spring.security.user.name=test
spring.security.user.password=123

接下来,我们提供一个测试接口:

@Controller 
public class HelloController { 
    @PostMapping("/hello") 
    @ResponseBody 
    public String hello() { 
        return "hello"; 
    } 
}

注意,这个测试接口是一个 POST 请求,因为默认情况下,GET、HEAD、TRACE 以及 OPTIONS 是不需要验证 CSRF 攻击的。然后,我们在 resources/templates 目录下,新建一个 thymeleaf 模版,如下:

<body> 
<form action="/hello" method="post"> 
    <input type="hidden" th:value="${_csrf.token}" th:name="${_csrf.parameterName}"> 
    <input type="submit" value="hello"> 
</form> 
</body>

注意,在发送 POST 请求的时候,还额外携带了一个隐藏域,隐藏域的 key 是 ${_csrf.parameterName},value 则是 ${_csrf.token}。这两个值服务端会自动带过来,我们只需要在前端渲染出来即可。接下来给前端 hello.html 页面添加一个控制器,如下:

@GetMapping("/hello") 
public String hello2() { 
    return "hello"; 
}

添加完成后,启动项目,我们访问 hello 页面,在访问时候,需要先登录,登录成功之后,我们可以看到登录请求中也多了一个参数,如下:

              

可以看到,这里也多了 _csrf 参数。

这里我们用了 Spring Security 的默认登录页面,如果大家使用自定义登录页面,可以参考上面 hello.html 的写法,通过一个隐藏域传递 _csrf 参数。访问到 hello 页面之后,再去点击按钮,就可以访问到 hello 接口了。小伙伴们可以自行尝试在 hello.html 页面中,去掉 _csrf 参数,看看访问 hello 接口的效果。这是 Spring Security 中默认的方案,通过 Model 将相关的数据带到前端来。如果你的项目是前后端不分项目,这种方案就可以了,如果你的项目是前后端分离项目,这种方案很明显不够用。

3.2 前后端分离方案

如果是前后端分离项目,Spring Security 也提供了解决方案。这次不是将 _csrf 放在 Model 中返回前端了,而是放在 Cookie 中返回前端,配置方式如下:

@Configuration 
public class SecurityConfig extends WebSecurityConfigurerAdapter { 
    @Override 
    protected void configure(HttpSecurity http) throws Exception { 
        http.authorizeRequests().anyRequest().authenticated() 
                .and() 
                .formLogin() 
                .and() 
                .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); 
    } 
}

有小伙伴可能会说放在 Cookie 中不是又被黑客网站盗用了吗?其实不会的,大家注意如下两个问题:

  1. 黑客网站根本不知道你的 Cookie 里边存的啥,他也不需要知道,因为 CSRF 攻击是浏览器自动携带上 Cookie 中的数据的。
  2. 我们将服务端生成的随机数放在 Cookie 中,前端需要从 Cookie 中自己提取出来 _csrf 参数,然后拼接成参数传递给后端,单纯的将 Cookie 中的数据传到服务端是没用的。

理解透了上面两点,你就会发现 _csrf 放在 Cookie 中是没有问题的,但是大家注意,配置的时候我们通过 withHttpOnlyFalse 方法获取了 CookieCsrfTokenRepository 的实例,该方法会设置 Cookie 中的 HttpOnly 属性为 false,也就是允许前端通过 js 操作 Cookie(否则你就没有办法获取到 _csrf)。配置完成后,重启项目,此时我们就发现返回的 Cookie 中多了一项:

                

接下来,我们通过自定义登录页面,来看看前端要如何操作。首先我们在 resources/static 目录下新建一个 html 页面叫做 login.html:

<!DOCTYPE html> 
<html lang="en"> 
<head> 
    <meta charset="UTF-8"> 
    <title>Title</title> 
    <script src="js/jquery.min.js"></script> 
    <script src="js/jquery.cookie.js"></script> 
</head> 
<body> 
<div> 
    <input type="text" id="username"> 
    <input type="password" id="password"> 
    <input type="button" value="登录" id="loginBtn"> 
</div> 
<script> 
    $("#loginBtn").click(function () { 
        let _csrf = $.cookie('XSRF-TOKEN'); 
        $.post('/login.html',{username:$("#username").val(),password:$("#password").val(),_csrf:_csrf},function (data) { 
            alert(data); 
        }) 
    }) 
</script> 
</body> 
</html>

这段 html 我给大家解释下:

  1. 首先引入 jquery 和 jquery.cookie ,方便我们一会操作 Cookie。
  2. 定义三个 input,前两个是用户名和密码,第三个是登录按钮。
  3. 点击登录按钮之后,我们先从 Cookie 中提取出 XSRF-TOKEN,这也就是我们要上传的 csrf 参数。
  4. 通过一个 POST 请求执行登录操作,注意携带上 _csrf 参数。

服务端我们也稍作修改,如下:

@Configuration 
public class SecurityConfig extends WebSecurityConfigurerAdapter { 
    @Override 
    public void configure(WebSecurity web) throws Exception { 
        web.ignoring().antMatchers("/js/**"); 
    } 
 
    @Override 
    protected void configure(HttpSecurity http) throws Exception { 
        http.authorizeRequests().anyRequest().authenticated() 
                .and() 
                .formLogin() 
                .loginPage("/login.html") 
                .successHandler((req,resp,authentication)->{ 
                    resp.getWriter().write("success"); 
                }) 
                .permitAll() 
                .and() 
                .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); 
    } 
}

一方面这里给 js 文件放行。另一方面配置一下登录页面,以及登录成功的回调,这里简单期间,登录成功的回调我就给一个字符串就可以了。大家感兴趣的话,可以查看本系列前面文章,有登录成功后回调的详细解释,OK,所有事情做完之后,我们访问 login.html 页面,输入用户名密码进行登录,结果如下:

               

可以看到,我们的 _csrf 配置已经生效了。小伙伴们可以自行尝试从登录参数中去掉 _csrf,然后再看看效果。

4. 小结

好了,今天主要和小伙伴们介绍了 csrf 攻击以及如何防御的问题。大家看到,csrf 攻击主要是借助了浏览器默认发送 Cookie 的这一机制,所以如果你的前端是 App、小程序之类的应用,不涉及浏览器应用的话,其实可以忽略这个问题,如果你的前端包含浏览器应用的话,这个问题就要认真考虑了。

leveretz
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF攻击防御
02-26
根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如需要访问http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory,用户必须先登陆bank.example,然后通过点击页面上的按钮来触发转账事件。这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
springboot+springshiro实现简单的登陆注册模块
07-16
实现了登陆注册功能,并加入权限管理。以及一些安全认证措施,验证码,简单的csrf防范等。终有不足还望赐教。
Python Django框架防御CSRF攻击的方法分析
09-18
主要介绍了Python Django框架防御CSRF攻击的方法,结合实例形式分析了Python Django框架防御CSRF攻击的原理、配置方法与使用技巧,需要的朋友可以参考下
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
切记ajax中要带上AntiForgeryToken防止CSRF攻击
12-11
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击 在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。 Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中。 我们在ajax post中也带上AntiForgeryToken @model WebApplication1.Controllers.Person @{ ViewBag.Title = "Index"; } <h2>Index</h2> <form id="form1"> <div c
Springboot中的csrf问题
weixin_45582552的博客
04-12 4403
1、CSRF是什么 CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 2、CSRF攻击的本质原因 CSRF攻击是源于Web的隐式身份验证机制!Web的身份验证机制虽然可以保证一个请求是来自于某个用户...
Springboot集成CSRF攻击
hao_kkkkk的专栏
10-20 2225
springboot CSRF攻击防护
csrf防御springboot项目如何防御csrf
run_boy_2022的博客
06-14 977
CSRF(Cross-Site Request Forgery) ,通过单词简单理解就是跨站点请求伪造,用通俗简单点就是攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的操作1、用户打开浏览器访问受信任网站A,输入用户名和密码请求登录网站A;2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
Spring Boot中的CSRF攻击及预防
最新发布
Java徐师兄的博客
07-06 1578
CSRF攻击是一种常见的网络攻击方式,可以通过欺骗用户来执行恶意操作。在Spring Boot应用程序中,我们可以采取多种措施来预防CSRF攻击,如添加CSRF令牌、验证请求来源、使用HTTPS协议和定期更改密钥等。这些措施可以有效地保护应用程序的安全,防止攻击者利用CSRF漏洞进行攻击。在实际开发中,我们可以根据实际需求选择适当的预防措施。例如,如果应用程序只对内部用户开放,可以限制请求来源为内部网络;如果应用程序需要对外开放,可以使用HTTPS协议来加密数据传输。
一、Springboot安全之防CSRF攻击
panchang199266的博客
10-18 1万+
(一)简要介绍   跨站请求伪造(Cross-site request fogery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的WEB应用程序上执行非本意的操作的攻击方法。   举个栗子: 用户小z登录了网站A,同时打开网站B 网站B隐蔽的发送一个请求至网站A 网站A通过session、cookie等身...
前端安全:如何防止CSRF攻击
01-27
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补
SpringBoot+SpringSecurity+Thymeleaf 演示CSRF攻击
怪咖@的博客
06-07 2451
1. 通过代码示例来 演示CSRF攻击!2. 通过security给我们提供的保护机制,来进行防止CSRF攻击 3. security防止CSRF的原理
SpringBoot 如何防御 CSRF 攻击
CSDN资讯
06-07 1039
作者 | 江南一点雨 责编 | 欧阳姝黎CSRF 就是跨域请求伪造,英文全称是 Cross Site Request Forgery。这是一种非常常见的 Web 攻击方式,其实是...
Springboot实现csrf拦截器
初学者乐园的博客
03-10 6459
Springboot实现csrf拦截器,仅供参考: /** * csrf拦截器 * */ @Component(&amp;quot;csrfInterceptor&amp;quot;) public class CsrfInterceptor extends HandlerInterceptorAdapter { @Autowired private Configuration configuration; ...
Spring Boot整合Spring Security(三)csrf
时雨吹雪的博客
01-30 1715
Spring Security中csrf防护功能的使用,模板引擎以及接口方式获取csrfToken
spring boot实战之CSRF(跨站请求伪造)
热门推荐
思与学的博客
10-06 2万+
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片
SpringBoot+SpringSecurity防护CSRF(基于Html)
【欢迎关注公众号:冬瓜白】
07-22 1万+
关于SpringSecurity防护CSRF网上很多资料都是基于Thymeleaf(jsp)的,连官方文档也是: 但是如果是前后端分离应该怎么处理呢,也可以自己写过滤器实现,不过感觉比较麻烦;其实就算是使用Html实现也是很简单的,可以首先看看SpringSecurity防护CSRF的核心过滤器: 重点看看它的doFilterInternal()方法: 这个方法将CrsfToke...
springsecurity vue结合thymeleaf怎么能够获取${_csrf.parameterName}与${_csrf.token}
weixin_46564011的博客
07-06 599
因为vue中不允许使用${} 所以你是怎么都获取不到的,还有就是你就算在vue中用let x=json转换出来了thymeleaf他已经渲染完毕了你还是获取不到${_csrf.parameterName}与${_csrf.token}你可以这样在html中让他在thymeleaf渲染时先获取了值放到这里,因为我是前后端分离所以表单在js中写着你是没办法直接扔进表单中的 然后在js中你这样写 头顶先定义let变量然后传进去 千万不要在input中 加th:name不然你还是登陆失败 你要直接写name 与va
springboot csrf
04-30
Spring Boot中的CSRF(Cross-Site Request Forgery)防护是一个重要的安全性特性,它可以防止攻击者利用用户的会话发送恶意请求,从而实施恶意攻击。这种攻击方式常常是通过构造恶意URL或伪造表单提交来实现的,从而达到伪造请求的目的。 在Spring Boot中,实现CSRF防护的方式主要有两种。第一种是基于cookie的CSRF防护,即使用一个专门的cookie存储CSRF令牌,然后在每次请求中验证该令牌是否有效。第二种是基于请求头的CSRF防护,即在每次请求中增加一个名为“X-CSRF-TOKEN”的头部字段,然后在服务器端验证该字段是否有效。 使用Spring Boot实现CSRF防护时,需要在配置文件中进行相关配置。首先需要启用CSRF防护,可以通过在application.properties文件中添加以下配置实现: ``` # 开启CSRF防护 security.enable-csrf=true ``` 然后根据实际需要选择使用基于cookie或者请求头的CSRF防护方式。如果使用基于cookie的方式,在application.properties文件中添加以下配置: ``` # 存储CSRF令牌的cookie名称,默认为XSRF-TOKEN security.csrf.cookie-name=MYCSRF-TOKEN #开启CSRFcookie作为令牌来源 security.csrf.cookieHttpOnly=true ``` 如果使用基于请求头的方式,在前端页面中需要加入如下代码,在每次请求中自动增加“X-CSRF-TOKEN”头部字段: ``` <!-- 注入CSRF令牌 --> <meta name="_csrf" th:content="${_csrf.token}"> <!-- 注入CSRF请求头 --> <meta name="_csrf_header" th:content="${_csrf.headerName}"> ``` 在服务器端,还需要判断每个请求是否携带了有效的CSRF令牌。可以通过在控制器方法上添加@CrossOrigin注解,或者实现WebSecurityConfigurerAdapter类,并覆盖configure(HttpSecurity http)方法来实现。 总之,在使用Spring Boot开发Web应用时,配置CSRF防护是非常重要的,可以有效地提升应用的安全性,减少被攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值