最新Spring Security实战教程(十一)CSRF攻防实战 - 从原理到防护的最佳实践

最新推荐文章于 2025-04-22 13:49:06 发布
最新推荐文章于 2025-04-22 13:49:06 发布
阅读量2k 收藏 89
点赞数 85
分类专栏: Spring Security 文章标签: csrf java spring boot spring security spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhmyy521125/article/details/147314076
版权

在这里插入图片描述

🌷 古之立大事者,不惟有超世之才,亦必有坚忍不拔之志
🎐 个人CSND主页——Micro麦可乐的博客
🐥《Docker实操教程》专栏以最新的Centos版本为基础进行Docker实操教程,入门到实战
🌺《RabbitMQ》专栏19年编写主要介绍使用JAVA开发RabbitMQ的系列教程,从基础知识到项目实战
🌸《设计模式》专栏以实际的生活场景为案例进行讲解,让大家对设计模式有一个更清晰的理解
🌛《开源项目》本专栏主要介绍目前热门的开源项目,带大家快速了解并轻松上手使用
✨《开发技巧》本专栏包含了各种系统的设计原理以及注意事项,并分享一些日常开发的功能小技巧
💕《Jenkins实战》专栏主要介绍Jenkins+Docker的实战教程,让你快速掌握项目CI/CD,是2024年最新的实战教程
🌞《Spring Boot》专栏主要介绍我们日常工作项目中经常应用到的功能以及技巧,代码样例完整
🌞《Spring Security》专栏中我们将逐步深入Spring Security的各个技术细节,带你从入门到精通,全面掌握这一安全技术
如果文章能够给大家带来一定的帮助!欢迎关注、评论互动~

最新Spring Security实战教程(十一)CSRF攻防实战 - 从原理到防护的最佳实践

回顾链接:
最新Spring Security实战教程(一)初识Spring Security安全框架
最新Spring Security实战教程(二)表单登录定制到处理逻辑的深度改造
最新Spring Security实战教程(三)Spring Security 的底层原理解析
最新Spring Security实战教程(四)基于内存的用户认证
最新Spring Security实战教程(五)基于数据库的动态用户认证传统RBAC角色模型实战开发
最新Spring Security实战教程(六)最新Spring Security实战教程(六)基于数据库的ABAC属性权限模型实战开发
最新Spring Security实战教程(七)方法级安全控制@PreAuthorize注解的灵活运用
最新Spring Security实战教程(八)Remember-Me实现原理 - 持久化令牌与安全存储方案
最新Spring Security实战教程(九)前后端分离认证实战 - JWT+SpringSecurity无缝整合
最新Spring Security实战教程(十)权限表达式进阶 - 在SpEL在安全控制中的高阶魔法

专栏更新完毕后,博主将会上传所有章节代码到CSDN资源免费给大家下载,如你不想等后续章节代码需提前获取,可以私信或留言!

1. 前言

在前面学习的章节中,相信大家一定看一个配置 .csrf() , 回忆一下之前使用 Spring Security 默认页登录的时候,该配置 Spring Security 默认开启,主要做用于 CSRF 防护, 如果你现在还不了解什么是 CSRF 防护,没关系通过本章节,博主带着大家一起深入学习这个知识点~

2. CSRF 攻击原理

跨站请求伪造(CSRF)是一种利用受信任用户的身份,诱使用户在已登录的应用中执行非预期操作的攻击手段。

当用户在某个站点(如银行)登录并持有有效 Session Cookie 后,攻击者可通过精心构造的请求(例如隐藏在图片或表单中的 POST 请求)在用户不知情的情况下向该站点发起请求,并携带用户的 Cookie,从而完成诸如转账、修改邮箱等敏感操作。

2.1 攻击原理图解

用户访问了A站点,获得了Session或Cookie后,
用户不经意间访问到了恶意网站,此刻恶意网站伪造对A站点的危险请求

在这里插入图片描述

2.2 攻击示例

下面示例展示了一个最常见的 CSRF 攻击场景:用户登录了 https://bank.com 后,攻击者在自己的网站 https://evil.com 上放置如下 HTML 片段:

<!-- 在恶意页面上渲染时,立即向 bank.com 发起转账请求 -->
<img src="https://bank.com/transfer?amount=1000&to=attacker" />

3. Spring Security防御机制解析

3. 1 同步令牌模式(Synchronizer Token Pattern)

同步令牌模式是 Spring Security 的默认方案, 服务器在渲染每个需要保护的表单页面时,向用户 Session 中存入一个随机生成的 Token,并在表单中以隐藏字段输出;提交时,服务器验证该字段与 Session 中的 Token 是否一致,若不匹配则拒绝请求。此模式能有效防止 CSRF 攻击,因为攻击者无法从第三方域读取到该随机 Token

核心防御流程
在这里插入图片描述

  • 服务端生成随机Token(每个Session唯一)
  • Token嵌入HTML表单的隐藏字段或HTTP头
  • 客户端提交请求时必须携带有效Token
  • 服务端校验Token合法性

3. 2 双重提交 Cookie(Double Submit Cookie)

服务器在首次响应页面时,通过 Set-Cookie 设置一个随机 Token,同时在页面中通过脚本将该 Token 读出并写入一个请求头(或隐藏表单字段)。服务器接收请求后,比较 Cookie 中的 Token 与请求中携带的 Token 是否一致。由于浏览器同源策略不能让第三方域读取 Cookie,攻击者无法同步两个值。

3. 3 SameSite Cookie 属性

浏览器支持在 Set-Cookie 响应头中声明 SameSite 属性,用来限制 Cookie 在跨站请求时是否发送。设置为 Strict 或 Lax 模式,可从源头上阻止大部分 CSRF 请求

  • SameSite=Strict:绝不在第三方请求中发送该 Cookie;
  • SameSite=Lax:仅允许在“安全”的跨站 GET 导航中发送。

4. 实战代码示例

这里我们将针对上述三种防护机制,进行相关代码演示

4.1 在 Spring Security 中启用 CSRF 防护

Spring Security 默认开启 CSRF 保护,采用的是同步令牌模式。下面展示如何单体、前后分离中集成

❶ Thymeleaf 模板中集成

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .csrf(csrf -> csrf
                // 可自定义 CsrfTokenRepository,例如 CookieCsrfTokenRepository.withHttpOnlyFalse()
            )
            .authorizeHttpRequests(auth -> auth
                .anyRequest().authenticated()
            )
            .formLogin(withDefaults());
        return http.build();
    }
}

在 Thymeleaf 页面中添加隐藏字段,设置Token

<!-- Thymeleaf 模板:form.html -->
<form th:action="@{/transfer}" method="post">
    <!-- 输出 CSRF 隐藏字段 -->
    <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" />
    <input type="number" name="amount" />
    <button type="submit">Transfer</button>
</form>

在控制器中,Spring Security 自动会在每次 POST 请求时校验表单中的 ${_csrf.token}Session 中的令牌是否匹配,
不匹配则抛出InvalidCsrfTokenException

❷ 前后端分离适配方案

下面演示在前后分离中的适配,前端在请求前 初始化时获取CSRF Token

// 自定义CSRF令牌处理器
public class SpaCsrfTokenRequestHandler extends CsrfTokenRequestAttributeHandler {
    
    @Override
    public void handle(HttpServletRequest request, 
                      HttpServletResponse response, 
                      Supplier<CsrfToken> csrfToken) {
        // 将CSRF Token暴露给前端JavaScript
        CsrfToken token = csrfToken.get();
        if (token != null) {
            response.setHeader(token.getHeaderName(), token.getToken());
        }
    }
}

//SecurityConfig.java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .csrf(csrf -> csrf
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
                .csrfTokenRequestHandler(new SpaCsrfTokenRequestHandler())
            )
            // 其他配置...
        return http.build();
    }
}

❸ 自定义令牌存储策略

// 使用Redis存储CSRF令牌(分布式场景)
@Bean
public CsrfTokenRepository redisCsrfTokenRepository(RedisTemplate<String, String> redisTemplate) {
    return new CsrfTokenRepository() {
        
        @Override
        public CsrfToken generateToken(HttpServletRequest request) {
            return new DefaultCsrfToken("X-CSRF-TOKEN", "_csrf", 
                UUID.randomUUID().toString());
        }

        @Override
        public void saveToken(CsrfToken token, HttpServletRequest request, 
                             HttpServletResponse response) {
            String sessionId = request.getSession().getId();
            if (token == null) {
                redisTemplate.delete(sessionId);
            } else {
                redisTemplate.opsForValue().set(sessionId, token.getToken(), 30, MINUTES);
            }
        }

        @Override
        public CsrfToken loadToken(HttpServletRequest request) {
            String sessionId = request.getSession().getId();
            String token = redisTemplate.opsForValue().get(sessionId);
            return token != null ? 
                new DefaultCsrfToken("X-CSRF-TOKEN", "_csrf", token) : null;
        }
    };
}

前端演示代码

// 初始化时获取CSRF Token
fetch('/csrf', { credentials: 'include' })
  .then(res => {
    const token = res.headers.get('X-CSRF-TOKEN');
    axios.defaults.headers.common['X-CSRF-TOKEN'] = token;
  });

// 所有POST请求自动携带Token
axios.interceptors.request.use(config => {
  if (['post', 'put', 'delete'].includes(config.method.toLowerCase())) {
    config.headers['X-CSRF-TOKEN'] = getCSRFToken(); 
  }
  return config;
});

4.2 双重Cookie验证

实际上在我们日常开发中,使用 Spring Security 同步令牌方案,基本能满足我们大部分需求,这里就简单演示一下双重Cookie验证

public class DoubleCookieCsrfFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                   HttpServletResponse response,
                                   FilterChain filterChain) throws ServletException, IOException {
        CsrfToken token = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
        
        if (requiresValidation(request)) {
            String headerToken = request.getHeader(token.getHeaderName());
            String cookieToken = getCookieValue(request, "CSRF-TOKEN");
            
            if (!token.getToken().equals(headerToken) || 
                !token.getToken().equals(cookieToken)) {
                response.sendError(HttpStatus.FORBIDDEN.value());
                return;
            }
        }
        
        filterChain.doFilter(request, response);
    }
    
    private boolean requiresValidation(HttpServletRequest request) {
        return "POST".equalsIgnoreCase(request.getMethod()) ||
               "PUT".equalsIgnoreCase(request.getMethod()) ||
               "DELETE".equalsIgnoreCase(request.getMethod());
    }
}

4.3 SameSite Cookie策略

限制cookie的跨站请求

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .csrf(csrf -> csrf
            .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
            .csrfTokenRequestHandler(new CsrfTokenRequestAttributeHandler())
        )
        .sessionManagement(session -> session
            .sessionCookiePolicy(cookie -> cookie.sameSite(SameSite.STRICT))
        );
    return http.build();
}

结语

CSRF 攻击凭借“利用用户身份” 的特点,对任何依赖 Cookie 的状态修改接口都构成威胁。本文从攻击原理入手,详细介绍了同步令牌双重提交 CookieSameSite 属性等防护方案,并给出了对应代码供小伙伴们参考!

希望这个章节的内容能够帮助小伙伴们更深入地理解 CSRF 的知识,在实际项目中设计出更灵活高效的安全策略。如果你在实践过程中有任何疑问或更好的扩展思路,欢迎在评论区留言,最后希望大家 一键三连 给博主一点点鼓励!

下一章节:最新Spring Security实战教程(十二)CORS安全配置 - 跨域请求的安全边界设定

在这里插入图片描述

Java Web 应用的安全攻防CSRF 漏洞分析
AI天才研究院
10-09 925
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one-click attack”或者Session riding,其利用网站对用户浏览器的信任,通过伪装成用户正常操作的动作,达到恶意盗取用户信息、执行违规操作等目的,是一种常用的Web应用安全漏洞。CSRF在很多Web应用中都存在着严重的隐患,攻击者可以盗用用户的登录信息、Cookie等,进而冒充用户进行各种恶意操作。因此,保护用户的个人信息安全、系统安全应首要考虑。
详细分析 Bladex中的swagger-resources资源未授权访问的解决方法
码农研究僧的博客
07-27 1134
有如下方式,网关过滤、去除配置以及修改代码还有隐藏彩蛋(附Demo),推荐阅读
最新Spring Security实战教程(十)权限表达式进阶 - 在SpEL在安全控制中的高阶魔法
Micro麦可乐的博客
04-11 3658
博主在持续更新教程过程中,有一些小伙伴总会私信问到之前关于ABAC属性权限模型最新Spring Security实战教程(六)最新Spring Security实战教程(六)基于数据库的ABAC属性权限模型实战开发进行了解大家最关心的问题就是:为什么在上下文中传入了对应的自定义策略条件表达式,就能进行更细粒度控制?针对这些问题,博主觉得还是有必要再补充一下SpEL在中的一些应用技巧有时内置的 SpEL 表达式无法满足业务需要,我们可以扩展 Spring Security,增加自定义的安全表达式。
SpringBoot安全攻防实战:从基础认证到OAuth2全流程
梵心白莲的博客
03-26 326
在当今数字化时代,Web应用的安全性至关重要。Spring Boot作为一款流行的Java开发框架,提供了丰富的安全功能来帮助开发者构建安全可靠的应用程序。本文将从基础认证开始,逐步深入到OAuth2的全流程,为技术人员提供全面的Spring Boot安全攻防实战指南。
2w+字,带你彻底搞懂 Spring Security 6.0 的实现原理
犬小哈
06-24 386
来源:juejin.cn/post/7260000714788896828???? 欢迎加入小哈的星球,你将获得:专属的项目实战 /1v1 提问/Java 学习路线 /学习打卡/每月赠书/社群讨论新项目:《从零手撸:仿小红书(微服务架构)》正在持续爆肝中,基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17...,点击查看项目介绍;《...
使用SpringSecurity
bluemoon_0的博客
02-20 286
使用SpringSecurity
SpringBoot安全攻防战:OAuth2与JWT的最佳实践与漏洞防范
梵心白莲的博客
03-27 267
在当今数字化时代,应用程序的安全性至关重要。Spring Boot作为一个广泛使用的Java开发框架,为开发者提供了便捷的开发体验。而OAuth2和JWT(JSON Web Token)在实现应用程序的安全认证和授权方面扮演着重要角色。本文将深入探讨Spring Boot中OAuth2与JWT的最佳实践以及如何防范可能出现的漏洞。
学习干货|实战某次行业攻防应急响应
wholeliubei的博客
11-04 860
****** 文章内容仅供学习参考、环境如需商用请提前告知,请勿利用工具非法未授权操作****攻击者首先使用移动IP对目标主机使用nmap进行了全端口扫描,并获取到开放的三个端口本次思路按照之前行业攻防应急响应前期应急响应经验+本人人为经验进行综合整理归纳,如有不妥之处请指出,本篇文章主要以符合现实角度去理解在单机应急响应下的思路排查,不作为所有环境思路,欢迎各位师傅指导。
爆破专栏丨Spring Security系列之实现HTTP摘要认证_http摘要认证nc
Python毕设源码程序王哥
04-20 1048
纸上得来终觉浅,绝知此事要躬行!摘要认证的理论知识,我们就了解这么多,还是带大家来实操一把,把代码给搞出来。
CSRF Token:守护Web应用的安全卫士
2301_77776278的博客
03-10 1003
CSRF Token就像Web应用的“动态口令”,通过为每个请求赋予唯一身份标识,有效抵御跨站请求伪造攻击。然而,安全从来不是单一措施就能解决的问题。只有将Token机制与其他安全策略(如输入验证、权限控制)结合,才能构建真正坚固的防御体系。
spring boot中常用的安全框架 Security框架 利用Security框架实现用户登录验证token和用户授权(接口权限控制)_springboot的安全框架
2401_84254530的博客
06-20 519
*** 用于登录认证**//*** 用于处理基于令牌的身份验证请求**//****/@EnableWebSecurity //@EnableWebSecurity是开启SpringSecurity的默认行为。
防止 SQL 注入、XSS、CSRFJava Web 安全指南
测试者家园
03-19 720
在数字化浪潮席卷全球的今天,Java 作为企业级 Web 应用开发的主力语言,支撑着无数核心系统。然而,越是关键的系统,越容易成为黑客攻击的“高价值目标”。SQL 注入(SQL Injection)、跨站脚本(XSS)、跨站请求伪造(CSRF)等经典 Web 安全威胁,依旧频频出现在漏洞排行榜上。更危险的是,这些漏洞并非源自高深技术,而往往是开发者的安全意识不足、架构设计不当或编码习惯松散导致。本文将从专业视角出发,深刻剖析三大核心漏洞成因与防御策略,帮助你真正构建安全的 Java Web 应用。
基于 Spring Security 实现用户认证与授权
![基于 Spring Security 实现用户认证与授权]...它为应用程序提供了全面的安全性,包括认证、授权、会话管理等功能,可以帮助开发人员轻松地实现最佳的安全实践。 ### 1.2 Spring Security 的组成部分 Sprin
文件包含漏洞,目录遍历漏洞,CSRF,SSRF
JLN1789015334的博客
04-21 1046
文件包含本身是网站的一个正常功能,程序员一般会将重复使用的函数写到单个文件中,需要使用某个函数时直接进行调用此文件,而无需再次进行编写,这种文件调用的过程被称为文件包含。文件包含漏洞是基于功能产生的漏洞,一般情况下,文件会被进行动态调用,这种灵活性,会导致客户端调用恶意文件,造成文件包含漏洞。目录遍历也称文件路径遍历、目录穿越、路径穿越等。是由于网站本身存在配置缺陷,导致网站目录可以被任意浏览,从而使得攻击者可以访问到原本不具备权限访问的内容,造成信息泄露,为攻击者实施进一步的网络入侵提供帮助。
多租户 SaaS 系统中的租户隔离与连接池重建机制设计方案
nbsaas-boot基于Request-Response的企业级快速开发框架
04-22 1067
租户隔离 + 动态连接池管理 = SaaS 系统的核心能力。支持连接配置热更新(更改连接地址、密码后自动重建)租户数量大(上百/上千),无法全量预加载连接池。连接池不能长期缓存冷租户,需有缓存淘汰策略。支持租户动态接入(注册后立即生效)判断连接池上次使用时间(可封装。或自定义 Watcher 实现。不支持运行时动态切换或新增。,保证数据安全与性能隔离。在拦截器或网关处设置。每 30 分钟遍历缓存。超过1小时未访问 →。可结合 Spring
BigDecimal类详解
沉梦听雨的博客
04-21 1376
Java 编程中,处理浮点数时经常会遇到精度问题。为了解决这个问题,Java 提供了一个BigDecimal类,它提供了精确的浮点数运算。本文将详细介绍BigDecimal类的使用方法和一些常见场景。
查看Spring Boot项目所有配置信息的几种方法,包括 Actuator端点、日志输出、代码级获取 等方式,附带详细步骤和示例
最新发布
爱的叹息的专栏
04-22 671
查看Spring Boot项目所有配置信息的几种方法,包括 Actuator端点、日志输出、代码级获取 等方式,附带详细步骤和示例
【64期获取股票数据API接口】如何用Python、Java等五种主流语言实例演示获取股票行情API接口之沪深A股自选时段质押明细数据及接口API说明文档
2501_91281400的博客
04-20 754
​ 在量化分析领域,实时且准确的数据接口是成功的基石。经过多次实际测试,我将已确认可用的数据接口分享给正在从事量化分析的朋友们,希望能够对你们的研究和工作有所帮助,接下来我会用Python、JavaScript(Node.js)、Java、C#和Ruby五种主流语言的实例代码给大家逐一演示一下如何获取各类股票数据。
java web攻防
01-02
### Java Web 安全攻击与防御技术和最佳实践 #### 输入验证和数据过滤 为了防止恶意输入引发的安全漏洞,严格的输入验证必不可少。这不仅限于表单提交的数据,还包括任何来自客户端的信息。应定义明确的输入规则,并在服务器端执行这些规则以确保安全性[^1]。 ```java // 示例:使用正则表达式进行输入验证 public boolean isValidInput(String input) { String regex = "^[a-zA-Z0-9]+$"; // 只允许字母和数字 return Pattern.matches(regex, input); } ``` #### 认证与授权管理 实现强大的身份验证机制是保护Java Web应用的关键之一。推荐采用成熟的第三方安全框架来简化这一过程,比如Spring Security或Apache Shiro。这类框架提供了一系列开箱即用的功能和服务,能够有效减少自定义代码中的潜在风险[^3]。 ```xml <!-- Maven依赖配置 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` #### 防御SQL注入和XSS攻击 针对SQL注入,应当始终使用预编译语句代替动态拼接查询字符串;而对于XSS,则需对输出内容做适当转义处理,避免直接渲染未经过滤的内容给浏览器解析[^4]。 ```sql -- 正确做法:使用PreparedStatement防止SQL注入 String query = "SELECT * FROM users WHERE username=? AND password=?"; try (PreparedStatement pstmt = connection.prepareStatement(query)) { pstmt.setString(1, userInputUsername); pstmt.setString(2, hashedPassword); // 密码应该先哈希再比较 ResultSet rs = pstmt.executeQuery(); } // 输出时转义特殊字符预防XSS <script th:inline="javascript"> var userMessage = /*[[${message}]]*/ ''; document.write(userMessage.replace(/&/g,'&').replace(/</g,'<')); </script> ``` #### CSRF防护及其他高级话题 除了上述基本措施外,还需关注其他类型的攻击形式及其对应的缓解策略,例如跨站点请求伪造(CSRF),可以通过设置同源政策、引入一次性令牌等方式加以防范。此外,在设计阶段就考虑到会话管理和权限控制也是至关重要的方面[^5]。
评论 83
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Micro麦可乐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值