SpringGateway使用SpringSecurity防止CSRF攻击

最新推荐文章于 2024-06-06 22:22:50 发布
最新推荐文章于 2024-06-06 22:22:50 发布
阅读量518 收藏
点赞数
分类专栏: java 文章标签: csrf java 前端 数据库 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67392182/article/details/126516435
版权

SpringGateway使用SpringSecurity防止CSRF攻击

配置CSRF保护

@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
	http
		.csrf(csrf -> csrf.csrfTokenRepository(CookieServerCsrfTokenRepository.withHttpOnlyFalse()))
	return http.build();
}

以上通过Cookie持久化XSRF-TOKEN值,jS读取cookie中的值发起请求时需携带X-XSRF-TOKEN
请求头,默认情况GET,HEAD,TRACE,OPTIONS请求方式是放行的,具体实现在DefaultRequireCsrfProtectionMatcher
类。如果需要特殊定制,可以自定义实现类实现ServerWebExchangeMatcher,并替换默认DefaultRequireCsrfProtectionMatcher:

  @Bean
    public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
        http
                .csrf(csrf -> csrf.csrfTokenRepository(CookieServerCsrfTokenRepository.withHttpOnlyFalse())
                        .requireCsrfProtectionMatcher(new CustomServerWebExchangeMatcher());
        return http.build();
    }

CookieServerCsrfTokenRepository does not add cookie

在我们按照上述配置分别测试GET请求和POST请求时,发现GET请求响应cookie中并没有XSRF-TOKEN,原因在响应式编程中CsrfToken
并没有被订阅。具体问题解析在Spring Security issues中找到答案
最后也提供了解决方式:

@Slf4j
@Component
public class CsrfHelperFilter implements WebFilter {

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {
        String key = CsrfToken.class.getName();
        Mono<CsrfToken> csrfToken = null != exchange.getAttribute(key) ? exchange.getAttribute(key) : Mono.empty();
        return csrfToken.doOnSuccess(token -> {
            ResponseCookie cookie = ResponseCookie.from("XSRF-TOKEN", token.getToken()).maxAge(Duration.ofHours(1))
                    .httpOnly(false).path("/").build();
            log.debug("Cookie: {}", cookie);
            exchange.getResponse().getCookies().add("XSRF-TOKEN", cookie);
        }).then(chain.filter(exchange));
    }
}
bp粉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS防攻击实现
05-09
XSS防攻击实现,是否为忽略xss拦截 默认为false,转义字符,InitBinder
gateway请求拦截_api-gateway实践(19)HTTP请求防篡改
weixin_30540871的博客
12-31 1163
一、概念和定义1、什么是重放攻击?我们在设计接口的时候,最担心一个接口被别有用心的用户截取后,用于重放攻击。重放攻击是什么呢?就是把请求被原封不动地重复发送,一次,两次...n次。2、重放攻击造成的后果一般的请求被提交到后台执行,先会经过【页面验证】后提交给【后台逻辑】,提交给【后台逻辑】过程中请求可能会被被拦截,如果这个【后台逻辑】是插入数据库操作,就很容易造成多条重复的数据插入数据库。如果这个...
CSRF网站攻击解决方式
qq_27394335的博客
07-31 565
1.CSRF(cross-site request forgery),跨站请求伪装 顾名思义,用户角度,访问成功并且登录成功我们的网站,没有推出情况下,又访问了病毒网站,于是病毒网站通过用户端,拿着用户的缓存请求我们的网站(尤其是些增删改查的致命操作),于是乎,成功影响了我们的网站,web-died。 登录成功(未退出) User(A)-------------...
Spring-Cloud-Gateway-实现XSS、SQL注入拦截
最新发布
lbmydream的博客
06-06 953
XSS和SQL注入是Web应用中常见计算机安全漏洞,文章主要分享通过Spring Cloud Gateway 全局过滤器对XSS和SQL注入进行安全防范。写这篇文章也是因为项目在经过安全组进行安全巡检时发现项目存储该漏洞后进行系统整改,本文的运行结果是经过安全组验证通过。
SpringSecurity WebFlux 过滤链生成源码分析
qq_39220528的博客
11-13 4363
概述 SpringSecurity主要采用建造者模式构造过滤器。
SpringCloud】Spring Cloud Gateway实现接口防篡改
HQ DevJ的专栏
08-05 2607
网关请求放篡改和防重放
微服务-gateway跨域配置
王梦杰_MengJie
09-04 3610
SpringCloud项目中,前后端分离目前很常见,在调试时会遇到前端页面通过不同域名或IP访问微服务的后台,此时,如果不加任何配置,前端页面的请求会被浏览器跨域限制拦截,所以,业务服务常常会添加跨域配置跨域请求是指来自不同源(域名、端口或协议)的前端应用发起的HTTP请求。由于浏览器的同源策略,这种请求通常被阻止,除非服务器明确允许。因此,当你的前端应用和后端服务位于不同的域时,就会面临跨域问题。在Web应用程序中,跨域请求是一个常见的问题。
spring-security.rar
04-06
9. **CSRF防护**:跨站请求伪造(CSRF)是一种攻击方式,Spring Security通过生成和验证CSRF令牌来防止这种攻击。 10. **Session Management**:Spring Security提供了丰富的会话管理策略,可以防止会话固定攻击...
考试类精品--前后端分离模式,基于Spring Cloud、Vue的考试系统,使用Spring Security O.zip
02-06
3. CSRF防护:Spring Security默认提供CSRF(跨站请求伪造)防护,防止恶意攻击者在用户不知情的情况下执行敏感操作。 四、前后端分离实践 在前后端分离模式下,前端和后端通过RESTful API进行通信。Vue.js负责处理...
spring经典学习集合
07-08
- **CSRF保护**:防止跨站请求伪造攻击。 - **OAuth2**:支持第三方登录和API权限控制。 7. **实战应用** - **构建RESTful API**:使用Spring MVC和Spring Boot创建符合REST原则的API。 - **微服务架构**:利用...
SpringSercurity相关教程.zip
07-12
3. **Spring Cloud OAuth2**:在微服务架构中使用Spring Cloud Security的OAuth2实现服务间的认证和授权,包括配置Eureka发现服务、Zuul边缘服务和Spring Cloud Gateway的整合。 4. **JWT(JSON Web Tokens)**:...
springCloud-master_单点登录_springCloud单点登录_SpringCloud系统_springclou
10-01
在实现SSO时,必须注意安全性问题,如防止会话劫持、CSRF攻击等。可以使用HTTPS来加密传输,同时,合理设置过期策略和使用安全的令牌生成算法,确保用户信息的安全。 综上所述,"springCloud-master"项目中涉及了...
SpringCloud学习之Gateway—单点登录的实现
LZY1223的博客
08-12 5940
SpringCloud学习之Gateway——单点登录的实现
Spring Cloud Gateway跨域相关解决方案
困难是否磨灭你的自信
02-26 6198
前言 记录 Spring Cloud Gateway 整合 Spring Security 及 Oauth2 时跨越问题相关解决过程 项目架构 为了不直接暴露 API 及保护服务器,所有访问都需要经过网关,由网关转发请求到服务器及返回服务器的响应 初遇跨域 跨域其实是很常见的问题,在 Spring 中可以简单的写个 @CrossOrigin 或者全局拦截器之类的解决掉,但在 Spring C...
Spring-GatewaySpring-Security在前后端分离项目中的实践
天行健,君子以自强不息;地势坤,君子以厚德载物。
05-24 1912
前言网上貌似webflux这一套的SpringSecurity操作资料貌似很少。自己研究了一波,记录下来做一点备忘,如果能帮到也在迷惑的人一点点,就更好了。新项目是前后端分离的项目,前台vue,后端SpringCloud2.0,采用oauth2.0机制来获得用户,权限框架用的gateway。一,前台登录大概思路前台主要是配合项目中配置的clientId,clientSec...
Spring-Cloud之Gateway的基础使用以及使用JWT+Gateway实现单点登录
weixin_50519232的博客
08-11 3154
Gateway的基础学习,了解了Gateway的工作原理,以及它的路由、跨域、过滤器功能。最后写了一个简单的JWT+Gateway案例实现单点登录。
Spring gateway配置Spring Security实现统一权限验证与授权
热门推荐
王广帅--游戏开发技术
12-02 2万+
使用Spring Cloud 进行微服务,分布式开发时,网关是请求的第一入口,所以一般把客户端请求的权限验证统一放在网关进行认证与鉴权。因为Spring Cloud Gateway使用是基于WebFlux与Netty开发的,所以与传统的Servlet方式不同。而且网关一般不会直接请求数据库,不提供用户管理服务,所以如果想在网关处进行登陆验证与授权就需要做一些额外的开发了。 需求设求 众所周知,一...
Spring Cloud实战(六):Spring Cloud Gateway动态权限访问控制
仰望星空 脚踏实地
10-29 1万+
一、需求 在2018年写的基于OAUTH2.0统一认证授权的微服务基础架构只是基于OAUTH认证授权的入门级应用。本文基于实战目的,实现权限的动态控制。 现有如下需求: 基于用户-角色-权限控制 权限粒度控制到具体的请求URL 当用户的角色或者权限变动后,已获授权的用户需要重新登录授权 本文围绕上面三个基本需求进行实现。 二、工程说明 设计的框架已经中间件有: Nacos 1.3 Spring Cloud Hoxton.SR8 JWT nimbus-jose-jwt Spring Cloud Gat
Spring Security如何防止csrf
12-01
Spring Security提供了多种方式来防止CSRF攻击,以下是其中两种常用的方式: 1. 在认证页面携带CSRF Token请求:在认证页面中添加一个隐藏的input标签,用于存储CSRF Token,然后在表单提交时将Token一同提交到后台进行验证。Spring Security会自动生成Token并存储在Session中,可以通过Thymeleaf等模板引擎来获取Token并添加到表单中。 2. 启用CSRF防护机制:Spring Security默认启用了CSRF防护机制,可以通过在表单中添加CSRF Token或者在请求头中添加X-CSRF-TOKEN参数来进行验证。如果需要禁用CSRF防护机制,可以在Spring Security配置文件中添加以下配置: ```java http.csrf().disable(); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值