Play 2.6 抵御CSRF

最新推荐文章于 2022-08-19 17:37:42 发布
最新推荐文章于 2022-08-19 17:37:42 发布
阅读量1.1k 收藏
点赞数
分类专栏: java play 2.6 文章标签: Twirl play 2.6 CSRF

抵御跨站伪造请求

https://playframework.com/documentation/2.6.x/JavaCsrf

CSRF是一个安全漏洞,攻击者通过受害者的浏览器在会话期间发起一个请求。由于每一个请求都会带有session token,如果攻击者能够迫使被害者浏览器以自己的身份发出请求,那么也能以用户的名义发出请求。

建议你了解以下CSRF,了解一下什么是攻击向量什么不是,可以通过这里熟悉CSRF

对于什么是安全的请求没有一个简单的答案,因为目前还没有一个明确的规则说明插件和未来的扩展可以做什么( the reason for this is that there is no clear specification as to what is allowable from plugins and future extensions to specifications. )历史上,浏览器插件和扩展项会将规则放宽,认为框架是可以信赖的,这将CSRF威胁带到了许多应用中,然后由框架来修复这些漏洞。基于这个原因,Play采取了保守的策略,但是当允许你配置什么时候进行检查。默认情况下,当以下条件成立时Play会采取CSRF检测
- GET、HEAD、OPTIONS请求
- 请求中包了一个或多个Cookier或Authorization头
- CORS 过滤器没有被配置为相信请求origin

Note:如果你是用基于浏览器的认证而不是cookies或者HTTP认证,比如NTLM或者客户端证书。那么你必须设置play.filters.csrf.header.protectHeaders = null,或者将在protectHeaders中使用的验证头部包含进来
Play的CSRF防御

Play提供多种方法来验证一个请求是否是CSRF。首要的机制是一个CSRF token。在提交表单或者query string都会带有这个Token,也保存在用户会话中。Play会验证双方的token是否一致。

为了简单的保护非浏览器请求,Play仅检查带有cookies的请求。如果通过Ajax来创建请求,你可以将CSRF token放到HTML页面中,然后通过Csrf-Token头降到请求中。

另外,可以通过设置play.filters.csrf.header.bypassHeaders来匹配普通的头部,一般规则如下:
- 如果有一个X-Requested-With头,Play会认为这个请求安全。X-Requested-With是很多常用js库添加的。
- 如果一个Csrf-Token头部的值为nocheck,或者有一个合法的CSRF token,则认为请求安全
配置如下

play.filters.csrf.header.bypassHeaders {
  X-Requested-With = "*"
  Csrf-Token = "nocheck"
}

使用如上配置的时候需要小心, as historically browser plugins have undermined this type of CSRF defence.

相信CORS请求

默认情况下,如果在CSRF过滤器前有一个CORS过滤器,CSRF过滤器会让CORS请求通过。如果想要禁用这,可以配置play.filters.csrf.bypassCorsTrustedOrigins = false.

使用全局的CSRF过滤器

Note: 从Play2.6开始,CSRF过滤器会是Play的默认过滤器之一。

Play提供了一个全局的CSRF过滤器来处理所有的请求,这是添加CSRF防御最简单的方法。可以通过以下方式手动添加到application.conf中

play.filters.enabled += "play.filters.csrf.CSRFFilter"

对于一些特殊路偶也可以禁用过滤,在routes文件中添加`nocsrf标签

+ nocsrf
POST  /api/new              controllers.Api.newThing()
获取当前的token

可以通过CSRF.getTOken方法来获取,这个方法需要RequestHeader参数,可以在Http.Context.current() 通过context.request()来获取

Optional<CSRF.Token> token = CSRF.getToken(request());
Note: 如果CSRF过滤器已经安装,当cokkie只被HTTP使用(也就说说JS无法获取)Play会试着避免生成token。当使用strick body发送响应时,Play会跳过添加token的过程除非CSRF.getToken。这在一些不需要CSRF token的相应中可以显著提高效率。如果cookie没有被配置为HttpOnly,Play会认为J你希望JS能够获取到cookie信息。 Note:如果你通过CompletionStage 来获得模版并得到了一个There is no HTTP Context的错误,那么你需要添加了一个HttpExecutionContext.current(),详见https://playframework.com/documentation/2.6.x/JavaAsync

为了给表单增加CSRF token,Play提供了一下模板工具,首先添加到action URL的查询字符串中。

@import helper._

@form(CSRF(scalaguide.forms.csrf.routes.ItemsController.save())) {
    ...
}

表单大致是这个样子:

<form method="POST" action="/items?csrfToken=1234567890abcdef">
   ...
</form>

如果不想在查询字符串中获取token,Play也支持提供一个helper在form中添加一个隐藏域来存放token

@form(scalaguide.forms.csrf.routes.ItemsController.save()) {
    @CSRF.formField
    ...
}
<form method="POST" action="/items">
   <input type="hidden" name="csrfToken" value="1234567890abcdef"/>
   ...
</form>
为会话添加CSRF token

为了保证表单中CSRF token可用且能反给客户端,如果新来的请求中token不可用,全局的过滤器会为所有获取HTML的GET请求生成一个新的token。

为一个action添加CSRF过滤器

有些情景下全局的CSRF过滤器并不适用,比如有一些应用也许希望通过一些跨源的表单请求(for example in situations where an application might want to allow some cross origin form posts.)一些不基于会话的标准,OpenID2.0,要求跨站的表单请求,或者提供RPC调用的表单提交。

在这些场景中,Play提供了两个action可以组合到我们的action中。

第一个是 play.filters.csrf.RequireCSRFCheck ,他会执行一个CSRF检查。这个action需要被添加到所有接收会话验证的POST表单提交的action中。

@RequireCSRFCheck
public Result save() {
    // Handle body
    return ok();
}

第二个是 play.filters.csrf.AddCSRFToken,如果接收的请求没有token就会生成一个。他需要被添加到所有render forms的action中

@AddCSRFToken
public Result get() {
    return ok(CSRF.getToken(request()).map(CSRF.Token::value).orElse("no token"));
}

CSRF可选配置

CSRF的所以配置可以在reference.conf 中找到。
- play.filters.csrf.token.name-用在会话和请求体/查询字符串中的名字
- play.filters.csrf.cookie.name- 如果配置了,Play会在cookie中根据配置的名字保存token,会话中将不再保存
- play.filters.csrf.cookie.secure- 如果上一项配置了,CSRF cookie是否需要安全flag set。 默认使用play.http.session.secure的值
- play.filters.csrf.body.bufferSize - 为了在body之外读取token,Play需要对bodu进行缓冲并根据情况进行解析。这一项设置了buffer的最大值,默认为00K
- play.filters.csrf.token.sign - Play是否使用签名的CSRF token。签名的CSRF token保证token的值在每次请求时都是随机的,因此可以抵御BREACH style攻击。

测试CSRF

在功能测试中,如果你为一个模板返回了CSRF token,你需要使这个token可用。可以在一个play.mvc.Http.RequestBuilder实例上调用play.api.test.CSRFTokenHelper.addCSRFToken

Http.RequestBuilder request = new Http.RequestBuilder()
        .method(POST)
        .uri("/xx/Kiwi");

request = CSRFTokenHelper.addCSRFToken(request);
nyzzht123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
csrf-filter:用于处理 csrf 令牌的过滤器
06-18
关于 跨站点请求伪造 (csrf) - 是一种对网站的恶意利用,由此从网站信任的用户传输未经授权的命令。 有几种类型的如何防止此类攻击: 检查 http。 使用令牌 代码要求 csrf-filter 使用令牌方法。 它会自动处理此类令牌的验证和设置。 它引入了以下限制: 它只验证 POST 请求。 仅应使用 POST 方法更改数据状态 它添加了属性,该属性应该添加到所有 POST 请求中(可以是 AJAX 或普通表单提交) 特征 在每个 GET 请求上生成并添加到 cookie 中的令牌 它是无国籍的 如果未找到 cookie 或未找到请求参数或值不匹配,则将发送 Http 400 状态 可以配置令牌名称。 此名称将用作参数名称、cookie 名称和属性名称 它将属性添加到每个 !HttpServletRequest 中。 与其他人相比 还有另一个 csrf 过滤器: : 这
Play Framework 2.2.6 安装
weixin_30498921的博客
03-31 179
网络上很多安装方法都是互相复制黏贴的, 都没有人考虑到启动application 还有依赖很多jar 包,而其中typesafe 官网提供的只是一个mini的 启动器来安装,很慢,所以以下下载完整包。 参考如下网址: http://blog.csdn.net/zsx0321/article/details/38183617 http://downloads.typesaf...
Play 2.6 访问SQL数据库
java scala
01-11 1132
访问SQL数据库 Note: JDBC是一种阻塞操作。你不能直接在controller中运行JDBC查询语句。详见配置CustomExecutionContext章节 配置JDBC连接池 Play提供插件来管理连接池,你可以根据需要配置多个数据库。 为了启动数据库插件,需要添加以下依赖: libraryDependencies += javaJdbc 然后需要字applica
Play 2.6 OAuth的使用
java scala
01-12 378
OAuth https://playframework.com/documentation/2.6.x/JavaOAuth OAuth是一个发布和交互受保护数据的简单方法。这是一种更加安全的访问方式。举个例子,你可以去获取用户在Twitter上的数据。 OAuth有两个版本,1.0和2.0。第二个版本在不使用类库的情况下也很容易实现。因此Play只对1.0版本进行了支持。 使用 添加
SpringSecurity - 启动流程分析(八)- CsrfFilter 过滤器
业精于勤荒于嬉
08-19 1158
SpringSecurity - 启动流程分析(八)- CsrfFilter 过滤器
CSRF漏洞的靶场实验
09-19
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全漏洞,它允许攻击者在用户已登录且浏览器保持会话状态的情况下,诱使用户执行非本意的操作。在“CSRF漏洞的靶场实验”中,我们将通过实际操作...
基础漏洞csrf挖掘实战
最新发布
10-07
**跨站请求伪造(CSRF)攻击详解** 跨站请求伪造(CSRF)是一种网络攻击方式,它利用了用户浏览器的已登录状态,使攻击者能够以受害者的身份执行非授权的操作。攻击者通常借助受害者在其他网站上的合法会话,通过...
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
Shiro开启CSRF表单防护
12-08
Shiro 开启 CSRF 表单防护 CSRF(Cross-Site Request Forgery,跨站点请求伪造)是一种常见的 web 攻击方式,攻击者可以盗用用户的身份,以用户的名义发送恶意请求,对服务器来说这个请求是完全合法的,但却完成了...
详解Django的CSRF认证实现
09-20
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击手段,攻击者通过让用户在不知情的情况下发起对受信任网站的恶意请求,利用已登录用户的身份执行非授权的操作。这种攻击通常发生在用户已经登录目标...
play-2.2.6.zip
07-04
是一个纯 Java 的框架,它让你保持使用你喜欢的开发工具和类库。如果你已经是一个使用 Java 平台的开发者, 那么你不需要切换到另一种语言,其他 IDE 或者其他类库, 而仅仅是切换到一个效率更高的 Java 环境!
Spring Security CsrfFilter过滤器用法实例
08-25
主要介绍了Spring Security CsrfFilter过滤器用法实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
play-cors:Play 的插件! 启用 CORS 的框架
07-04
CORS 插件 这个插件为 Scala Play 添加了支持! 框架应用程序。 特征 为对应用程序的所有请求提供飞行前 OPTIONS 响应。 提供一个 Play 过滤器,它将所需的 CORS 标头附加到每个 HTTP 请求。 可配置 配置您可能需要的任何 HTTP 标头。 默认值是: 预检要求: "Access-Control-Allow-Origin" -> "*", "Access-Control-Expose-Headers" -> "WWW-Authenticate, Server-Authorization", "Access-Control-Allow-Methods" -> "POST, GET, OPTIONS, PUT, DELETE", "Access-Control-Allow-Headers" -> "x-requested-with,content-ty
CSRF「No-CSRF」-crx插件
03-10
防止来自客户端的Cookie发送到互联网。 跨网站请求伪造是浏览网络时遇到的主要问题。如果攻击者向执行操作的服务器发送请求,请求将包含您拥有的任何识别cookie。正如学术文献指出的那样,这可以用来清空银行账户,更改密码或其他任何东西。 该扩展尝试通过从不遵循相同来源策略的任何(非GET)请求中删除cookie来防止跨站请求伪造。通过这种方式,正常浏览保持不中断,而任何可能的CRSF攻击都被阻止! 该扩展程序很容易被禁用,并包含所有请求被删除的小型报告。 这个扩展是开源的,可以在https://github.com/brandonio21/no-csrf查看源代码 这个扩展是基于avlidienbrunn类似的扩展 支持语言:English
【第八篇】SpringSecurity核心过滤器-CsrfFilter
波波烤鸭的博客
05-12 3243
SpringSecurity核心过滤器-CsrfFilter   Spring Security除了认证授权外功能外,还提供了安全防护功能。本文我们来介绍下SpringSecurity中是如何阻止CSRF攻击的。 一、什么是CSRF攻击   跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方
xss和csrf其实就是一个过滤器和一个拦截器而已:放屁
u010287873的博客
06-22 2659
CSRF攻击原理及防御:https://www.cnblogs.com/shytong/p/5308667.html  CSRF 攻击的应对之道:https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/   拦截器可以获取IOC容器中的各个bean,而过滤器就不行,这点很重要,在拦截器里注入一个service,可以调用业务逻...
Struts2 过滤CSRF攻击的一种解决方案
huplion的专栏
11-04 6014
CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站?的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF
play 学习 四: 关于play跨域
weixin_30604651的博客
06-30 179
默认, 在满足下面三个条件的情况下,Play框架会做一CSRF(跨站点请求伪造) 的检查: 请求方法不是GET, HEAD 或 OPTIONS. 情求包含Cookie或者Authorization头. play没有配置CORS过滤相信请求 通过如下配置,可以pass CSRF检查: play.filters.csrf.header.bypassHeaders { X-Req...
【五 form提交及校验】 2. 防御CSRF攻击
weixin_34405925的博客
12-12 577
为什么80%的码农都做不了架构师?>>> ...
前端配置代理服务器可以抵御csrf
05-11
前端配置代理服务器可以一定程度上抵御 CSRF 攻击,但并不能完全消除该漏洞。CSRF 攻击是利用用户的身份在后端发起恶意请求,因此需要在后端进行相应的防护措施,如在表单提交时加入验证码、在请求头中加入 Token 等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值