一、Springboot安全之防CSRF攻击

最新推荐文章于 2024-08-09 14:37:43 发布
最新推荐文章于 2024-08-09 14:37:43 发布
阅读量1.9w 收藏 17
点赞数
分类专栏: 网站安全之攻防篇
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panchang199266/article/details/83152587
版权

(一)简要介绍
  跨站请求伪造(Cross-site request fogery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的WEB应用程序上执行非本意的操作的攻击方法。

  举个栗子:

  • 用户小z登录了网站A,同时打开网站B
  • 网站B隐蔽的发送一个请求至网站A
  • 网站A通过session、cookie等身份标记判断是用户小z,执行对应操作

  这样网站B内的非法代码就盗用了用户小z的身份,在小z不知情的情况下执行了攻击者需要的操作,这就是跨站请求伪造。

(二)术语解释:

CSRF Token
  服务端为客户端生成令牌,这个令牌将用于请求合法性校验,一般通过请求头或请求参数传递到服务端。

CSRF Token仓库
  服务端组件,用于从请求加载或生成CSRF Token。Spring Security提供了Cookie和HttpSession两种实现。

CSRF请求校验匹配器
  服务端组件,用于判断请求是否需要CSRF校验。

(三)防止攻击逻辑

  • 利用CSRF Token仓库将Http请求获取CSRF Token(该过程可以理解为Web服务端针对当前请求获取CSRF Token)。
  • 通过CSRF Token校验请求匹配器来判断当前请求是否需要CSRF Token校验,若需要,执行下一步;否则,跳过校验。
  • 先从请求头中获取CSRF Token值,若不存在,再从请求参数中获取。(该过程可以理解为获取Web客户端请求中的CSRF Token):
      若均未获取到,将会转向错误页面,并且相应头状态码为:403;
      若CSRF Token值获取到,执行下一步。
  • 将第1步CSRF Token仓库获取的CSRF Token与客户端请求中的CSRF Token进行比较:
       若两值相同,校验通过;
       若不相同,校验失败,将会转向错误页面,并且相应状态码为:403。

(四)CSRF Token仓库
  接口:org.springframework.security.web.csrf.CsrfTokenRepository

Cookie类型(默认)
  实现类:org.springframework.security.web.csrf.CookieCsrfTokenRepository
  CSRF Token存储:客户端,Web浏览器Cookie
  有效时间:Web浏览器会话期间
  特别注意:Cookie方式安全系数相对较低

HttpSession类型
  实现类:org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository
  CSRF Token存储:服务端,HttpSession(Servlet容器)
  有效时间:HttpSession 最大不活动时间间隔(#setMaxInactiveInterval(int) )
  特别注意:Servlet 容器需要支持HttpSession复制(分布式HttpSession)

(五)案例演示
添加依赖:

<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>

1、创建login.html页面

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>登录页面</title>
</head>
<body>
<form id="form" method="post">
    <label>用户名:</label><input name="username" type="text" value="" />
    <label>密码:</label><input name="password" type="text" value="" />
    <!--csrf验证需要-->
    <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>
    <br/>
    <input type="submit" value="登录">
</form>
</body>
</html>

2、创建Web 安全配置类

@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().csrfTokenRepository(new CookieCsrfTokenRepository())
                .requireCsrfProtectionMatcher(
                        /**
                         * 拦截“/login”开头的访问路径,不让访问
                         * 拦截所有“POST”请求,不让访问
                         */
//                        httpServletRequest -> httpServletRequest.getRequestURI().startsWith("/login")
//                                && httpServletRequest.getMethod().equals("POST")
                        httpServletRequest -> httpServletRequest.getMethod().equals("POST")
                );
    }
}

3、创建Controller

@Controller
public class SecurityController {
    @GetMapping("/login")
    public String login(){
        return "login";
    }
    @GetMapping("/index")
    public String index(){
        return "index";
    }
}

4、案例演示效果
  在我们提交表单的时候,由于请求方法时"POST",所以该请求会被拦截住!

咸鱼最牛逼
关注
专栏目录
Spring Boot项目CSRF (跨站请求伪造)攻击演示与防御
oscar999的专栏
07-17 1459
CSRF ,Cross-site request forgery,跨站请求伪造。是常见的网络攻击的方式之一,2007年曾被列为互联网20大安全隐患之一。攻击过程是攻击者伪造用户的浏览器请求,访问一个用户曾经访问过的网站, 使目标网站误以为是用户的操作而执行命令。 本篇j基于Spring Boot创建项目,用来演示CSRF攻击过程。...
springboot后端实现防御xSRF攻击的策略,及session token防御机制代码分析
阿啄debugIT
02-10 686
前言 csrf/xsrf(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。攻击者将会盗用你的身份,以你的名义发送恶意请求 产生csrf攻击需要有两个步骤 登陆受信网站A,并且在本地生产对应的cookie 在不登出A的情况下,访问危险网站B csrf攻击是源...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Springboot集成CSRF攻击
hao_kkkkk的专栏
10-20 2522
springboot CSRF攻击防护
就一次!带你彻底搞懂CSRF攻击与防御
最新发布
公众号:该用户快成仙了
08-09 1291
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。----来自维基百科简单来说就是黑客冒充你执行一些恶意行为。跨站可以理解为你登录了A网站,然后访问了恶意B网站。HTTP请求。
spring boot项目怎么预防CSRF攻击
keyboard专栏
04-24 974
在Spring Boot项目中预防CSRF攻击通常涉及利用Spring Security框架提供的内置支持。Spring Security已经为CSRF提供了默认的防护措施,但根据应用的特定需求,可能需要进行一些配置调整或扩展。
Springboot和Angular的CSRF防御
木木
09-07 1349
CSRF 是什么 跨站请求伪造 知乎解答搬运: csrf是什么. Springboot CSRF Angular CSRF Angular官方文档: cross-site-request-forgery. 在跨站请求伪造(XSRF 或 CSFR)中,攻击者欺骗用户,让他们访问一个假冒页面(例如 evil.com), 该页面带有恶意代码,秘密的向你的应用程序服务器发送恶意请求(例如 example-bank.com)。 假设用户已经在 example-bank.com 登录。用户打开一个邮件,点击里面的链接,
csrf防御】springboot项目如何防御csrf
run_boy_2022的博客
06-14 1307
CSRF(Cross-Site Request Forgery) ,通过单词简单理解就是跨站点请求伪造,用通俗简单点就是攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的操作1、用户打开浏览器访问受信任网站A,输入用户名和密码请求登录网站A;2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF攻击方式通常是攻击者向用户发送留言或伪造嵌入页面,带有危险操作链接。当用户点击了攻击者的连接时,该链接对用户的账户进行了操作,这个操作是用户在网站中主动发出的,并且也是针对网站的HTTP链接请求,同源...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,...在实际开发中,还应关注其他安全方面,比如SQL注入、CSRF攻击等,同时遵循OWASP(开放网络应用安全项目)的最佳实践,以提升应用的整体安全性。
Springboot中的csrf问题
weixin_45582552的博客
04-12 4525
1、CSRF是什么 CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 2、CSRF攻击的本质原因 CSRF攻击是源于Web的隐式身份验证机制!Web的身份验证机制虽然可以保证一个请求是来自于某个用户...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
Spring Boot中的CSRF攻击及预防
Java徐师兄的博客
07-06 1855
CSRF攻击是一种常见的网络攻击方式,可以通过欺骗用户来执行恶意操作。在Spring Boot应用程序中,我们可以采取多种措施来预防CSRF攻击,如添加CSRF令牌、验证请求来源、使用HTTPS协议和定期更改密钥等。这些措施可以有效地保护应用程序的安全,防止攻击者利用CSRF漏洞进行攻击。在实际开发中,我们可以根据实际需求选择适当的预防措施。例如,如果应用程序只对内部用户开放,可以限制请求来源为内部网络;如果应用程序需要对外开放,可以使用HTTPS协议来加密数据传输。
Spring Boot Security - 启用 CSRF 保护
allway2的博客
02-04 2267
在上一篇文章中,我们实现了Spring Boot Security - Password Encoding Using Bcrypt。 但到目前为止,在我们所有的示例中,我们都禁用了 CSRFCSRF 代表跨站点请求伪造。这是一种强制最终用户在当前对其进行身份验证的 Web 应用程序上执行不需要的操作的攻击CSRF 攻击专门针对状态更改请求,而不是窃取数据,因为攻击者无法查看对伪造请求的响应。 Spring Boot 安全性 - 目录 Spring Boot + 简单的安全配置 Spr...
Spring Boot | Spring Boot “CSRF 防护功能“ 、Security “管理前端页面“
m0_70720417的博客
05-19 1405
目录: 一、SpringBoot 中 自定义 "用户授权管理" ( 总体内容介绍 ) 二、实现 "CSRF" 防护功能 ( 通过 "HttpSecurity类" 的 csrf( )方法来实现 "CSRF" 功能 ) : 1. "关闭" CSRF 防护功能 : ① 创建好 "基本的项目" ② 创建数据修改页面 ③ 编写后台控制层方法 ④ CSRF 默认防护效果测试 ⑤ 关闭 Security 的 " CSRF 防御功能" ......
SpringBoot 如何防御 CSRF 攻击
mry6的博客
04-29 1597
接下来,用户首先访问 csrf-simulate-web 项目中的接口,在访问的时候需要登录,用户就执行了登录操作,访问完整后,用户并没有执行登出操作,然后用户访问 csrf-loophole-web 中的页面,看到了超链接,好奇这美女到底长啥样,一点击,结果钱就被人转走了。因为在 CSRF 攻击中,黑客网站其实是不知道用户的 Cookie 具体是什么的,他是让用户自己发送请求到网上银行这个网站的,因为这个过程会自动携带上 Cookie 中的信息。在登录成功后回调的详细解释。
SpringbootCSRF攻击
qq_40005100的博客
03-31 2520
下面展示一些 内联代码片。 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet....
【漏洞】CSRF跨站请求伪造漏洞,springboot修复思路
a987212198的博客
02-15 4010
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。
springboot shiro启动CSRF防护
09-09
这将保护我们的应用程序免受CSRF攻击的威胁,增加了系统的安全性。 ### 回答3: 在Springboot中启用Shiro框架的CSRF防护可以通过以下步骤实现: 1. 添加Shiro-Spring依赖: 在项目的pom.xml文件中,添加Shiro-...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值