csrf 系列之Spring Security中的csrf攻击防护(Synchronizer Token Pattern)

最新推荐文章于 2024-01-29 17:32:47 发布
最新推荐文章于 2024-01-29 17:32:47 发布
阅读量549 收藏
点赞数
分类专栏: # Spring Security java # SpringBoot 文章标签: 安全 java web http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26192391/article/details/116378099
版权

CSRF攻击可能的原因是来自受害者网站的HTTP请求和来自攻击者网站的请求完全相同。这意味着无法拒绝来自恶意网站的请求,而允许来自银行网站的请求。为了防止CSRF攻击,我们需要确保在请求中有一些恶意网站无法提供的东西,这样我们就可以区分这两个请求。

Spring Security提供了两种机制来防止CSRF攻击:

  • 同步器令牌模式(Synchronizer Token Pattern)

  • 在会话cookie上指定SameSite属性

同步器令牌模式(Synchronizer Token Pattern)

防止CSRF攻击的主要和最全面的方法是使用同步器令牌模式。这个解决方案是为了确保每个HTTP请求,除了我们的会话cookie之外,必须在HTTP请求中提供一个名为CSRF令牌的安全随机生成的值。

当提交一个HTTP请求时,服务器必须查找预期的CSRF令牌,并将其与HTTP请求中的实际CSRF令牌进行比较。如果值不匹配,HTTP请求应该被拒绝。

此工作的关键是实际的CSRF令牌应该在HTTP请求的一部分中,而浏览器不自动包含该部分。例如,在HTTP参数或HTTP报头中要求实际的CSRF令牌将防止CSRF攻击。在cookie中要求实际的CSRF令牌不起作用,因为浏览器会自动将cookie包含在HTTP请求中。

我们可以放宽期望,对更新应用程序状态的每个HTTP请求只需要实际的CSRF令牌。为了实现这一点,应用程序必须确保安全的HTTP方法是幂等的。这提高了可用性,因为我们希望允许从外部网站链接到我们的网站。此外,尽量不要在HTTPGET中包含随机令牌,因为这会导致令牌泄露。

假设实际的CSRF令牌需要位于一个名为_csrf的HTTP参数中。申请转帐表达将修改为如下:

<form method="post"
    action="/transfer">
<input type="hidden"
    name="_csrf"
    value="4bfd1575-3ad1-4d21-96c7-4ef2d9f86721"/>
<input type="text"
    name="amount"/>
<input type="text"
    name="routingNumber"/>
<input type="hidden"
    name="account"/>
<input type="submit"
    value="Transfer"/>
</form>

注意:_csrf属性的值实际是由服务端填到页面上的,

使用thymeleaf示例如下

<input type="hidden"
    name="_csrf"
    th:value="${_csrf.getToken()}"/>

表单现在包含一个包含CSRF令牌值的隐藏输入。外部站点无法读取CSRF令牌,因为同源策略确保恶意站点无法读取响应。

相应的转账HTTP请求如下所示

POST /transfer HTTP/1.1
Host: bank.example.com
Cookie: JSESSIONID=randomid
Content-Type: application/x-www-form-urlencoded

amount=100.00&routingNumber=1234&account=9876&_csrf=4bfd1575-3ad1-4d21-96c7-4ef2d9f86721

注意到HTTP请求现在包含了_csrf参数和一个安全的随机值。恶意网站将不能提供正确的csrf参数值,服务器判定为非法访问,拒绝恶意网站的请求

Spring Security 6.x 系列【21】漏洞防护篇之跨站请求伪造
记录知识、锤炼自我
07-12 8138
除了认证授权外功能外,还提供了安全防护功能,比如跨站点请求伪造 (CSRF跨站请求伪造,通常缩写为CSRF或者XSRF。简单来说就是攻击者通过一些技术手段,欺骗用户的浏览器去访问一个自己曾经认证过的网站,并运行一些操作,比如发消息、转账、购买商品等。
Spring Cloud】:解释CSRF攻击及其防范措施
最新发布
Pmyx_wyh的博客
11-30 707
CSRF(跨站请求伪造,Cross-Site Request Forgery)是一种网络攻击方法,也被称为one-click attack或session riding。在这种攻击中,攻击者通过伪装成已认证的用户向一个应用程序发送未经该用户同意的操作指令。通常,这种攻击发生在用户已经登录了一个网站,并且在浏览器中还保存着该网站的有效会话时。
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF跨站攻击防御,需要的朋友可以参考下
Simple Synchronizer Token with Spring MVC
12-07 1004
Friday, 13 March 2009 Simple Synchronizer Token with Spring MVC The Problem If you have used Struts 1.x, you'll probably be familiar with using the synchronizer token fu
spring-security防御csrf攻击
u013800720的博客
01-19 400
@Configuration @EnableWebSecurity //启用web权限 @EnableGlobalMethodSecurity(prePostEnabled = true) //启用方法验证 public class SecurityConfig extends WebSecurityConfigurerAdapter { /** * 定义安全策略 */ @Override protected void configure(HttpSecurit.
SpringSecurity(10)——Csrf防护
peng_gx的博客
01-20 2313
SpringSecurity Csrf防护
spring security安全防护
weixin_34101784的博客
07-25 1080
前言 xss攻击(跨站脚本攻击)攻击者在页面里插入恶意脚本代码,用户浏览该页面时,脚本代码就会执行,达到攻击者的目的。原理就是:攻击者对含有漏洞的服务器注入恶意代码,引诱用户浏览受到攻击的服务器,并打开相关页面,执行恶意代码。xss攻击方式:一、反射性攻击,脚本代码作为url参数提交给服务器,服务器解析执行后,将脚本代码返回给浏览器,最...
Spring Security如何处理跨站请求伪造(CSRF攻击
04-03
1. 使用Synchronizer Token Pattern(同步令牌模式):在用户请求表单时,服务器生成一个随机的令牌并将其存储在用户的session中,然后将这个令牌作为隐藏的表单字段返回给用户。当用户提交表单时,服务器会将这个...
Spring Security学习 详细
qq_39989608的博客
03-27 1300
Spring Security 是一个提供身份验证、授权和防止常见攻击的框架。凭借对保护命令式和反应式应用程序的一流支持,它是保护基于 Spring 的应用程序的事实标准。 Spring Security 为身份验证提供了全面的支持。身份验证是我们验证试图访问特定资源的人的身份的方式。验证用户的常用方法是要求用户输入用户名和密码。一旦执行了身份验证,我们就知道身份并可以执行授权。 密码存储 1、直接明文保存,比如用户设置的密码是“123456”,直接将“123456”保存在数据库中,这种是最简单的保存方式,
webcsrf攻击的应对之道
02-03
同步令牌模式(Synchronizer Token Pattern, STP) - **优点**:安全性较高,不会影响用户体验。 - **实现方法**:在每个表单中嵌入一个随机生成的唯一令牌,并在服务器端验证此令牌的合法性。 - **缺点**:需要...
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security() —— CSRF
eyes++的博客
07-26 4693
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
一分钟理解post和put(安全与幂等角度)
小胖的博客
11-22 7079
HTTP方法的安全性和幂等性 可以认为安全的方法都是只读的方法(GET, HEAD, OPTIONS),不会改变资源状态,显然,这三个方法也是幂等的。 DELETE方法的语义表示删除服务器上的一个资源,第一次删除成功后该资源就不存在了,资源状态改变了,所以DELETE方法不具备安全特性。然而HTTP协议规定DELETE方法是幂等的,每次删除该资源都要返回状态码200 OK,服务器端要实现幂等的DE...
同步器令牌
furenqiang的专栏
01-12 518
同步器令牌的主要思想是:用一个共享令牌来监控请求流程及客户端对特定资源的访问。 我们可以用同步器令牌来控制客户端的请求提交,不允许重复提交同一个请求。在处理一个刚到达的请求之前,需要先对同步器令牌进行比对。在处理请求之后,将响应准备好并发至客户端之前,需要生成并保存一个新的令牌值。 本文采用的例子基于Spring框架: 比如要新增一条工作流程信息,需要经过两个步骤: 1、请求add...
SpringSecurityCSRF漏洞保护
Littewood的博客
07-24 1730
SpringSecurityCSRF漏洞保护
令牌同步模式
Leon_Jinhai_Sun的博客
05-22 470
这是目前主流的 CSRF 攻击防御方案。具体的操作方式就是在每一个 HTTP 请求中,除了默认自动携带的 Cookie 参数之外,再提供一个安全的、随机生成的宇符串,我们称之为 CSRF 令牌。这个 CSRF 令牌由服务端生成,生成后在 HtpSession 中保存一份。当前端请求到达后,将请求携带的 CSRF 令牌信息和服务端中保存的令牌进行对比,如果两者不相等,则拒绝掉该 HITTP 请求。 注意: 考虑到会有一些外部站点链接到我们的网站,所以我们要求请求是幂等的,这样对子HEAD、OPTIONS、
Spring Security 中的 CSRF 攻击是什么?如何防止它?
u013749113的博客
05-24 1639
CSRF 攻击是一种常见的网络安全威胁,可以通过欺骗用户向目标站点发送恶意请求,从而达到攻击目的。SpringSecurity 提供了多种方式来防范 CSRF 攻击,其中最常用的方式是使用 CSRF Token 和 SameSite Cookie。CSRF Token 可以在每个页面中嵌入一个唯一的 Token 值,然后在用户发送请求时,将这个 Token 值一并发送到服务器端进行验证。
csrf跨站请求伪造_跨站请求伪造(CSRF)缓解—同步器令牌模式
weixin_26722031的博客
07-31 861
csrf跨站请求伪造 什么是CSRF Attack ..? (What is CSRF Attack..?) A Cross-Site Request Forgery is also known as CSRF, one-click attack or session riding. This is a sort of assault whereby web site with noxious a...
Backend - Django CSRF 跨域请求伪造
是萝卜干呀的博客
01-29 1186
知识量决定了未来能走多远
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_console_

您的关注与鼓励是我创作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值