本文中关于介绍CSRF的信息借鉴自:https://www.cnblogs.com/shihuc/p/9547922.html
一.CSRF是什么?
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
二.CSRF可以做什么?
你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。
三.CSRF漏洞现状
CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI…而现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。
四.CSRF的原理
五.CSRF的防御
-
1、解决方案
A. 用户登录的时候,将创建一个token,此token存放于session当中。(是否在登录后创建token,依据各自系统需求变化)
B. 基于Filter,对所有的Http请求进行拦截,捕获请求路径,确认路径URL是否在配置的CSRF安全拦截路径列表CsrfList中。
C. 若在CsrfList中,则检查session中是否含有sToken字段以及Http请求头中是否含有rToken字段。
D. 若sToken和rToken相等,则认为安全合法的请求,否则将请求拦截,拒绝此次请求。
这里:
1》. 主要是基于过滤器Filter来实现,另外,一个比较核心的思想,是将安全路径(需要校验的,比如系统参数相关的增删改相关的数据提交请求)通过配置的方式,以配置文件或者数据库表的形式配置在系统中(本案例,采用的是静态配置文件)。说白了,和Shiro或者Spring security的权限管理很像。
2》. 另外一点,将后台生成的token数据传递前端,并在前端有数据提交的时候将这个token值带回到后台。笨一点的办法,就是在每次ajax数据提交的时候,都给调用beforeSend方法给XMLHttpRequest里面添加自定义的Header属性(当然,也可以通过其他方式实现token的回传到后台,我这里采用的是Http的自定义Header属性的模式)。最好是有一个全局的配置,至少是文件级别的配置,减少ajax提交数据的时候写入重复的beforeSend调用。
-
2、这里主要是在shiro中使用,所以使用的是Filter方式
-
在 shiro 的配置类中添加如下代码
@Bean public FilterRegistrationBean csrfFilter() { FilterRegistrationBean filterRegistration = new FilterRegistrationBean(); // 这里使用的是配置文件信息,获取配置文件中的csrf.domains相关值信息 String csrfDomains = properties().getProperty("csrf.domains"); if (StringUtils.isNotBlank(csrfDomains)) { filterRegistration.setFilter(new CsrfFilter(Arrays.asList(csrfDomains.split(",")))); } else { filterRegistration.setFilter(new CsrfFilter(Collections.<String>emptyList())); } filterRegistration.setEnabled(true); filterRegistration.addUrlPatterns("/*"); return filterRegistration; }
-
-
相关
CsrfFilter
实现import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.*; public class CsrfFilter extends OncePerRequestFilter { private Collection<String> domains; // 临时过滤路径。对用户管理使用`csrf token`的方式进行防范。 private List<String> paths = Arrays.asList("/cmscp/core/user/save.do", "/cmscp/core/user/update.do", "/cmscp/core/user/delete.do", "/cmscp/core/user/delete_password.do", "/cmscp/core/user/check.do", "/cmscp/core/user/lock.do", "/cmscp/core/user/unlock.do", "/cmscp/core/user_global/save.do", "/cmscp/core/user_global/update.do", "/cmscp/core/user_global/delete.do", "/cmscp/core/user_global/delete_password.do", "/cmscp/core/user_global/check.do", "/cmscp/core/user_global/lock.do", "/cmscp/core/user_global/unlock.do"); public CsrfFilter(Collection<String> domains) { this.domains = domains; } @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = CsrfToken.loadTokenFromSession(request); boolean missingToken = token == null; if (token == null) { token = UUID.randomUUID().toString().replace("-", ""); CsrfToken.saveTokenToSession(token, request, response); } request.setAttribute(CsrfToken.PARAMETER_NAME, token); // GET 等方式不用提供Token,自动放行,不能用于修改数据。修改数据必须使用 POST、PUT、DELETE、PATCH 方式并且Referer要合法。 if (Arrays.asList("GET", "HEAD", "TRACE", "OPTIONS").contains(request.getMethod())) { filterChain.doFilter(request, response); return; } String uri = request.getRequestURI(); if (paths.contains(uri) && !token.equals(request.getParameter(CsrfToken.PARAMETER_NAME))) { response.sendError(HttpServletResponse.SC_FORBIDDEN, missingToken ? "CSRF Token Missing" : "CSRF Token Invalid"); return; } if (!domains.isEmpty() && !verifyDomains(request)) { response.sendError(HttpServletResponse.SC_FORBIDDEN, "CSRF Protection: Referer Illegal"); return; } filterChain.doFilter(request, response); } private boolean verifyDomains(HttpServletRequest request) { // 从 HTTP 头中取得 Referer 值 String referer = request.getHeader("Referer"); // 判断 Referer 是否以 合法的域名 开头。 if (referer != null) { // 如 http://mysite.com/abc.html https://www.mysite.com:8080/abc.html if (referer.indexOf("://") > 0) referer = referer.substring(referer.indexOf("://") + 3); // 如 mysite.com/abc.html if (referer.indexOf("/") > 0) referer = referer.substring(0, referer.indexOf("/")); // 如 mysite.com:8080 if (referer.indexOf(":") > 0) referer = referer.substring(0, referer.indexOf(":")); // 如 mysite.com for (String domain : domains) { if (referer.endsWith(domain)) return true; } } return false; } private boolean verifyToken(HttpServletRequest request, String token) { return token.equals(request.getParameter(CsrfToken.PARAMETER_NAME)); } }
2021-09-06 补充说明一下,
以上是项目版本更新后的相关代码,加入了token相关的拦截处理等(因为没有贴全,可能看的云里雾里),里面的token 校验相关的代码就不贴了,相关token处理其实和前后端分离后使用JWT生成的token逻辑差不多,该代码也是学习别的上线项目里面的方式(该项目也是类似机构类型的网站,被安全检测出来CSRF相关漏洞问题,使用了改代码没有反馈出相关漏洞了,因为服务安全框架用的shiro,但是shiro没有CSRF相关漏洞防御的说法,这里贴出来供大家参考),大体逻辑就是设置请求的白名单的形式,以及校验当前请问方式的拦截处理手段等。如果阅读不是很方便,可以使用下面的版本,上面的版本是代码改版后的使用:
public class CsrfFilter extends OncePerRequestFilter { private Collection<String> domains = new HashSet<>(); public CsrfFilter(Collection<String> domains) { this.domains = domains; } @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // GET 等方式不用提供Token,自动放行,不能用于修改数据。修改数据必须使用 POST、PUT、DELETE、PATCH 方式并且Referer要合法。 if (Arrays.asList("GET", "HEAD", "TRACE", "OPTIONS").contains(request.getMethod()) || domains.isEmpty()) { filterChain.doFilter(request, response); return; } // 从 HTTP 头中取得 Referer 值 String referer = request.getHeader("Referer"); // 判断 Referer 是否以 合法的域名 开头。 if (referer != null) { // 如 http://mysite.com/abc.html https://www.mysite.com:8080/abc.html if (referer.indexOf("://") > 0) { referer.substring(referer.indexOf("://") + 3); } // 如 mysite.com/abc.html if (referer.indexOf("/") > 0) { referer.substring(0, referer.indexOf("/")); } // 如 mysite.com:8080 if (referer.indexOf(":") > 0) { referer.substring(0, referer.indexOf(":")); } // 如 mysite.com for (String domain : domains) { if (referer.endsWith(domain)) { filterChain.doFilter(request, response); return; } } } response.sendError(HttpServletResponse.SC_FORBIDDEN, "CSRF Protection: Referer Illegal"); } }
-
在项目配置文件中添加需要开放的作用域
# csrf referer 验证。填写允许的域名,如www.mysite.com,localhost,127.0.0.1。 # 多个域名用逗号分隔,填写顶级域名则次级域名均允许访问 #(如mysite.com,则abc.mysite.com、www.mysite.com都可以访问)。为空则不开启。 csrf.domains=www.mysite.com,localhost,127.0.0.1
-
3、相对于
Spring Security
来说,默认开启了CSRF
,如果需要关闭,配置如下@Override protected void configure(HttpSecurity http) throws Exception { // 关闭 `CSRF` 攻击防御 http.csrf().disable(); }
以上就是当前服务中CSRF
整改过程