记录一次关于shiro中实现CSRF攻击防御的整改过程

最新推荐文章于 2024-04-23 18:52:22 发布
最新推荐文章于 2024-04-23 18:52:22 发布
阅读量4.4k 收藏 10
点赞数 1
分类专栏: Spring Boot shiro java 文章标签: java spring shiro
原文链接:https://www.cnblogs.com/shihuc/p/9547922.html
版权
java 同时被 3 个专栏收录
6 篇文章 0 订阅
订阅专栏
Spring Boot
2 篇文章 0 订阅
订阅专栏
shiro
1 篇文章 0 订阅
订阅专栏

本文中关于介绍CSRF的信息借鉴自:https://www.cnblogs.com/shihuc/p/9547922.html

一.CSRF是什么?

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

二.CSRF可以做什么?

你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。

三.CSRF漏洞现状

CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI…而现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。

四.CSRF的原理

img

五.CSRF的防御

  • 1、解决方案

    A. 用户登录的时候,将创建一个token,此token存放于session当中。(是否在登录后创建token,依据各自系统需求变化)

    B. 基于Filter,对所有的Http请求进行拦截,捕获请求路径,确认路径URL是否在配置的CSRF安全拦截路径列表CsrfList中。

    C. 若在CsrfList中,则检查session中是否含有sToken字段以及Http请求头中是否含有rToken字段。

    D. 若sToken和rToken相等,则认为安全合法的请求,否则将请求拦截,拒绝此次请求。

    这里:

    1》. 主要是基于过滤器Filter来实现,另外,一个比较核心的思想,是将安全路径(需要校验的,比如系统参数相关的增删改相关的数据提交请求)通过配置的方式,以配置文件或者数据库表的形式配置在系统中(本案例,采用的是静态配置文件)。说白了,和Shiro或者Spring security的权限管理很像。

    2》. 另外一点,将后台生成的token数据传递前端,并在前端有数据提交的时候将这个token值带回到后台。笨一点的办法,就是在每次ajax数据提交的时候,都给调用beforeSend方法给XMLHttpRequest里面添加自定义的Header属性(当然,也可以通过其他方式实现token的回传到后台,我这里采用的是Http的自定义Header属性的模式)。最好是有一个全局的配置,至少是文件级别的配置,减少ajax提交数据的时候写入重复的beforeSend调用。

  • 2、这里主要是在shiro中使用,所以使用的是Filter方式

    • 在 shiro 的配置类中添加如下代码

      @Bean
public FilterRegistrationBean csrfFilter() {
    FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
    // 这里使用的是配置文件信息,获取配置文件中的csrf.domains相关值信息
    String csrfDomains = properties().getProperty("csrf.domains");
    if (StringUtils.isNotBlank(csrfDomains)) {
        filterRegistration.setFilter(new CsrfFilter(Arrays.asList(csrfDomains.split(","))));
    } else {
        filterRegistration.setFilter(new CsrfFilter(Collections.<String>emptyList()));
    }
    filterRegistration.setEnabled(true);
    filterRegistration.addUrlPatterns("/*");
    return filterRegistration;
}

  • 相关CsrfFilter实现

    import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.*;

public class CsrfFilter extends OncePerRequestFilter {
    private Collection<String> domains;
    // 临时过滤路径。对用户管理使用`csrf token`的方式进行防范。
    private List<String> paths = Arrays.asList("/cmscp/core/user/save.do", "/cmscp/core/user/update.do", "/cmscp/core/user/delete.do", "/cmscp/core/user/delete_password.do", "/cmscp/core/user/check.do", "/cmscp/core/user/lock.do", "/cmscp/core/user/unlock.do",
            "/cmscp/core/user_global/save.do", "/cmscp/core/user_global/update.do", "/cmscp/core/user_global/delete.do", "/cmscp/core/user_global/delete_password.do", "/cmscp/core/user_global/check.do", "/cmscp/core/user_global/lock.do", "/cmscp/core/user_global/unlock.do");

    public CsrfFilter(Collection<String> domains) {
        this.domains = domains;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String token = CsrfToken.loadTokenFromSession(request);
        boolean missingToken = token == null;
        if (token == null) {
            token = UUID.randomUUID().toString().replace("-", "");
            CsrfToken.saveTokenToSession(token, request, response);
        }
        request.setAttribute(CsrfToken.PARAMETER_NAME, token);

        // GET 等方式不用提供Token,自动放行,不能用于修改数据。修改数据必须使用 POST、PUT、DELETE、PATCH 方式并且Referer要合法。
        if (Arrays.asList("GET", "HEAD", "TRACE", "OPTIONS").contains(request.getMethod())) {
            filterChain.doFilter(request, response);
            return;
        }

        String uri = request.getRequestURI();
        if (paths.contains(uri) && !token.equals(request.getParameter(CsrfToken.PARAMETER_NAME))) {
            response.sendError(HttpServletResponse.SC_FORBIDDEN, missingToken ? "CSRF Token Missing" : "CSRF Token Invalid");
            return;
        }
        if (!domains.isEmpty() && !verifyDomains(request)) {
            response.sendError(HttpServletResponse.SC_FORBIDDEN, "CSRF Protection: Referer Illegal");
            return;
        }
        filterChain.doFilter(request, response);
    }

    private boolean verifyDomains(HttpServletRequest request) {
        // 从 HTTP 头中取得 Referer 值
        String referer = request.getHeader("Referer");
        // 判断 Referer 是否以 合法的域名 开头。
        if (referer != null) {
            // 如 http://mysite.com/abc.html https://www.mysite.com:8080/abc.html
            if (referer.indexOf("://") > 0) referer = referer.substring(referer.indexOf("://") + 3);
            // 如 mysite.com/abc.html
            if (referer.indexOf("/") > 0) referer = referer.substring(0, referer.indexOf("/"));
            // 如 mysite.com:8080
            if (referer.indexOf(":") > 0) referer = referer.substring(0, referer.indexOf(":"));
            // 如 mysite.com
            for (String domain : domains) {
                if (referer.endsWith(domain)) return true;
            }
        }
        return false;
    }

    private boolean verifyToken(HttpServletRequest request, String token) {
        return token.equals(request.getParameter(CsrfToken.PARAMETER_NAME));
    }
}

    2021-09-06 补充说明一下,

    以上是项目版本更新后的相关代码,加入了token相关的拦截处理等(因为没有贴全,可能看的云里雾里),里面的token 校验相关的代码就不贴了,相关token处理其实和前后端分离后使用JWT生成的token逻辑差不多,该代码也是学习别的上线项目里面的方式(该项目也是类似机构类型的网站,被安全检测出来CSRF相关漏洞问题,使用了改代码没有反馈出相关漏洞了,因为服务安全框架用的shiro,但是shiro没有CSRF相关漏洞防御的说法,这里贴出来供大家参考),大体逻辑就是设置请求的白名单的形式,以及校验当前请问方式的拦截处理手段等。如果阅读不是很方便,可以使用下面的版本,上面的版本是代码改版后的使用:

    public class CsrfFilter extends OncePerRequestFilter {
    private Collection<String> domains = new HashSet<>();

    public CsrfFilter(Collection<String> domains) {
        this.domains = domains;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // GET 等方式不用提供Token,自动放行,不能用于修改数据。修改数据必须使用 POST、PUT、DELETE、PATCH 方式并且Referer要合法。
        if (Arrays.asList("GET", "HEAD", "TRACE", "OPTIONS").contains(request.getMethod()) || domains.isEmpty()) {
            filterChain.doFilter(request, response);
            return;
        }
        // 从 HTTP 头中取得 Referer 值
        String referer = request.getHeader("Referer");
        // 判断 Referer 是否以 合法的域名 开头。
        if (referer != null) {
            // 如 http://mysite.com/abc.html https://www.mysite.com:8080/abc.html
            if (referer.indexOf("://") > 0) {
                referer.substring(referer.indexOf("://") + 3);
            }
            // 如 mysite.com/abc.html
            if (referer.indexOf("/") > 0) {
                referer.substring(0, referer.indexOf("/"));
            }
            // 如 mysite.com:8080
            if (referer.indexOf(":") > 0) {
                referer.substring(0, referer.indexOf(":"));
            }
            // 如 mysite.com
            for (String domain : domains) {
                if (referer.endsWith(domain)) {
                    filterChain.doFilter(request, response);
                    return;
                }
            }
        }
        response.sendError(HttpServletResponse.SC_FORBIDDEN, "CSRF Protection: Referer Illegal");
        
    }
    
}

  • 在项目配置文件中添加需要开放的作用域

    # csrf referer 验证。填写允许的域名,如www.mysite.com,localhost,127.0.0.1。
# 多个域名用逗号分隔,填写顶级域名则次级域名均允许访问
#(如mysite.com,则abc.mysite.com、www.mysite.com都可以访问)。为空则不开启。
csrf.domains=www.mysite.com,localhost,127.0.0.1

  • 3、相对于Spring Security来说,默认开启了CSRF,如果需要关闭,配置如下

     @Override
protected void configure(HttpSecurity http) throws Exception {
    // 关闭 `CSRF` 攻击防御
    http.csrf().disable();
}

以上就是当前服务中CSRF整改过程

江南山水电
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
Shiro开启CSRF表单防护
12-08
Shiro开启CSRF表单防护
shiro实现防御CSRF攻击的token解决方案
qq_27555691的博客
09-06 1348
首先,代码核心逻辑来自https://blog.csdn.net/qq_26848943/article/details/114023239#comments_18211700 其次,我对其进行了修改 1.shiroConfig类加入防御代码如下 2. filters包下新建CsrfFilter类 说明: 1.csrfDomains在配置配置,可参考链接的原文 2.在sessioncsrfToken来作为token防御csrf攻击的主要防御手段, 3.paths集合是...
关于shiro部分SpringCache失效问题的解决方法
08-27
主要给大家介绍了关于shiro部分SpringCache失效问题的解决方法,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
主要介绍了基于springboot实现整合shiro实现登录认证以及授权过程解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring整合shiro框架的实现步骤记录
08-27
Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。下面这篇文章主要给大家介绍了关于spring整合shiro框架的实现步骤,文通过示例代码介绍的非常详细,需要的朋友可以参考下
Spring Security防护CSRF功能
...
04-13 822
CSRF是什么? CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF的原理 下图简单阐述了CSRF攻击的思想: 从上图可
Spring Security csrf的使用
magicproblem的博客
01-15 480
1、在WebSecurityConfigurerAdapter配置类不要配置(默认csrf是开启状态) //.and().csrf().disable(); /* 关闭csrf防护 */ 2、在登录页面加上一个隐藏域用于记录csrftoken(用来thymeleaf模板引擎) <input type="hidden" th:if="${_csrf}!=null" th:value="${_csrf.token}" name="_csrf"> ...
安全漏洞修复帖
weixin_45067120的博客
03-09 1589
整理系统遇到的安全漏洞
Spring Security(十一) Spring Security CSRF
奥迪的博客
10-13 9927
从刚开始学习 Spring Security 时,在配置类一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 1 什么是 CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。 跨域:只要网络协议,ip 地址,端口任何一个不相同就是跨域请求。 客户
Shiro权限框架详解
曰业而安的博客
03-29 456
Shirojava的一个安全框架,提供了认证、授权、加密和会话管、与web集成、缓存理等功能,对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且Shiro相对简单些。其基本功能点如下图所示: Shiro不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过相应的接口注入给Shiro即可 从应用程序角度Shiro是如何完成工作的? 也就是说...
SpringBoot Shiro授权实现过程解析
08-25
主要介绍了SpringBoot Shiro授权实现过程解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Springboot和bootstrap实现shiro权限控制配置过程
08-19
主要介绍了Springboot和bootstrap实现shiro权限控制,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springshiro
06-24
spring集成shiro 和mongodb数据库 ,下载可用ini配置,启用mongo配置
spring securitycsrf防御原理(跨域请求伪造)
08-25
主要介绍了spring securitycsrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
shiro实现单点登录(一个用户同一时刻只能在一个地方登录)
09-01
主要介绍了shiro实现单点登录(一个用户同一时刻只能在一个地方登录)的相关资料,非常不错,具有参考借鉴价值,感兴趣的朋友一起学习吧
vue与shiro结合实现权限按钮
12-15
vue+shiro实现前端细颗粒按钮级权限,并且可以实现删除和禁用两种不同模式,里面需要的前置技术包括 :vue\vue的自定义指令\vue的自定义插件\vuex
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
主要介绍了使用SpringSecurity处理CSRF攻击的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
关于Apache shiro实现一个账户同一时刻只有一个人登录(shiro 单点登录)
09-15
今天和同事在一起探讨shiro如何实现一个账户同一时刻只有一session存在的问题,下面小编把核心代码分享到脚本之家平台,需要的朋友参考下
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 327
都是符合我们的预期的。
shiro解决csrf
12-01
Shiro可以通过在表单添加CSRF Token来防止CSRF攻击CSRF Token是一个随机生成的字符串,它被嵌入到表单,然后在表单提交时一起发送到服务器。服务器会验证这个Token是否合法,如果不合法则拒绝请求。 下面是使用Shiro防止CSRF攻击的步骤: 1.在表单添加CSRF Token ```html <form method="post" action="/submit"> <input type="hidden" name="csrfToken" value="$csrfToken"> <!-- 其他表单元素 --> <button type="submit">提交</button> </form> ``` 2.在Shiro配置文件启用CSRF防护 ```ini [main] # 配置CSRF防护过滤器 csrf = org.apache.shiro.web.filter.authc.CsrfFilter # 配置Shiro过滤器链 authc = org.apache.shiro.web.filter.authc.FormAuthenticationFilter perms = org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter roles = org.apache.shiro.web.filter.authz.RolesAuthorizationFilter logout = org.apache.shiro.web.filter.authc.LogoutFilter anon = org.apache.shiro.web.filter.authc.AnonymousFilter filterChainDefinitions = /** = anon /login = authc /logout = logout /submit = csrf, authc ``` 3.在Controller验证CSRF Token ```java @PostMapping("/submit") public String submit(@RequestParam("csrfToken") String csrfToken, /* 其他参数 */) { // 验证CSRF Token是否合法 if (!csrfToken.equals(getSession().getAttribute("csrfToken"))) { throw new RuntimeException("CSRF Token不合法"); } // 处理表单提交 // ... } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值