Security自动登录与防CSRF攻击冲突解决办法

最新推荐文章于 2024-05-27 22:28:55 发布
最新推荐文章于 2024-05-27 22:28:55 发布
阅读量676 收藏
点赞数
分类专栏: 后端 文章标签: csrf vue.js 前端 security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30385099/article/details/121976269
版权

项目场景:

使用技术,后端srpingboot+security,前端Vue+elementui+axios

问题描述:

security有两个强大功能之二:自动登录和防CSRF攻击。防CSRF攻击的功能说白了,就是多加一个token验证。然而这两个功能同时开启时,会出现POST/PUT请求无访问权限。

原因分析:

这里的问题原因就是token,对于一次建立连接,CRFS的token是唯一的,但是自动登录跳过了登录环节,因此CRFS的token值是重新生成的,也就意味着之前保存的token无效了。因此只需要重新获取保存即可。
这里遇到一个重大问题:就是当自动登录时,直接进入的主页面,但是在主页面下有多个异步请求获取数据,这就会多次发送token值。会出现时而有效时而无效的问题。

解决方案:

经过测试,如果登录时只发送一次请求,之后再发送其他异步请求,就能保证只有一个session会话。也就能保证只发送一个token。这样即可保证之后发送的异步请求使用的是同一个token。 因此这里需要多加一次请求,这个请求可以什么也不做,只保证必须第一次请求。因此最好放在App.vue的beforeCreate函数中。如下所示: 
export default {
	name: 'app',
	beforeCreate() {
		// 这里的axios已封装在window中,因此能够保证调用的到
		// 解决 免登陆 CRFS问题
		var xmlhttp;
		if (window.XMLHttpRequest) { // code for IE7+, Firefox, Chrome, Opera, Safari
			xmlhttp = new XMLHttpRequest();
		} else { // code for IE6, IE5
			xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");
		};
		if (!xmlhttp) {
			console.log("不支持xml发送")
			return;
		};
		// 发送同步请求,保证成功之后再去请求其他异步请求
		xmlhttp.open("get", process.env.VUE_APP_PROXYNAME + "/ok?t=" + Math.random(), false);
	}
}

后端首先保证在登录成功后做一次token发送,保存在cookie中,保证不需要在前端有任何操作

/**
 * 登录成功回调
 */
public class LoginSuccessResponse extends SimpleUrlAuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        response.setContentType("application/json;charset=utf-8");
        PrintWriter out = response.getWriter();
        /**
         * 获取CSRF密钥
         *   "csrf": {
         *       "headerName": "X-CSRF-TOKEN",  必须是这个作为key
         *       "parameterName": "_csrf",
         *       "token": ""
         *   },
         *   向前端发送密钥,每次请求写在头信息中,
         *   例如 X-CSRF-TOKEN: 'token',即可保证正常访问
         *   使用Cookie保证前端不需要做任何操作
         */
        CsrfToken csrfToken = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
        // 这里使用fastjson转成JSON格式
        Cookie cookie = new Cookie("csrf", URLEncoder.encode(JSON.toJSONString(csrfToken),"UTF-8"));
        // 保存10天,保证存活时间足够使用
        cookie.setMaxAge(60 * 60 * 24 * 10);
        cookie.setPath("/");
        response.addCookie(cookie);
        // sendCsrfToken记录boolean值,表示在一次浏览器会话中,保证发送一次toekn值
        request.getSession().setAttribute("sendCsrfToken", true);
        out.flush();
        out.close();
    }
}

接下来就是配置请求/ok,保证自动登录情况下也能正常访问

/**
 * 公共请求
 */
@Controller
@Slf4j
public class CommonController {

    /**
     * 解决免登陆情况下CRFS验证问题
     * @param request
     * @param response
     * @throws UnsupportedEncodingException
     */
    @GetMapping("/ok")
    @ResponseBody
    public void ok(HttpServletRequest request, HttpServletResponse response) throws UnsupportedEncodingException {
        Object sendCsrfToken = request.getSession().getAttribute("sendCsrfToken");
        if (sendCsrfToken == null || (boolean) sendCsrfToken == false) {
            CsrfToken csrfToken = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
            Cookie cookie = new Cookie("csrf", URLEncoder.encode(JSON.toJSONString(csrfToken),"UTF-8"));
            cookie.setMaxAge(60 * 60 * 24 * 10);
            cookie.setPath("/");
            response.addCookie(cookie);
            log.info("免登陆用户{},发送csrfToken:{}", SecurityContextHolder.getContext().getAuthentication().getName(),csrfToken.getToken());
            request.getSession().setAttribute("sendCsrfToken", true);
        }
    }
}

配置之后即可保证在cookie中总会有一个有效的crsftoken值,只需要在每次请求拦截前配置请求头即可正常访问。如下:

_axios.interceptors.request.use(
	function(config) {
		let cookie = document.cookie;
		if (cookie) {
			// 这里使用vue-cookies插件,也可以直接从cookie中获取数据
			let csrf = VueCookies.get("csrf ")
			if (csrf) {
				config.headers[csrf.headerName] = csrf['token'];
			}
		}
		// Do something before request is sent
		return config;
	},
	function(error) {
		// Do something with request error
		return Promise.reject(error);
	}
);
£漫步 云端彡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring-security-jwt-csrf:使用Spring Security,Spring Boot和Vue js进行无状态JWT身份验证的演示
01-31
JWT Spring Boot安全性 Опроекте ЭтодемонстрацияаутентификациинаосноветокенасиспользованиемJSON网络令牌иCSRF,Spring安全,Spring启动иVue的JS。 СтекТехнологий Компонент Технология 前端 后端(REST) (Java) 安全 基于令牌(Spring Security, 和CSRF) 客户端构建工具 ,Webpack,npm 服务器构建工具 Gradle Безопасность( Security ) JWT令牌 ДлягенерацииипроверкиJWT以及 。 JJWT -Java,Java,обеспечивающаясозданиеиверификациюсквозныхвеб-токеновJSON。 JWTстратегияхранения Унасестьнескольковариантов,гдехранитьмаркер: Веб-хранилищеHTML5( HTML5 Web Stor
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5509
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
系统安全扫描扫出了:可能存在 CSRF 攻击怎么办
最新发布
io_123io_123的博客
05-27 566
系统安全扫描扫出了:可能存在 CSRF 攻击怎么办
详解利用spring-security解决CSRF问题扫码查看CSRF介绍
dpp10683401的博客
05-30 1202
CSRF介绍 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 具体SCRF的介绍和攻击方式请参看百度百科的介绍和一位大牛的分析:CSRF百度百科浅谈CSRF攻击方式 配置步骤 1.依赖jar包 <properties> <spring.security.version>4.2.2.RELEASE</spring.s
CSRF攻击的原理和spring securityCSRF攻击解决方法
qq_42956993的博客
11-27 4948
对于CSRF攻击的原理,直接上图然后解释一下 一个用户通过浏览器成功登录一个网站,登陆成功后,服务器会返回一个该用户的唯一标识放入浏览器Cookie中,以此作为用户之后操作的唯一凭证。假设此时该用户在此网站中请求一个表单类的网页,这时候用户又打开了另外的一个网站,而这个网站是一个病毒网站,它直接窃取了Cookie信息,当然也包括唯一身份凭证(所以为什么说cookie不推荐保存重要信息,是有原因的),通过唯一身份凭证,病毒网站直接进行用户所做的表单提交,而服务器是通过这个凭证来匹配用户信息的,服务器这时候无
Spring Security 自定义登录页并开启CSRF御,http.csrf()源码分析
weixin_45114101的博客
12-26 2434
Spring Security 自定义登录页并开启CSRF御,http.csrf()源码分析
maven web 登录
05-26
【 Maven Web 应用开发与登录实现】 在Java Web开发中,Maven是一个重要的构建工具,它可以帮助开发者管理项目的依赖关系,自动化构建流程,并提供了一种标准的方式来组织项目结构。本教程将深入探讨如何使用Maven...
网站登录注册,淘宝官方网站登录注册,C#
07-01
6. **安全性**:除了密码哈希,还需要考虑其他安全措施,如CSRF(跨站请求伪造)护、XSS(跨站脚本攻击御等。ASP.NET框架提供了一些内置的护机制,但开发者仍需谨慎设计和测试。 7. **响应式设计**:现代...
jd-ticketing-security
03-14
1. **前端安全**:作为与“安全”相关的一部分,项目可能涉及到止XSS(跨站脚本攻击)、CSRF(跨站请求伪造)等常见的前端安全问题。开发者可能采用了最佳实践,如使用安全的模板引擎、验证用户输入、设置HTTP头部...
restrict-multiple-signin-for-same-user:此模块限制同一用户从不同的机器设备同时登录
05-12
7. **安全性考虑**:在实现这个功能时,必须考虑到安全性的其他方面,如止会话劫持、CSRF(跨站请求伪造)攻击等。确保所有的通信都是加密的,并使用安全的HTTP头来止这些常见的安全威胁。 通过以上分析,我们...
Java Spring Boot面试题
09-30
CSRF 攻击攻击者盗用用户的身份,Spring Boot 中可以使用 CSRF token 来CSRF 攻击。 监视器 Spring Boot 中的监视器是通过 Actuator 端点来实现的,Actuator 端点提供了应用程序的监视和管理功能。Spring ...
spring security运行时配置ignore url
weixin_33895695的博客
08-14 4250
序 以前用shiro的比较多,不过spring boot倒是挺推崇自家的spring security的,有默认的starter,于是也就拿来用了。 问题 对于免登陆的url,采用java config,可以这样配置: @EnableWebSecurity public class SecurityConfig extends WebSe...
Spring SecurityCSRF 问题解决
Damien_J_Scott的博客
12-21 1172
前后端分离项目,token出现 csrf报错 两个解决方案 第一种(推荐) 在securityConfiguration中添加禁用csrf @EnableWebFluxSecurity @EnableReactiveMethodSecurity public class SecurityConfiguration { @Bean public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity h.
【第八篇】SpringSecurity核心过滤器-CsrfFilter
波波烤鸭的博客
05-12 3231
SpringSecurity核心过滤器-CsrfFilter   Spring Security除了认证授权外功能外,还提供了安全护功能。本文我们来介绍下SpringSecurity中是如何阻止CSRF攻击的。 一、什么是CSRF攻击   跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击
Spring官方提供【CSRF攻击解决方案
qq_35040959的博客
01-16 1626
·Spring官方提供【CSRF攻击解决方案
web网站安全 CSRF介绍及解决方案
半夏_2021的博客
04-26 1970
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”。 是指恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 Cookie 可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事。
security禁用csrf
以爱护甲,爱满枫林。
09-23 7073
项目中启用了 security,post请求无法通过,页面报错如下: 搜了下CSRF CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding, 通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 为了止跨站提交攻击,通常会配置csrf。 原因找到了:Spring Security 3默...
7.2 使用Security进行权限控制和CSRF
Qiuyuguohou的博客
03-12 4557
Securit进行安全控制和CSRF
HttpSecurity的配置以及登录表单的详细配置和注销登录的配置
Suame_ya的博客
01-03 1462
/** * @Author fei * @Date 2021/1/2 3:43 下午 * * @Configuration用于定义配置类,定义的配置类可以替换xml文件,一般和@Bean注解联合使用。 * @Configuration注解主要标注在某个类上,相当于xml配置文件中的<beans> * @Bean注解主要标注在某个方法上,相当于xml配置文件中的<bean> */ @Configuration public class SecurityConfig ..
CSRF攻击原理与解决方法
07-24
CSRF(Cross-Site Request Forgery)攻击是一种常见的网络安全漏洞,它利用了网站对用户请求的信任,通过伪造用户的请求来执行恶意操作。 攻击原理: 1. 用户登录受信任的网站A,并在本地生成了相应的会话Cookie。 2. 攻击者诱使用户访问恶意网站B,该网站中包含了针对网站A的恶意请求。 3. 网站B的恶意请求会自动触发用户浏览器发送一个针对网站A的请求,由于用户在访问网站A时已经登录,并且浏览器会自动携带相应的会话Cookie。 4. 网站A接收到请求后,会认为是用户自己的合法请求,然后执行相应的操作,比如修改密码、发起转账等。 解决方法: 1. 验证码(CAPTCHA):引入验证码可以阻止CSRF攻击,因为攻击者无法获取到验证码的内容,无法伪造合法请求。 2. 同源检测:在服务器端对请求进行来源验证,只允许来自同一域名下的请求通过。可以通过检查Referer字段或者使用CSRF Token来实现。 3. CSRF Token:在每个表单或者请求中引入一个随机生成的Token,并在服务器端校验,如果请求中没有正确的Token,则拒绝执行操作。 4. 阻止第三方网站请求:可以通过设置HTTP头部的SameSite属性为Strict或者Lax来限制第三方网站对Cookie的访问。 5. 双重Cookie验证:除了验证会话Cookie,还可以在请求中包含一个随机生成的Token,并在服务器端进行验证。 以上是一些常见的CSRF攻击解决方法,但并不是绝对安全的,开发者在设计和开发过程中还需要综合考虑其他安全措施来确保网站的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

£漫步 云端彡

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值