security CSRF漏洞保护

最新推荐文章于 2024-06-05 14:33:28 发布
最新推荐文章于 2024-06-05 14:33:28 发布
阅读量911 收藏 2
点赞数
分类专栏: # spring security 文章标签: csrf 前端
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/qq_34491508/article/details/126102523
版权

一、CSRF概述

跨站请求伪造或者一键式攻击通常缩写为csrf或者xsrf,通过挟持当前浏览器已经登录用户发送恶意请求的攻击烦方法

xss利用用户对网站的信任

csrf利用网站对用户浏览器的信任

举例

二、CSRF防御

1、防御策略

通过令牌同步模式 在每一次http请求中除了默认的cookie参数之外,服务端生成一个随机字符串称为csrf令牌,开启后httpsession保存一份, 前端请求到达时会将请求的csrf令牌信息和服务端对比 ,如果不相等则拒绝http请求

考虑到网站可能放置外部链接,所以要求请求时幂等的 这样对于HEAD OPTIONS TRACE 等方法就没有必要使用CSRF令牌了 强行使用可能会导致令牌泄露

2、传统web开发配置

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                //开启csrf
                .csrf();
    }
}

3、前后端分离配置

默认是csrf是保存在服务端httpsession中,前后端分离中需要将生成csrf放入到cookie中 并在请求时获取cookie中令牌进行提交即可

修改csrf放入到cookie

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                //开启csrf
                .csrf()
                //将令牌保存到cookie 并且允许cookie前端获取
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    }
}

访问登录界面查看cookie

发送请求携带令牌

第一种:请求其他接口 在请求头中携带

X-XSRF-TOKEN:cookie中得值

第二种:请求参数中携带

_csrf:cookie中得值
程序三两行
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
SpringSecurityCSRF攻击
2201_75856701的博客
01-13 483
一些网站比如知乎、简书中的外部链接,点击之后会有提示(免责声明),此操作有风险是否继续,这便与CSRF密切相关。当然这个POST接口无法直接在浏览器中发起请求,我们需要借助PostMan来实现POST请求的发送。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?防护,这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。建好项目后,创建一个简单的HelloController.java,包含一个。项目中模拟一个按钮操作,发起。,模拟一个钓鱼网站。
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 3436
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
SpringSecurity(10)——Csrf防护
peng_gx的博客
01-20 1553
SpringSecurity Csrf防护
关于Spring SecurityCSRF
最新发布
寻码启示
06-05 419
GET请求是正常的,但是POST请求会报403错误。Spring中POST请求不到。
websecurityconfigureradapter_深入理解 WebSecurityConfigurerAdapter「源码篇」
weixin_39924584的博客
11-23 536
我们继续来撸 Spring Security 源码,今天来撸一个非常重要的 WebSecurityConfigurerAdapter。我们的自定义都是继承自 WebSecurityConfigurerAdapter 来实现的,但是对于 WebSecurityConfigurerAdapter 内部的工作原理,配置原理,很多小伙伴可能都还不太熟悉,因此我们今天就来捋一捋。我们先来看一张 WebSec...
Spring Security(六) —— CSRF
eyes++的博客
07-26 4040
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
csrf防护机制
凉茶铺的博客
07-17 2023
CSRF(Cross-siterequestforgery),中文名称跨站请求伪造你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括个人隐私泄露以及财产安全。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如。...
Spring Security中HttpSecurity常用方法及说明
weixin_34346099的博客
08-03 3782
2019独角兽企业重金招聘Python工程师标准>>> ...
nosurf:Go的CSRF保护中间件
02-03
尽管CSRF是一个突出的漏洞,但Go的与Web相关的软件包基础结构主要由微框架组成,这些微框架既不实施CSRF检查,也不应该实施CSRF检查。 nosurf通过提供nosurf来解决此问题,该CSRFHandler包装了您的http.Handler并在...
不安全的http方法、CSRF漏洞修复问题
01-07
不安全的 HTTP 方法、CSRF漏洞修复问题 在本文中,我们将讨论不安全的 HTTP 方法、CSRF 漏洞等问题的修复...通过以上措施,我们可以修复不安全的 HTTP 方法、CSRF 漏洞等问题,保护我们的网站和服务器免受攻击。
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
CSRF_attack:此存储库的目的是了解和了解基本服务器可能面临的csrf漏洞
03-16
CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击是一种网络...通过使用适当的防护措施,开发者可以降低网站被CSRF攻击的风险,保护用户的数据安全。在实际项目中,应该结合多种防御策略,以提高系统的安全性。
electrode-csrf-jwt:使用JWT的无状态跨站点请求伪造(CSRF保护
02-03
电极无状态CSRF 一个电极插件,可在Electrode,Express,Hapi或Koa 2应用程序中使用启用无状态保护。我们为什么需要这个模块? 保护是一项重要的安全功能,但是在没有后端会话持久性的系统中,验证非常棘手。 无状态...
SpringSecurity——Web权限方案CSRF功能,如何开启CSRF用于防止跨站请求伪造攻击
程序员阿皓的博客
04-30 193
SpringSecurity——Web权限方案CSRF功能
Spring Boot Security - 启用 CSRF 保护
allway2的博客
02-04 2229
在上一篇文章中,我们实现了Spring Boot Security - Password Encoding Using Bcrypt。 但到目前为止,在我们所有的示例中,我们都禁用了 CSRFCSRF 代表跨站点请求伪造。这是一种强制最终用户在当前对其进行身份验证的 Web 应用程序上执行不需要的操作的攻击。CSRF 攻击专门针对状态更改请求,而不是窃取数据,因为攻击者无法查看对伪造请求的响应。 Spring Boot 安全性 - 目录 Spring Boot + 简单的安全配置 Spr...
spring security 中httpSecurity的方法
秦城诗雨的博客
11-30 4017
spring security 中httpSecurity的方法 authorizeRequests() 开启配置: 一、匹配路径的方法 .antMatchers():表达支持ant风格的路径通配符 .regexMatchers():接受正则表达式来定义请求的路径 二、保护路径的配置方法 .authenticated():表示需要认证,在执行请求时,必须要登录 .permitAll():允许没有任何限制 .access(String springEl):给定的spEl计算为true的话.
Security:CSRF
思维小刀
04-28 898
定义 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流...
SpringSecurityCSRF漏洞保护
Littewood的博客
07-24 1621
SpringSecurityCSRF漏洞保护
利用spring-security解决CSRF问题
热门推荐
Frankenstein的博客
04-22 4万+
从配置到原理,一步步讲解如何利用Spring的security框架来处理scrf问题。
Spring Security关闭csrf
11-16
但是,关闭csrf保护可能会导致安全漏洞,因此建议仅在特定情况下使用。 另外,还可以通过以下方式禁用特定请求的csrf保护: ```java http.csrf().ignoringAntMatchers("/your-url"); ``` 这将禁用与“/your-url”...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序三两行

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值