《Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法

最新推荐文章于 2024-07-31 20:44:37 发布
最新推荐文章于 2024-07-31 20:44:37 发布
阅读量8.3k 收藏 10
点赞数
分类专栏: Java开发实战 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39338799/article/details/85274706
版权

最近项目渗透测试检测出一些安全问题其中一项为csrf攻击隐患,然后开始修复

csrf简介

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。——百度百科

详细介绍:浅谈CSRF攻击方式 - hyddd - 博客园

一、maven pom.xml 引入jar包

        <dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-web</artifactId>
			<version>5.0.6.RELEASE</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-config</artifactId>
			<version>5.0.6.RELEASE</version>
		</dependency>

二、web.xml配置filter

mgmtCsrfFilter是我重写的csrfFilter名称

<!-- CSRF filter -->
	<filter>
		<filter-name>mgmtCsrfFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>mgmtCsrfFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

 三、spring-application.xml配置

<bean id="mgmtCsrfFilter" class="com.haha.sps.mgmt.core.filter.MgmtCsrfFilter">
		<constructor-arg>
			<bean class="org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository" />
		</constructor-arg>
	</bean>
	<bean id="requestDataValueProcessor" class="org.springframework.security.web.servlet.support.csrf.CsrfRequestDataValueProcessor"></bean>

四、重写csrffilter

重写后的csrfFilter为MgmtCsrfFilter代码如下:

package com.haha.sps.mgmt.c
最低0.47元/天 解锁文章
crazy王
关注
专栏目录
java技术专家 【安全框架第八篇】SpringSecurity的核心过滤器-CsrfFilter
大壮
12-23 806
java技术专家 【安全框架第八篇】SpringSecurity的核心过滤器-CsrfFilter
SpringSecurity文件上传 CSRF错误:Invalid CSRF Token 'null' was found on the request parameter '_csrf' or ..
liu911025的博客
06-22 3128
Spring Security CSRF,默认是开启。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。比较关键的一点是如果这个http请求是get方式发起的请求,意味着它只是访问服务器 的资源,仅仅只是查询,没有更新服务器的资源,所以对于这类请求,spring security的防御策略是允许的,如果这个请求是通过post请求发起的, 那么spring se...
一分钟理解post和put(安全与幂等角度)
小胖的博客
11-22 6862
HTTP方法的安全性和幂等性 可以认为安全的方法都是只读的方法(GET, HEAD, OPTIONS),不会改变资源状态,显然,这三个方法也是幂等的。 DELETE方法的语义表示删除服务器上的一个资源,第一次删除成功后该资源就不存在了,资源状态改变了,所以DELETE方法不具备安全特性。然而HTTP协议规定DELETE方法是幂等的,每次删除该资源都要返回状态码200 OK,服务器端要实现幂等的DE...
Java中的Web应用安全:CSRF、XSS和SQL注入防护
最新发布
微赚淘客系统开发者博客
07-31 473
通过启用Spring SecurityCSRF保护机制、使用HTML转义防护XSS攻击、以及使用参数化查询防护SQL注入,可以有效提高Java Web应用的安全性。XSS(Cross-Site Scripting)是一种代码注入攻击,攻击者通过在网页中注入恶意脚本,窃取用户信息或执行恶意操作。Spring Data JPA内置了防止SQL注入的机制,使用参数化查询可以有效防护SQL注入。默认情况下,CSRF保护是启用的。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!
SpringSecurity (4) CSRFCSRF-TOKEN 的处理
O_o
05-17 9761
本文主要介绍SpringSecuritySpringBoot 整合过程中关于 CSRF 的处理
java csrf过滤filter
走走停停的小码农的博客
05-18 7842
public class CsrfFilter implements Filter { private static final Logger logger = LogManager.getLogger(CsrfFilter.class); // 白名单 private List whiteUrls; private int _size = 0; public void init(
浅谈CSRF的攻击方式
qq_45335911的博客
09-17 295
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在
springboot整合springsecurity框架,重写验证的过滤器(分布式项目)(六)
一天不写代码难受的博客
10-15 1926
根据以上的步骤,用户登录成功之后,已经拿到了对应的token。那么之后用户就可以拿这个token到各个服务器了,但是各个服务器是如何判断验证是哪个用户的么?也就是各个服务器是如何验证这个token的。 重写验证的过滤器 之前的springsecurity框架自己验证的时候,是有一个过滤器BasicAuthenticationFilter 既然现在我们认证的代码已经重写了,所以验证的也要重写 自己写一个过滤器,继承BasicAuthenticationFilter重写里面的验证的方法doFilterInte
Spring Security之默认的过滤器链的CsrfFilter(九)
欢谷悠扬
07-09 586
1.什么是Csrf CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 通俗的说,就是你用你浏览器缓存的认证信息和用户信息,通过另外一个钓鱼网站去访问你现
【第八篇】SpringSecurity的核心过滤器-CsrfFilter
yqqの博客
03-18 644
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
Spring Security CsrfFilter过滤器用法实例
08-25
主要介绍了Spring Security CsrfFilter过滤器用法实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springsecurity2 自定义filter实现
03-16
NULL 博文链接:https://jiawu.iteye.com/blog/400351
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF跨站攻击防御,需要的朋友可以参考下
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
REST-spring-security.rar_java rest_java security_rest_rest secu
09-24
本项目“REST-spring-security”专注于利用Spring Security来保护基于REST的Web服务,确保数据和API接口的安全。 首先,我们需要理解REST(Representational State Transfer)是一种架构风格,常用于构建可伸缩、高...
Spring-Security-Demo-master.zip
07-15
Spring Security 是一个强大的安全框架,常用于Java应用的安全管理,特别是在Spring Boot项目中。这个"Spring-Security-Demo-master.zip"压缩包包含了基于Spring BootSpring Security实现的前后端分离登录认证及...
spring-security-demo.zip
08-10
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛用于构建安全的Java Web应用程序。本示例"spring-security-demo.zip"很可能是为了演示如何在Spring Boot应用中集成和配置Spring Security。...
Spring security 重写Filter 实现 json 登录
李昊轩的博客
02-20 2910
在使用SpringSecurity中,大伙都知道默认的登录数据是通过key/value的形式来传递的,默认情况下不支持JSON格式的登录数据,如果有这种需求,就需要自己来解决,本文主要解决问题: 使用JSON登录 上面演示的是一种原始的登录方案,如果想将用户名密码通过JSON的方式进行传递,则需要自定义相关过滤器,通过分析源码我们发现,默认的用户名密码提取在UsernamePasswordAut...
Spring Boot整合Spring Security实战教程
"本文将介绍如何在Spring Boot项目中整合并配置Spring Security,提供用户身份认证、登录退出、密码加密及验证、以及使用数据库实现remember-me功能。实例中使用了Spring BootSpring MVC、Spring SecuritySpring...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值