Spring (33)CSRF(跨站请求伪造)保护

最新推荐文章于 2024-08-05 23:09:45 发布
最新推荐文章于 2024-08-05 23:09:45 发布
阅读量555 收藏 9
点赞数 6
分类专栏: Spring 文章标签: spring csrf java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43012298/article/details/136941150
版权

跨站请求伪造(CSRF)是一种常见的网络攻击手段,它允许攻击者在不知情的用户浏览器中发起恶意请求。这种攻击利用了网站对用户浏览器的信任。如果用户在浏览器中已经登录了一个网站,攻击者就可以构造一个请求,这个请求能够利用用户的登录状态在该网站上执行未授权的操作。

CSRF保护机制

为了防御CSRF攻击,网站需要确保它们只接受那些明确意图发起的请求。一种常见的防御手段是使用CSRF令牌(也称为CSRF令牌)。这个令牌是一个随机值,服务器在渲染表单时生成并包含在表单中,随后,任何对服务器的请求都需要包含这个令牌。由于攻击者无法访问这个令牌,他们构造的恶意请求将会失败。

Spring Security中的CSRF保护

Spring Security 提供了内置的CSRF保护机制。默认情况下,它会为所有的POST、PUT、PATCH和DELETE请求启用CSRF保护。它通过CsrfFilter过滤器实现这一功能。

CsrfFilter工作原理

CsrfFilter激活时,它会在每个请求上执行以下操作:

  1. 检查CSRF令牌:如果请求是一个需要被保护的HTTP方法(例如POST),它会检查请求中是否含有有效的CSRF令牌。
  2. 生成和存储CSRF令牌:对于每个新的会话,CsrfFilter会生成一个新的CSRF令牌,并在服务器端存储这个令牌。令牌也会被发送到客户端,通常是作为一个表单的隐藏字段。
  3. 验证CSRF令牌:当用户提交一个表单时,客户端发送的令牌必须与服务器端存储的令牌匹配。如果令牌不匹配,请求将被拒绝。
CSRF保护的配置

在Spring Security配置中,默认已经启用了CSRF保护。但是,你可以按需修改或禁用这一功能。以下是一个示例,展示如何在Spring Security配置中自定义CSRF保护:

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // 其他配置...
            .csrf(csrf -> 
                csrf.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
            );
            // 此配置使用了基于Cookie的CSRF令牌存储策略,并将CSRF令牌作为一个JavaScript可访问的cookie发送给客户端。
    }
}
生成和验证CSRF令牌的源码解析

CsrfFilter类是Spring Security中处理CSRF保护逻辑的关键。在源码层面,CsrfFilter会使用一个CsrfTokenRepository来存储CSRF令牌。默认情况下,使用的是HttpSessionCsrfTokenRepository,但你可以通过配置改变这一行为。

当处理请求时,CsrfFilter会调用CsrfTokenRepository来加载当前的CSRF令牌,检查请求中的令牌是否与之匹配。匹配逻辑主要在CsrfFilterdoFilterInternal方法中实现:

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
        throws ServletException, IOException {
    CsrfToken csrfToken = this.tokenRepository.loadToken(request);
    final boolean missingToken = csrfToken == null;
    if (missingToken) {
        csrfToken = this.tokenRepository.generateToken(request);
        this.tokenRepository.saveToken(csrfToken, request, response);
    }
    request.setAttribute(CsrfToken.class.getName(), csrfToken);
    request.setAttribute(csrfToken.getParameterName(), csrfToken);

    if (!this.requireCsrfProtectionMatcher.matches(request)) {
        filterChain.doFilter(request, response);
        return;
    }

    String actualToken = request.getHeader(csrfToken.getHeaderName());
    if (!csrfToken.getToken().equals(actualToken)) {
        if (this.logger.isDebugEnabled()) {
            this.logger.debug("Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request));
        }
        if (missingToken) {
            this.accessDeniedHandler.handle(request, response, new MissingCsrfTokenException(actualToken));
        }
        else {
            this.accessDeniedHandler.handle(request, response, new InvalidCsrfTokenException(csrfToken, actualToken));
        }
        return;
    }

    filterChain.doFilter(request, response);
}

从上面的代码可以看出,CsrfFilter首先尝试从存储中加载CSRF令牌。如果没有找到,它会生成一个新的令牌。然后,它检查如果请求需要CSRF保护,请求中的令牌必须与存储中的令牌匹配。

通过这种机制,Spring Security提供了一种强大的方式来自动防御CSRF攻击,同时也提供了足够的灵活性,以适应不同应用的需求。

辞暮尔尔-烟火年年
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Boot项目CSRF (跨站请求伪造)攻击演示与防御
oscar999的专栏
07-17 1366
CSRF ,Cross-site request forgery,跨站请求伪造。是常见的网络攻击的方式之一,2007年曾被列为互联网20大安全隐患之一。攻击过程是攻击者伪造用户的浏览器请求,访问一个用户曾经访问过的网站, 使目标网站误以为是用户的操作而执行命令。 本篇j基于Spring Boot创建项目,用来演示CSRF 的攻击过程。...
CSRF跨站请求伪造漏洞修复
折腾java的博客
06-09 3094
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
Spring MVC防御CSRF、XSS和SQL注入攻击[转]
breezylee09的专栏
02-13 238
转;http://www.cnblogs.com/Mainz/archive/2012/11/01/2749874.html   本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRFCSRF来说,其实Spring3.1、ASP.NET MVC3、R...
Spring官方提供【CSRF攻击】解决方案
qq_35040959的博客
01-16 1653
·Spring官方提供【CSRF攻击】解决方案
CSRF跨站请求伪造原理、过程、防御方案
qq_37432174的博客
11-23 2432
3.即便黑客无法篡改 Referer 值,因为 Referer 值会记录下用户的访问来源,有些用户认为这样会侵犯到他们自己的隐私权,因此用户自己可以设置浏览器使其在发送请求时不再提供Referer。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。服务器用同样的HS256算法和同样的密钥,对数据再进行一次签名,和客户端返回的Token的签名进行比较,如果验证成功,就向客户端返回请求的数据。
CSRF跨站请求伪造
Leon_Jinhai_Sun的博客
06-08 110
CSRF跨站请求伪造
CSRF跨站请求伪造漏洞修复方案
weixin_42728957的博客
04-16 6877
CSRF(全称Cross-site request forgery)即跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或包含攻击代码的页面,在受害者不知情的情况下以受害者的身份(身份认证所对应的信息)向服务器发送请求,从而完成非法操作(如转账、改密等)。由于发生CSRF攻击后,攻击者是强迫用户向服务器发送请求,所以会造成用户信息被迫修改,更严重者引发蠕...
Spring Security跨站请求伪造CSRF
猪猪神功屁
08-03 1739
spring security 中 csrf
【漏洞】CSRF跨站请求伪造漏洞,springboot修复思路
游游的小博客
02-15 1011
CSRF跨站请求伪造漏洞
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,实现CSRF跨站攻击防御是非常重要的。本文将详细介绍...
spring security中的csrf防御原理(跨域请求伪造)
08-25
总之,Spring Security通过生成和验证CSRF Token,有效地防止了跨域请求伪造攻击,增强了应用程序的安全性。为了充分利用这一功能,你需要确保所有可能导致状态改变的HTTP请求都包含有效的CSRF Token。同时,为了不...
spring security CSRF防护的示例代码
08-26
CSRF(Cross-site request forgery),即跨站请求伪造,是一种常见的 Web 攻击。Spring Security 4.0 及更高版本默认启用 CSRF 防护,以防止 CSRF 攻击应用程序。下面是 Spring Security CSRF 防护机制的详细解释。 ...
详解利用spring-security解决CSRF问题
08-27
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户不知情的情况下,冒充用户发起请求,...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的身份,以用户的名义发送恶意请求,造成的问题包括:个人...
SpringBoot基础 第一天
最新发布
2301_80034662的博客
08-05 375
Person类中利用ConfigurationProperties(prefix=" ")引入配置类中的元素 但是注意Person类中的类的名字必须与application.yaml中一致。如果不是标准的application.properties 是其他的Person类中需要用PropertySource来添加配置文件的路径。给容器中添加组件,将方法的返回值添加到容器中 容器中这个组件的默认ID就是方法名。的配置文件,我们自己编写的配置文件,也不能自动识别;的配置文件,让配置文件里面的内容生效;
免费【2024】springboot 二手图书交易系统的设计与实现
weixin_53646065的博客
08-05 784
随着世界经济信息化、全球化的到来和互联网的飞速发展,推动了各行业的改革。若想达到安全,快捷的目的,就需要拥有信息化的组织和管理模式,建立一套合理、动态的、交互友好的、高效的二手图书交易系统。当前的信息管理存在工作效率低,工作繁杂等问题,基于信息化的二手图书交易管理目前还没有完善的系统机制。
【过滤器 vs 拦截器】SpringBoot中过滤器与拦截器:明智选择的艺术(如何在项目中做出明智选择)
weixin_68020300的博客
07-25 1458
本文深入剖析了SpringBoot框架下过滤器与拦截器的核心差异及应用场景,指导开发者在面对请求-响应周期中的不同需求时,如何做出最佳技术选择。无论是实现安全性、日志记录,还是权限控制与数据预处理,本文都将帮助你理解何时何地使用过滤器或拦截器,以构建更加高效、可维护的Web应用程序。通过对比二者的特性与优劣,本文旨在赋能开发者,使其在实际项目中灵活运用这两种强大工具,达成项目目标。
Spring Security如何处理跨站请求伪造CSRF)攻击?
04-03
Spring Security有多种方法来处理跨站请求伪造攻击(CSRF): 1. 使用Synchronizer Token Pattern(同步令牌模式):在用户请求表单时,服务器生成一个随机的令牌并将其存储在用户的session中,然后将这个令牌作为隐藏的表单字段返回给用户。当用户提交表单时,服务器会将这个令牌与session中存储的令牌进行比较,如果一致,则允许请求通过。这种方法可以防止攻击者使用伪造的表单提交请求。 2. 使用Cookie:服务器可以在用户请求时设置一个Cookie,其中包含了一个随机生成的token,然后在表单提交时将这个token作为表单字段一起提交。服务器会对这个token进行验证,以确保它是由服务器生成的,而不是被伪造的。 3. 使用HTTP头:服务器可以在每个请求中设置一个自定义的HTTP头,然后在表单提交时将这个HTTP头一起提交。服务器会对这个HTTP头进行验证,以确保它是由服务器生成的,而不是被伪造的。 4. 关闭CSRF保护:如果应用程序不需要对CSRF进行保护,可以通过配置Spring Security来关闭CSRF保护。 总之,Spring Security提供了多种方法来防止跨站请求伪造攻击,开发人员可以根据实际情况选择合适的方法来保护应用程序安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

辞暮尔尔-烟火年年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值