【csrf防御】springboot项目如何防御csrf

已于 2023-06-16 14:35:04 修改
阅读量1.1k 收藏 3
点赞数 2
分类专栏: 安全 文章标签: csrf 安全 https
于 2023-06-14 18:09:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/run_boy_2022/article/details/131211069
版权

csrf介绍以及原理

CSRF(Cross-Site Request Forgery) ,通过单词简单理解就是跨站点请求伪造,用通俗简单点就是攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的操作

1、用户打开浏览器访问受信任网站A,输入用户名和密码请求登录网站A;

2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;

3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;

4、网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;

5、浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

CSRF 攻击的三个条件 :

1 . 用户已经登录了站点 A,并在本地记录了 cookie

2 . 在用户没有登出站点 A 的情况下(也就是 cookie 生效的情况下),访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。

3 . 站点 A 没有做任何 CSRF 防御

如果想详细了解,可以参考看下这些文章

什么是CSRF?如何防御CSRF攻击?知了堂告诉你 - 知乎

Web漏洞之CSRF(跨站请求伪造漏洞)详解 - 知乎

https://juejin.cn/post/7008171429845811207#comment

springboot项目怎么实现防御

这里我们没有使用spring security框架来实现,如果使用该框架来实现,可以略过此文

后端代码添加

pom文件引入依赖

     <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.7.18</version>
        </dependency>

启动类添加filter扫描

@ServletComponentScan(basePackages = {"com.filter.Referer"})
public class MyWebApplication {

    public static void main(String[] args) {
        SpringApplication.run(MyWebApplication.class, args);
    }

}

新增过滤器

工具类RedisEngine

@Component
public class RedisEngine {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;


    public void put(String key, String value, int timeout, TimeUnit unit) {
        stringRedisTemplate.opsForValue().set(key, value, timeout, unit);
    }

    public String get(String key) {
        return stringRedisTemplate.opsForValue().get(key);
    }

  public boolean containsKey(String key) {
        return stringRedisTemplate.redisTemplate.hasKey(key);
    }

}

1.新增header头部添加token机制校验

@Slf4j
@Order(value = 99)
@WebFilter(filterName = "csrfTokenFilter", urlPatterns = {"/*"})
public class CSRFTokenFilter implements Filter {

    private static final String CSRF_TOKEN_NAME = "csrfToken";
    private static final String CSRF_TOKEN_ = "_C_T_";
    @Autowired
    private RedisEngine redisEngine;

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;
 
            String csrfToken = httpRequest.getHeader(CSRF_TOKEN_NAME);
        
            if (csrfToken == null || !csrfToken.equals(redisEngine.get(CSRF_TOKEN_))) {
                Map<String, Object> rsp = new HashMap<>(2);
                rsp.put("code", 403);
                rsp.put("msg", "非法伪造访问");
                httpResponse.setCharacterEncoding("UTF-8");
                httpResponse.setContentType("application/json; charset=utf-8");
                final PrintWriter writer = httpResponse.getWriter();
                writer.write(JSON.toJSONString(rsp));
                writer.flush();
                writer.close();
                return;
            }

        chain.doFilter(httpRequest, httpResponse);
    }


}

2.新增登录生成token来验证,当然也可以通过新增获取token的接口,每次请求动态生成token

@Slf4j
@Order(value = 98)
@WebFilter(filterName = "loginSetTokenFilter", urlPatterns = {"/login"})
public class LoginSetTokenFilter implements Filter {

    private static final String CSRF_TOKEN_ = "_C_T_";

    @Autowired
    private RedisEngine redisEngine;

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        if (!redisEngine.containsKey(CSRF_TOKEN_)) {
            //设置请求头信息
            // 生成新的CSRF Token
            String csrfToken = UUID.randomUUID().toString();
            ((HttpServletRequest) req).getSession().setAttribute(CSRF_TOKEN_, csrfToken);
            redisEngine.put(CSRF_TOKEN_, csrfToken, 350, TimeUnit.MINUTES);
        }
        filterChain.doFilter(request, response);
    }
}

前端代码添加

// 获取Cookie的值
function getCookie(name) {
    var value = "; " + document.cookie;
    var parts = value.split("; " + name + "=");
    if (parts.length == 2) {
        return parts.pop().split(";").shift();
    }
}
    
 $.ajax({
             url : enableUrl,
                async : true,
                dataType : 'json',
                type : 'POST',
                headers:{
                    "csrfToken":getCookie('_C_T_')
                },
                data : {
                    'userNames' : "xxxxx"                },
                success : function(data) {
                    //todo 
                },
                error : function() {
                   //todo 
                },
    });

使用Burpsuite工具来复测

 

 看到这里,说明我们已经实现了CSRF的防御功能

如果对于使用durpsuite工具不熟悉的可以看上一篇文章

奔跑吧,小子
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot 项目使用Spring Security防护CSRF攻击实战
oscar999的专栏
11-28 947
Spring Boot项目结合Spring Security ,可以实现用户认证和用户授权。 Spring Security的用户认证可以是配置的用户、数据库的用户或者直接整合LDAP, 用户授权上可以根据角色和用户来进行授权。 综合来说, 使用Spring Boot+Spring Security 就可以很好的进行权限的管控了。除此之外, Spring Security 还提供了对CSRF、XSS等安全弱点的防护
springboot后端实现防御xSRF攻击的策略代码.zip
02-10
本包中,含有2个实现springboot后端实现防御xSRF攻击的策略代码,具体使用,还需要看您的具体场景,进行区分使用!CSRFInterceptor.java、XSRFHandlerInterceptor.java
spring boot项目怎么预防CSRF攻击
keyboard专栏
04-24 773
在Spring Boot项目中预防CSRF攻击通常涉及利用Spring Security框架提供的内置支持。Spring Security已经为CSRF提供了默认的防护措施,但根据应用的特定需求,可能需要进行一些配置调整或扩展。
Spring Boot的安全机制---Security,及其常用属性方法说明
寻码启示
06-11 787
Spring Security介绍及其常用属性方法说明。HttpSecurity和WebSecutiry的区别。
SpringBoot 如何防御 CSRF 攻击
leveretz的博客
12-29 552
SpringBoot 如何防御 CSRF 攻击
Springboot集成CSRF防攻击
hao_kkkkk的专栏
10-20 2472
springboot CSRF攻击防护
Springboot和Angular的CSRF防御
木木
09-07 1317
CSRF 是什么 跨站请求伪造 知乎解答搬运: csrf是什么. Springboot CSRF Angular CSRF Angular官方文档: cross-site-request-forgery. 在跨站请求伪造(XSRF 或 CSFR)中,攻击者欺骗用户,让他们访问一个假冒页面(例如 evil.com), 该页面带有恶意代码,秘密的向你的应用程序服务器发送恶意请求(例如 example-bank.com)。 假设用户已经在 example-bank.com 登录。用户打开一个邮件,点击里面的链接,
Springboot中的csrf问题
weixin_45582552的博客
04-12 4487
1、CSRF是什么 CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 2、CSRF攻击的本质原因 CSRF攻击是源于Web的隐式身份验证机制!Web的身份验证机制虽然可以保证一个请求是来自于某个用户...
一、Springboot安全之防CSRF攻击
热门推荐
panchang199266的博客
10-18 1万+
(一)简要介绍   跨站请求伪造(Cross-site request fogery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的WEB应用程序上执行非本意的操作的攻击方法。   举个栗子: 用户小z登录了网站A,同时打开网站B 网站B隐蔽的发送一个请求至网站A 网站A通过session、cookie等身...
Springboot+Springsecurity开启csrf跨站请求防护
Nirvana069的博客
11-16 1894
如果配置了springsecrity,默认是开启的,不过大多是项目为了便利,往往会在配置中将其关闭的, .csrf().disable() 不过有些业务场景单纯的认证token不能满足,需要开启csrf防护,找了很久找到了如下方法,做为记录。 配置文件中(WebSecurityConfig)将 .csrf().disable()改为 .csrf().ignoringAntMatchers("XXXX").csrfTokenRepository(CookieCsrfTokenRepositor
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
在 Spring Boot 项目中,可以通过引入 Spring Security 的相关依赖项来实现 CSRF 防护。 首先,在 pom 文件中添加 Spring Security 的依赖项: ```xml <groupId>org.springframework.security <artifactId>...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
Java的各种实验包括反射,算法,多线程,面试题,springboot,shiro,valid,XSS,CSRF防御
10-03
Java是一种广泛使用的面向对象的编程语言,其强大的功能和灵活性使其在软件开发领域占据着重要地位。本实验集合涵盖了多个...通过深入学习和实践,开发者不仅可以增强个人技能,还能为未来的项目开发打下坚实的基础。
使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发...
pikachu 之CSRF(跨站请求伪造)get和post型
LIU6636LIU的博客
07-23 643
pikachu 之CSRF(跨站请求伪造)get和post型
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 410
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
大坝安全监测设备有哪些主要功能?
最新发布
yyth13276363312的博客
07-24 286
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1052
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
csrf防御 示例代码
06-08
下面是一个简单的CSRF防御的示例代码: ```python from flask import Flask, request, session import secrets app = Flask(__name__) app.secret_key = secrets.token_hex(16) @app.route('/transfer', methods=['POST']) def transfer(): if 'csrf_token' not in session or session['csrf_token'] != request.form['csrf_token']: return 'Invalid CSRF token' # 执行转账操作 return 'Transfer successful' @app.route('/') def index(): session['csrf_token'] = secrets.token_hex(16) return f''' <form method="post" action="/transfer"> <input type="hidden" name="csrf_token" value="{session['csrf_token']}"> <input type="text" name="amount" placeholder="Amount"> <input type="text" name="to" placeholder="To"> <input type="submit" value="Transfer"> </form> ''' if __name__ == '__main__': app.run(debug=True) ``` 在这个示例中,我们使用了Flask框架来创建一个Web应用。当用户访问首页时,我们生成一个随机的CSRF token,并将其存储在session中。当用户提交转账请求时,我们检查请求中的CSRF token是否与session中存储的一致。如果不一致,则认为请求是非法的,转账操作将不会执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值