spring security下开启csrf,同时支持session.invalidate()调用

最新推荐文章于 2024-04-21 16:06:55 发布
最新推荐文章于 2024-04-21 16:06:55 发布
阅读量4k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starrrr2/article/details/50087461
版权
在Java Web项目中,配置Spring Security启用CSRF防御时,遇到HTTPS与HTTP切换导致的session问题。当用户身份验证成功并跳转到HTTP时,由于session变化,新的session缺少CSRF Token引发403错误。解决方案是在验证成功后的跳转action中更新session。此外,为应对session ID更新需求,可能需要修改Spring Security源码,确保在filterChain执行后重新添加CSRF Token到session。
摘要由CSDN通过智能技术生成

最近在做的一个java web项目,要求登录界面信息提交时使用https,登录成功后页面使用http,同时全站使用csrf防御。

然后https和http的访问会分别创建两个session,csrf的token存在于https创建的session中,当验证用户身份通过后,跳转到http进入时,新建的session中没有csrfToken,因此被403拒绝访问。

解决方法为:在身份验证成功后,跳转页面的action中加入

Cookie nck = new Cookie("JSESSIONID",request.getSession().getId());
			nck.setPath("/");
			nck.setSecure(true);
			response.addCookie(nck);
这样就可以保证跳转前后的session保持一致了。


但新的需求又来了:在某些action处理过程中,需要更新session id,可以参考《spring security 集成csrf与会话更新》,也可以修改spring security源码。

spring security的CsrfFilter.java文件中,在filterChain执行完回调后,再添加一次token到session中即可:

@Override
	protected void doFil
最低0.47元/天 解锁文章
InfoSecPractitioner
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity CSRF引发的思考Cookie、Session、Token和JWT
wdquan19851029的专栏
12-27 5264
目录 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 2.CSRF 跨站伪造请求 3.Cookie和Session 4.Cookie和Session的区别 5.什么是Token(重点) 仅仅用seesion+cookie存在的问题 【疑问?】token放在客户端哪里?客户端是怎么每次取到token的 6.JSON Web Token(JWT) Token和JWT: 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 【疑问?】浏览器对于 cookie
Spring security开启remember me功能,配置session超时,导致csrf验证失败
tof
06-25 1569
概述 当开启remember me功能,且配置session超时,当session超时后,会清空session,刷新页面可以正常实现记住我的功能,但是存放到session中的csrf token已被清空,会提示csrf校验异常,跳转到登录页面,导致remember me功能无法实现。 配置remember me + session超时 后端 public class HttpSecurityConfigurer { @Override public void configure(H
Spring SecuritySession管理
最新发布
Evan_L的博客
04-21 1402
对于UsernamePasswordAuthenticationFilter而言,SessionManagementFilter有点名不副实,因为前者登录成功后就会自己调用SessionAuthenticationStrategy。因此学习session管理,我们的重点是SessionAuthenticationStrategy。
springboot框架学习 springSecurity5的CSRF保护(cookie跨域保护)
m0_59588838的博客
05-02 2426
昨天遇到的一个毁灭性的bug,前提是我没有系统的了解springsecurity5这款安全框架,它封装管理的一些保护机制,其中导致我明明页面和对应的方法映射写的都好好的,结果就是从一个页面跳转另一个页面报出403错误,且显示得不到任何映射,这就很让我困扰,本来我以为是我controller层的方法写的有问题,做好如下的调试代码: @RequestMapping("query") public User query(String username){ System.out.pr
day1-五-SpringSecurity使用自定义认证页面
SSbandianH的博客
01-12 196
五、SpringSecurity使用自定义认证页面 5.1 在SpringSecurity主配置文件中指定认证页面配置信息 403什么异常?这是SpringSecurity中的权限不足!这个异常怎么来的?还记得上面SpringSecurity内置认证页面源 码中的那个_csrf隐藏input吗?问题就在这了! 5.2 SpringSecuritycsrf防护机制 CSRF(Cross-site request forgery)跨站请求伪造,是一种难以防范的网络攻击方式。 5.2.1
10 SpringSecurity-跨域请求伪造(CSRF)的防护
02-22 4224
一、CSRF CSRF的全称是(Cross Site Request Forgery),可译为跨域请求伪造,是一种利用用户带登录 态的cookie进行安全操作的攻击方式。CSRF实际上并不难防,但常常被系统开发者忽略,从而埋下巨 大的安全隐患。 二、攻击过程 举个例子,假设你登录了邮箱,正常情况下可以通过某个链接http:xx.mail.com/send可以发送邮件。此时你又访问了别的网站,网站中有黄色广告,点击后广告会请求http:xx.mail.com/send。此时相当于在盗版网站中调用了发送邮
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring SecurityCsrf 攻击实现代码解析 Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证...
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
spring security中的csrf防御原理(跨域请求伪造)
08-25
CSRF(Cross-Site Request Forgery,跨域请求伪造)是一种网络攻击手段,攻击者利用...同时,为了不影响用户体验,通常只在需要保护的表单中使用验证码,而Spring SecurityCSRF防护则能无声无息地保护大部分场景。
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
SpringSecurity的防Csrf攻击
qq_29860591的博客
03-02 366
CSRF(Cross-site request forgery)跨站请求伪造,也被称为One Click Attack或者Session Riding,通常缩写为CSRF或XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行...
SpringSecurity - CSRF 防御
TrustNature
10-19 821
SpringSecurity CSRF 防御,我们使用http.csrf.disable()暂时关闭掉了CSRF的防御功能,但是这样是不安全的,那么怎么样才是正确的做法呢? 整体来说,就是两个思路: 生成 csrfToken 保存在 HttpSession 或者 Cookie 中。 请求到来时,从请求中提取出来 csrfToken,和保存的 csrfToken 做比较,进而判断出当前请求是否合...
SpringSecurityCSRF漏洞保护
Littewood的博客
07-24 1624
SpringSecurityCSRF漏洞保护
Spring Boot Security - 启用 CSRF 保护
allway2的博客
02-04 2232
在上一篇文章中,我们实现了Spring Boot Security - Password Encoding Using Bcrypt。 但到目前为止,在我们所有的示例中,我们都禁用了 CSRFCSRF 代表跨站点请求伪造。这是一种强制最终用户在当前对其进行身份验证的 Web 应用程序上执行不需要的操作的攻击。CSRF 攻击专门针对状态更改请求,而不是窃取数据,因为攻击者无法查看对伪造请求的响应。 Spring Boot 安全性 - 目录 Spring Boot + 简单的安全配置 Spr...
利用spring-security解决CSRF问题
热门推荐
Frankenstein的博客
04-22 4万+
从配置到原理,一步步讲解如何利用Springsecurity框架来处理scrf问题。
Spring Security Web : HttpSessionCsrfTokenRepository
Details Inside Spring
06-23 3761
概述 介绍 HttpSessionCsrfTokenRepository是一个基于HttpSession保存csrf token的存储库实现。它具有如下能力: saveToken 保存csrf token到http session loadToken 从http session中提取csrf token generateToken 生成csrf token,值为一个随机UUID 继承关系 使...
spring security CSRF防护
aabbyyz的博客
10-22 1654
分享一下我老师大神的人工智能教程!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴! CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSR...
spring-security中的csrf防御机制
IT_LOSER的专栏
10-19 1613
目录(?)[+] 什么是csrfcsrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,
springsecurity cors和csrf
08-18
Spring Security是一个强大的安全框架,用于在Spring应用程序中实现身份验证、...综上所述,Spring Security提供了对CORS和CSRF支持,并且可以通过配置来自定义其行为。开发者可以根据具体需求进行相应的配置和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值