利用spring-security解决CSRF问题

最新推荐文章于 2024-07-19 00:30:00 发布
最新推荐文章于 2024-07-19 00:30:00 发布
阅读量4.4w 收藏 29
点赞数 7
分类专栏: JAVA框架之路 ------【框架基础】 文章标签: csrf Spring security CsrfFilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013185616/article/details/70446392
版权

CSRF介绍

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
具体SCRF的介绍和攻击方式请参看百度百科的介绍和一位大牛的分析:

配置步骤

1.依赖jar包
<properties>
        <spring.security.version>4.2.2.RELEASE</spring.security.version>
    </properties>
<dependency>
                <groupId>org.springframework.security</groupId>
                <artifactId>spring-security-core</artifactId>
                <version>${spring.security.version}</version>
            </dependency>

            <dependency>
                <groupId>org.springframework.security</groupId>
                <artifactId>spring-security-web</artifactId>
                <version>${spring.security.version}</version>
            </dependency>

            <dependency>
                <groupId>org.springframework.security</groupId>
                <artifactId>spring-security-config</artifactId>
                <version>${spring.security.version}</version>
            </dependency>
2.web.xml配置
<filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

3.Spring配置文件配置
<bean id="csrfSecurityRequestMatcher" class="com.xxx.CsrfSecurityRequestMatcher"></bean>

    <security:http auto-config="true" use-expressions="true">
        <security:headers>
            <security:frame-options disabled="true"/>
        </security:headers>
        <security:csrf request-matcher-ref="csrfSecurityRequestMatcher" />
    </security:http>
4.自定义RequestMatcher的实现类CsrfSecurityRequestMatcher
这个类被用来自定义哪些请求是不需要进行拦截过滤的。如果配置csrf,所有http请求都被会CsrfFilter拦截,而CsrfFilter中有一个私有类DefaultRequiresCsrfMatcher。
源码1:DefaultRequiresCsrfMatcher类 
private static final class DefaultRequiresCsrfMatcher implements RequestMatcher {
        private final HashSet<String> allowedMethods;

        private DefaultRequiresCsrfMatcher() {
            this.allowedMethods = new HashSet(Arrays.asList(new String[]{"GET", "HEAD", "TRACE", "OPTIONS"}));
        }

        public boolean matches(HttpServletRequest request) {
            return !this.allowedMethods.contains(request.getMethod());
        }
    }
从这段源码可以发现,POST方法被排除在外了,也就是说只有GET|HEAD|TRACE|OPTIONS这4类方法会被放行,其它Method的http请求,都要验证_csrf的token是否正确,而通常post方式调用rest接口服务时,又没有_csrf的token,所以会导致我们的rest接口调用失败,我们需要自定义一个类对该类型接口进行放行。来看下我们自定义的过滤器:
源码2:csrfSecurityRequestMatcher类 
public class CsrfSecurityRequestMatcher implements RequestMatcher {
    private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
    private RegexRequestMatcher unprotectedMatcher = new RegexRequestMatcher("^/rest/.*", null);

    @Override
    public boolean matches(HttpServletRequest request) {
        if(allowedMethods.matcher(request.getMethod()).matches()){
            return false;
        }

        return !unprotectedMatcher.matches(request);
    }
}

说明:一般我们定义的rest接口服务,都带上 /rest/ ,所以如果你的项目中不是使用的这种,或者项目中没有rest服务,这个类完全可以省略的。
5.post请求配置
一般我们的项目中都有一个通用的jsp文件,就是每个页面都会引用的,所以我们可以在通用文件中做如下配置: 
<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>

<script>

    var token = $("meta[name='_csrf']").attr("content");
    var header = $("meta[name='_csrf_header']").attr("content");
    $.ajaxSetup({
        beforeSend: function (xhr) {
            if(header && token ){
                xhr.setRequestHeader(header, token);
            }
        }}
    );
</script>
$.ajaxSetup的意思就是给我们所有的请求都加上这个header和token,或者放到form表单中。注意, _csrf这个要与spring security的配置文件中的配置相匹配,默认为_csrf

源码解析

我们知道,既然配置了csrf,所有的http请求都会被CsrfFilter拦截到,所以看下CsrfFilter的源码就对原理一目了然了。这里我们只看具体过滤的方法即可:
源码3:CsrfFilter的doFilterInternal方法 
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        request.setAttribute(HttpServletResponse.class.getName(), response);
        CsrfToken csrfToken = this.tokenRepository.loadToken(request);
        boolean missingToken = csrfToken == null;
        if(missingToken) {//如果token为空,说明第一次访问,生成一个token对象
            csrfToken = this.tokenRepository.generateToken(request);
            this.tokenRepository.saveToken(csrfToken, request, response);
        }

        request.setAttribute(CsrfToken.class.getName(), csrfToken);
		//把token对象放到request中,注意这里key是csrfToken.getParameterName()= _csrf,所以我们页面上才那么写死。
        request.setAttribute(csrfToken.getParameterName(), csrfToken);
		
		//这个macher就是我们在Spring配置文件中自定义的过滤器,也就是GET,HEAD, TRACE, OPTIONS和我们的rest都不处理
        if(!this.requireCsrfProtectionMatcher.matches(request)) {
            filterChain.doFilter(request, response);
        } else {
            String actualToken = request.getHeader(csrfToken.getHeaderName());
            if(actualToken == null) {
                actualToken = request.getParameter(csrfToken.getParameterName());
            }

            if(!csrfToken.getToken().equals(actualToken)) {
                if(this.logger.isDebugEnabled()) {
                    this.logger.debug("Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request));
                }

                if(missingToken) {
                    this.accessDeniedHandler.handle(request, response, new MissingCsrfTokenException(actualToken));
                } else {
                    this.accessDeniedHandler.handle(request, response, new InvalidCsrfTokenException(csrfToken, actualToken));
                }

            } else {
                filterChain.doFilter(request, response);
            }
        }
    }
从源码中可以看到,通过我们自定义的过滤器以外的post请求都需要进行token验证。

本来呢,是想截图弄个案例上去的,然后通过断点看看页面和后台的传值情况....不过,我这里没法上传图片抓狂。好吧,就总结这么多吧!如果有写的不对的或者有其他问题可以留言交流。


I,Frankenstein
关注
  • 7
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
《Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法
crazy王的学习
12-27 8347
最近项目渗透测试检测出一些安全问题其中一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
spring-security-ng-cors:使用 spring-security-csrf-token-interceptor 演示 CORS 问题的示例
07-03
在这个名为 "spring-security-ng-cors" 的项目中,我们将探讨如何使用 `spring-security-csrf-token-interceptor` 解决CORS问题,以便在前后端分离的应用架构中实现跨域安全访问。 CORS 是一种允许服务器放宽同源...
一分钟理解post和put(安全与幂等角度)
小胖的博客
11-22 6819
HTTP方法的安全性和幂等性 可以认为安全的方法都是只读的方法(GET, HEAD, OPTIONS),不会改变资源状态,显然,这三个方法也是幂等的。 DELETE方法的语义表示删除服务器上的一个资源,第一次删除成功后该资源就不存在了,资源状态改变了,所以DELETE方法不具备安全特性。然而HTTP协议规定DELETE方法是幂等的,每次删除该资源都要返回状态码200 OK,服务器端要实现幂等的DE...
详解利用spring-security解决CSRF问题扫码查看CSRF介绍
dpp10683401的博客
05-30 1236
CSRF介绍 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 具体SCRF的介绍和攻击方式请参看百度百科的介绍和一位大牛的分析:CSRF百度百科浅谈CSRF攻击方式 配置步骤 1.依赖jar包 <properties> <spring.security.version>4.2.2.RELEASE</spring.s
常见漏洞之CSRF
最新发布
weixin_54799594的博客
07-19 1169
学习网络安全过程中的小笔记
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security 处理CSRF
singkingcho的专栏
12-18 1010
csrf概念 英文全称叫做: cross-site request forgery,翻译过来叫做跨站请求伪造。spring security默认情况下是开启csrf保护的。所谓的CSRF一般会在用户做了某个动作之后附加了一些额外动作。 csrf工作机制 往往是利用用户在某个系统中已经登录过,其具有一些服务器操作资源的权限,攻击者利用伪造的链接或其它骗用户完成某个操作,而这个操作会偷偷和该用户可操作的系统交互。 一个简单的示例图 如何解决 根本问题在于,我们必须要确定这个行为是不是由本身客户端发出的,而
Spring securityCSRF相关问题
Ssolitude123的博客
04-14 792
什么是CSRF CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。 一个典型的CSRF攻击有着如下的流程: 受害者登录a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了b.com。 b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.
Spring SecurityCSRF 问题解决
Damien_J_Scott的博客
12-21 1210
前后端分离项目,token出现 csrf报错 两个解决方案 第一种(推荐) 在securityConfiguration中添加禁用csrf @EnableWebFluxSecurity @EnableReactiveMethodSecurity public class SecurityConfiguration { @Bean public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity h.
Spring Security(六) —— CSRF
eyes++的博客
07-26 4140
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
spring-security-jwt-csrf:使用Spring SecuritySpring Boot和Vue js进行无状态JWT身份验证的演示
01-31
基于令牌(Spring Security, 和CSRF) 客户端构建工具 ,Webpack,npm 服务器构建工具 Gradle Безопасность( Security ) JWT令牌 ДлягенерацииипроверкиJWT以及 。 JJWT -...
spring-boot spring-security-oauth2 完整demo
11-22
Spring SecuritySpring生态下的一个安全模块,它提供了全面的安全管理解决方案,包括身份验证、授权、CSRF防护等。Spring Security的配置灵活性高,能够适应各种安全需求,而且与Spring Boot结合使用时,可以无缝...
CSRF攻击的原理和spring securityCSRF攻击的解决方法
qq_42956993的博客
11-27 4979
对于CSRF攻击的原理,直接上图然后解释一下 一个用户通过浏览器成功登录一个网站,登陆成功后,服务器会返回一个该用户的唯一标识放入浏览器Cookie中,以此作为用户之后操作的唯一凭证。假设此时该用户在此网站中请求一个表单类的网页,这时候用户又打开了另外的一个网站,而这个网站是一个病毒网站,它直接窃取了Cookie信息,当然也包括唯一身份凭证(所以为什么说cookie不推荐保存重要信息,是有原因的),通过唯一身份凭证,病毒网站直接进行用户所做的表单提交,而服务器是通过这个凭证来匹配用户信息的,服务器这时候无
csrf攻击 java_spring boot中使用spring securityfilter防止CSRF攻击
weixin_35346761的博客
02-21 475
在一个spring boot项目中,需要防止CSRF攻击,按理说应该集成spring security才对。但是不想使工程变得太复杂,这时可以只把spring security中的相关filter引入来进行。在pom中添加相关依赖org.springframework.bootspring-boot-starter-freemarkerorg.springframework.securityspr...
SpringSecurity(十)【CSRF 漏洞保护】
Vinjcent
12-25 1536
具体的操作方式就是在每一个 HTTP 请求中,除了默认自动携带的 Cookie 参数之外,再提供一个安全的、随机生成的字符串,我们称之为 CSRF 令牌。可以发现,当用户在8080正常认证身份之后,假如另外一台服务知道8080服务的转账接口,那么就会根据这个接口去操作用户的信息,这回给我们用户带来数据泄露的问题,因为都是在当前网站的 Cookie 信息识别用户。获取服务端令牌方式如下。说明:模拟场景,用户A给用户B转账,在用户A未注销之前,有人通过用户A已经认证的信息,对其进行转账给用户C的操作。
spring securitycsrf的处理
weixin_30325487的博客
12-11 229
spring boot 与spring security进行整合的时候需要考虑csrf问题。但是,有时候csrf会拦截所有的post请求,此时应该怎么办,,, 首先,我们在header.html中添加一下代码(此处的header.html可以理解为每个页面的头部,为了整合方便,将页面头部单独提取出来为header.html) <!-- CSRF --><met...
Spring Boot Security - 启用 CSRF 保护
allway2的博客
02-04 2254
在上一篇文章中,我们实现了Spring Boot Security - Password Encoding Using Bcrypt。 但到目前为止,在我们所有的示例中,我们都禁用了 CSRFCSRF 代表跨站点请求伪造。这是一种强制最终用户在当前对其进行身份验证的 Web 应用程序上执行不需要的操作的攻击。CSRF 攻击专门针对状态更改请求,而不是窃取数据,因为攻击者无法查看对伪造请求的响应。 Spring Boot 安全性 - 目录 Spring Boot + 简单的安全配置 Spr...
springsecurity处理csrf
qq_36022463的博客
03-04 186
csrf : cross site request forgery ,是一种网络攻击方式,也被称为 one-click attack 或者 session riding。spring security 默认开启 对post请求的 csrf,,发送post请求必须要携带token,,否则403不允许访问。正常提交的时候:在post提交的时候,再添加一个随机数,如果是跨站攻击,这个随机数是没有的,只有cookie,,请求会被 springsecurity 拒绝。
SpringSecurity关闭csrf拦截
Leon_Jinhai_Sun的博客
11-13 2112
然后你开开心心的输入了用户名user,密码user,就出现了如下的界面: 403什么异常?这是SpringSecurity中的权限不足!这个异常怎么来的?还记得上面SpringSecurity内置认证页面源码中的那个_csrf隐藏input吗?问题就在这了! 完整的spring-security配置如下 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/sch.
springscurity
03-08
Spring Security 是一个基于 Spring 框架的安全框架,它提供了一系列的安全服务和认证机制,可以帮助开发者实现应用程序的安全控制。它可以用于 Web 应用程序、RESTful 服务、移动应用程序等多种场景。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值