Spring Security 中的 CSRF 攻击是什么?如何防止它?

最新推荐文章于 2024-04-29 17:13:56 发布
最新推荐文章于 2024-04-29 17:13:56 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: Java 教程 文章标签: spring csrf java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013749113/article/details/130833693
版权

Spring Security 中的 CSRF 攻击是什么?如何防止它?

什么是 CSRF 攻击?

CSRF(Cross-Site Request Forgery)攻击是一种常见的网络安全威胁,也称为“跨站请求伪造”攻击。攻击者可以通过某些手段,欺骗用户在不知情的情况下向目标网站发送请求,达到攻击目的。例如,攻击者可以制作一个精心设计的网页,诱骗用户点击其中的链接,这个链接会向目标网站发送恶意请求,如果用户在登录状态下,则攻击者就可以使用用户的身份信息进行一些恶意操作,例如转移资金、修改个人信息等。

Spring Security 是一个强大的安全框架,可以帮助开发者防范 CSRF 攻击。本文将介绍 CSRF 攻击的原理和如何使用 Spring Security 防范 CSRF 攻击。

在这里插入图片描述

CSRF 攻击的原理

在了解如何防范 CSRF 攻击之前,我们需要先了解攻击的原理。CSRF 攻击的原理是利用用户在访问某个站点时已经登录的身份,然后在用户不知情的情况下向该站点发送请求。攻击者会制作一个伪造的请求,这个请求会包含一些需要执行的操作,例如转账、修改用户信息等。然后攻击者会把这个请求放到一个精心制作的网页中,并诱骗用户点击。当用户点击这个网页时,就会向目标站点发送恶意请求,完成攻击。

如何防止 CSRF 攻击?

Spring Security 提供了多种方式来防止 CSRF 攻击。下面我们将介绍其中的两种方式。

1. CSRF Token

CSRF Token 是一种防范 CSRF 攻击的常用方法。其原理是在每个页面中嵌入一个唯一的 Token 值,然后在用户发送请求时,将这个 Token 值一并发送到服务器端。服务器端会验证这个 Token 值的正确性,如果不正确,则拒绝请求。

Spring Security 提供了一个 CSRF Token 的实现,可以在 Spring Security 的配置文件中开启 CSRF 保护,同时将 Token 值嵌入到页面中。下面是一个示例代码:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf()
            .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
            .and()
            .authorizeRequests()
            .antMatchers("/login").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/login")
            .defaultSuccessUrl("/")
            .and()
            .logout()
            .logoutSuccessUrl("/login");
    }
}

在上面的代码中,我们使用了 CookieCsrfTokenRepository 来生成 CSRF Token,并将其嵌入到页面中。另外,我们还使用了 withHttpOnlyFalse() 方法来确保这个 Token 可以被 JavaScript 访问。

在页面中,我们可以使用 Thymeleaf 模板引擎来访问 CSRF Token。下面是一个示例代码:

<form th:action="@{/transfer}" th:object="${transferForm}" method="post">
    <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>
    <label>转账金额:</label>
    <input type="text" th:field="*{amount}"/>
    <button type="submit">转账</button>
</form>

在上面的代码中,我们使用了 Thymeleaf 的 th:nameth:value 属性来访问 CSRF Token,并将其作为一个隐藏的表单域嵌入到页面中。

2. SameSite Cookie

SameSite Cookie 是一种新的防范 CSRF 攻击的方法。其原理是在 Cookie 中设置 SameSite 属性,这个属性可以控制 Cookie 的跨站访问行为。当设置为 Strict 时,Cookie 只能在同一站点内使用,不能在跨站请求中使用。当设置为 Lax 时,Cookie 可以在同一站点的 GET 请求中使用,但不能在跨站 POST 请求中使用。

在 Spring Security 中,可以通过设置 Cookie 的 SameSite 属性来防范 CSRF 攻击。下面是一个示例代码:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/login").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/login")
            .defaultSuccessUrl("/")
            .and()
            .logout()
            .logoutSuccessUrl("/login")
            .deleteCookies("JSESSIONID")
            .and()
            .sessionManagement()
            .maximumSessions(1)
            .sessionRegistry(sessionRegistry())
            .and()
            .and()
            .rememberMe()
            .key("uniqueAndSecret")
            .tokenValiditySeconds(86400)
            .and()
            .httpOnly()
            .and()
            .sameSite(CookieHttpSessionStrategy.SameSite.NONE.getValue());
    }
}

在上面的代码中,我们使用了 sameSite(CookieHttpSessionStrategy.SameSite.NONE.getValue()) 方法来设置 Cookie 的 SameSite 属性为 None,这意味着 Cookie 可以在任何站点中使用。

同时,我们还设置了其他安全措施,例如删除 JSESSIONID Cookie、限制会话数、使用 Remember-Me 功能等,以提高应用程序的安全性。

总结

CSRF 攻击是一种常见的网络安全威胁,可以通过欺骗用户向目标站点发送恶意请求,从而达到攻击目的。SpringSecurity 提供了多种方式来防范 CSRF 攻击,其中最常用的方式是使用 CSRF Token 和 SameSite Cookie。CSRF Token 可以在每个页面中嵌入一个唯一的 Token 值,然后在用户发送请求时,将这个 Token 值一并发送到服务器端进行验证。SameSite Cookie 则是在 Cookie 中设置 SameSite 属性,控制 Cookie 的跨站访问行为,从而防范 CSRF 攻击。

在代码实现方面,我们可以使用 Spring Security 的配置文件来开启 CSRF 保护和 SameSite Cookie,使用 Thymeleaf 模板引擎来访问 CSRF Token,并将其作为一个隐藏的表单域嵌入到页面中。同时,我们还可以设置其他安全措施,例如删除 JSESSIONID Cookie、限制会话数、使用 Remember-Me 功能等,以提高应用程序的安全性。

综上所述,使用 Spring Security 防范 CSRF 攻击可以有效地提高应用程序的安全性,保护用户的个人信息和资产安全。

2013crazy
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
csrf漏洞防御方案_SpringSecurity框架实现CSRF跨站攻击防御
weixin_39867296的博客
12-21 244
一、什么是CSRF很多朋友在学习Spring Security的时候,会将CORS(跨站资源共享)和CSRF(跨站请求伪造)弄混,以为二者是一回事。其实不是,先解释一下:CORS(跨站资源共享)是局部打破同源策略的限制,使在一定规则下HTTP请求可以突破浏览器限制,实现跨站访问。CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发广泛存在。当我们使用Spring Secu...
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
主要介绍了使用SpringSecurity处理CSRF攻击的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring securityCSRF攻击
weixin_34390105的博客
03-15 501
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity - CSRF 防御
TrustNature
10-19 796
SpringSecurity CSRF 防御,我们使用http.csrf.disable()暂时关闭掉了CSRF防御功能,但是这样是不安全的,那么怎么样才是正确的做法呢? 整体来说,就是两个思路: 生成 csrfToken 保存在 HttpSession 或者 Cookie 。 请求到来时,从请求提取出来 csrfToken,和保存的 csrfToken 做比较,进而判断出当前请求是否合...
Spring Security防护CSRF功能
花&败
07-18 2576
CSRF是什么? CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF的原理 下图简单阐述了CSRF攻击的思想:
spring-securitycsrf防御机制(跨域请求伪造)
weixin_33965305的博客
12-13 234
什么是csrfcsrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备...
Spring Security(六) —— CSRF
eyes++的博客
07-26 3918
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
SpringSecurityCSRF
ybb_ymm的专栏
04-15 967
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
SpringSecurity(十)【CSRF 漏洞保护】
Vinjcent
12-25 1424
具体的操作方式就是在每一个 HTTP 请求,除了默认自动携带的 Cookie 参数之外,再提供一个安全的、随机生成的字符串,我们称之为 CSRF 令牌。可以发现,当用户在8080正常认证身份之后,假如另外一台服务知道8080服务的转账接口,那么就会根据这个接口去操作用户的信息,这回给我们用户带来数据泄露的问题,因为都是在当前网站的 Cookie 信息识别用户。获取服务端令牌方式如下。说明:模拟场景,用户A给用户B转账,在用户A未注销之前,有人通过用户A已经认证的信息,对其进行转账给用户C的操作。
从原理到实践,深入解析Spring SecurityCSRF保护机制
hunterzhang86的博客
05-14 969
随着Web应用程序的普及和发展,网络攻击成为了一个严重的问题。其CSRF(Cross-Site Request Forgery)攻击是一种非常常见的攻击方式。攻击者可以利用这种漏洞欺骗用户执行恶意操作,如恶意转账、修改用户信息等。为了提高应用程序的安全性,我们必须采取措施保护Web应用程序,其之一就是CSRF保护机制。本文将介绍Spring SecurityCSRF保护机制,并提供一些示例和实践建议,以帮助开发人员实现更安全的Web应用程序。
SpringSecurityCSRF、环境配置、授权、认证功能、记住我功能实现
m0_73976305的博客
06-08 791
SpringSecurity CSRF跨站请求伪造攻击 开发环境搭建 认证 直接认证 使用数据库认证 自定义登录界面 授权 基于角色的授权 基于权限的授权 使用注解判断权限 记住我 SecurityContext
详解如何在spring boot使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity的防Csrf攻击实现代码解析
08-24
主要介绍了SpringSecurity的防Csrf攻击实现代码解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring securitycsrf防御原理(跨域请求伪造)
08-25
主要介绍了spring securitycsrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Spring AI 抢先体验,5 分钟玩转 Java AI 应用开发
最新发布
阿里巴巴云原生的博客
04-29 747
Spring Cloud Alibaba AI 以 Spring AI 为基础,并在此基础上提供阿里云通义系列大模型全面适配,让用户在 5 分钟内开发基于通义大模型的 Java AI 应用。
springboot集成-mybatis-puls
csy08845的博客
04-29 115
Spring Boot集成MyBatis Plus是一个相对简单的过程,MyBatis Plus是一个MyBatis的增强工具,它简化了CRUD操作,并且提供了一些额外的功能,比如性能优化、自动填充等。3.配置MyBatis Plus:通常,MyBatis Plus的配置与MyBatis类似,不需要额外的配置,因为它会自动配置。6.使用Mapper:在你的Service注入Mapper,并使用它。7.配置扫描:确保Spring Boot扫描到你的Mapper接口。
SpringBoot项目打包分离高阶操作
Record Little
04-23 733
虽然传输jar包 比较大,但是安全性、稳定性比较高,不需要关注pom.xml 添加了新的依赖、更新了版本号等等影响版本功能的操作。关注maven的特性, profiles即可满足, 根据不同的activation 状态,激活不同的build操作。每次修改一小部分代码或仅仅更新某个依赖jar包时,都需要重新进行整个项目的构建、打包、上传和部署。但是当你的项目趋于稳定,只有业务上的逻辑变更时,如果使用分离版本,可以加快迭代、更新的速度。弊端: 需要配置IDE命令,修改依赖时需要同时修改2处。
mysql-connector-javaspring-boot-starter-jdbc和mybatis-spring-boot-start
xzy的博客
04-23 1030
JDBC是使用java语言操作mysql数据库的规范,java语言必须按照这个规范写才可以操作mysql数据库。
springsecurityCSRF怎么使用
05-13
Spring Security提供了防止跨站点请求伪造(CSRF攻击的机制。在Spring Security使用CSRF可以通过以下步骤实现: 1. 在HTML表单添加CSRF令牌。 2. 配置Spring Security以启用CSRF保护。 3. 配置CSRF令牌在表单提交时如何发送到服务器。 下面是一个基本的示例: 1. 在HTML表单添加CSRF令牌 在表单添加CSRF令牌可以防止攻击者向服务器发送伪造的请求。可以使用Spring Security的标签库来添加CSRF令牌。以下是一个示例: ```html <form method="post" action="/process-form"> <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" /> <!-- 其他表单元素 --> <button type="submit">Submit</button> </form> ``` 在这个例子,我们使用了隐藏的输入字段来存储CSRF令牌,并使用Spring Security的EL表达式来生成令牌名称和值。 2. 配置Spring Security以启用CSRF保护 要启用Spring SecurityCSRF保护,需要配置一个CsrfTokenRepository。以下是一个示例: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); } } ``` 在这个例子,我们使用了CookieCsrfTokenRepository作为CsrfTokenRepository。这个仓库将生成一个CSRF令牌,并将其存储在一个cookie,这个cookie会在每个请求发送回服务器。 3. 配置CSRF令牌在表单提交时如何发送到服务器 当表单被提交时,需要将CSRF令牌发送回服务器。可以使用以下代码片段来从页面的隐藏字段提取CSRF令牌,并在表单提交时将其发送回服务器: ```javascript $(function () { var csrfToken = $("meta[name='_csrf']").attr("content"); var csrfHeader = $("meta[name='_csrf_header']").attr("content"); $(document).ajaxSend(function(e, xhr, options) { xhr.setRequestHeader(csrfHeader, csrfToken); }); }); ``` 在这个例子,我们使用了jQuery来提取页面CSRF令牌,并将其作为请求头发送回服务器。 以上是一个基本的Spring Security使用CSRF的示例。如果需要更高级的配置,可以参考Spring Security的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

2013crazy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值