spring-security防御csrf攻击

最新推荐文章于 2024-03-31 17:39:40 发布
最新推荐文章于 2024-03-31 17:39:40 发布
阅读量359 收藏
点赞数
文章标签: java web spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013800720/article/details/112829334
版权 
@Configuration
@EnableWebSecurity //启用web权限
@EnableGlobalMethodSecurity(prePostEnabled = true) //启用方法验证
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 定义安全策略
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        String casIsEnable = env.getProperty("cas.server.enable");
        final MyCallbackFilter callbackFilter = new MyCallbackFilter(config);
        callbackFilter.setMultiProfile(true);
        callbackFilter.setSaveInSession(true);

        if (env.getProperty("app.login.type") != null && env.getProperty("app.login.type").toLowerCase().equals("oauth")) {
            http.authorizeRequests()
                    .anyRequest().authenticated()
                    .and().exceptionHandling().authenticationEntryPoint(new Pac4jEntryPoint(config, "MyOauthClient"))
                    .and().addFilterBefore(callbackFilter, BasicAuthenticationFilter.class)
                    .addFilterAfter(new CoreFilter(), BasicAuthenticationFilter.class).cors()// 跨域设置
                    .and().csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());

        } else {
            http.authorizeRequests()
                    .anyRequest().authenticated()
                    .and()
                    .exceptionHandling()
                    .authenticationEntryPoint(new Pac4jEntryPoint(config, "CasClient"))
                    .and()
                    .addFilterBefore(callbackFilter, BasicAuthenticationFilter.class)
                    .addFilterAfter(new CoreFilter(), BasicAuthenticationFilter.class)
                    .formLogin()// 使用form表单登录
                    .and()
                    .logout().permitAll()
                    .logoutSuccessUrl(casProperties.getCasServerLogoutUrl())
                    .and()
                    .cors()// 跨域设置
                    .and().csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
                    .ignoringAntMatchers("/user/getUserInfo");
        }
    }


//    @Bean
//    public FilterRegistrationBean csrfFilter() {
//        FilterRegistrationBean registration = new FilterRegistrationBean();
//        //registration.setFilter(new CsrfFilter(new CookieCsrfTokenRepository()));
//        registration.setFilter(new CsrfFilter(new HttpSessionCsrfTokenRepository()));
//        registration.addUrlPatterns("/user/save");
//        return registration;
//    }
}

下面注如FilterRegistrationBean不需要了,因为前面csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())。其实内部也是走了csrfFilter过滤器的。

而且一般repository有3种,这里只介绍2种CookieCsrfTokenRepository和HttpSessionCsrfTokenRepository,CookieCsrfTokenRepository就是把token放在cookie种,然后前端直接从

cookie上取,HttpSessionCsrfTokenRepository就是把token放到session里,但是因为前端是不能从session取数的,所以这种方式适用于前后端不分离的项目,如果是前后端分离的项目,则需单独再出getToken的接口。

   前端现在有的ajax请求会自动将x-xsrf-token设置到请求头中,需要视前端js库版本情况而定

 

 

vitas23
关注
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证和匹配。CsrfFilter 的主要作用是保护 Web ...
编码技巧——HTTP接口安全防范CSRF攻击
娜娜米的博客
04-19 3494
​ 上一篇《编码技巧——HTTP接口安全防范CORS攻击》介绍了同源策略、跨域、CORS,本篇介绍下CRSF漏洞及常用服务端解决方案; 思考一个问题:如果你说 同源策略SOP 就是“禁止跨域请求”,这也不完全准确,因为本质上 SOP 并不是禁止跨域请求,而是在请求后拦截了请求的回应。因此——这就会引起CSRF漏洞,即被恶意网站模拟的、带上了cookies(虽然由于SOP策略读不到cookies信息)的、非用户预期的请求,已经打到了服务端的接口上!
Spring Security自定义认证异常和授权异常
程序三两行
07-27 4251
Spring security中默认提供的异常处理器不一定满足项目的需求,那这时一般都会在Spring Security 的 自定义配置类( WebSecurityConfigurerAdapter )中使用HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。AuthenticationEntryPoint 该类用来统一处理 AuthenticationException 异常。
Spring Security Web : HttpSessionCsrfTokenRepository
Details Inside Spring
06-23 3771
概述 介绍 HttpSessionCsrfTokenRepository是一个基于HttpSession保存csrf token的存储库实现。它具有如下能力: saveToken 保存csrf token到http session loadToken 从http session中提取csrf token generateToken 生成csrf token,值为一个随机UUID 继承关系 使...
Spring Security —漏洞防护—跨站请求伪造(CSRF
深圳市多克创新科技有限公司
10-25 865
Spring Security —漏洞防护—跨站请求伪造(CSRF
Spring Security CSRF防御&源码分析
Charge8的博客
01-14 3662
Spring Security CSRF防御&源码分析
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
spring-security.zip
05-26
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,用于保护基于JavaWeb应用程序。这个名为"spring-security.zip"的压缩包很可能包含了Spring Security的相关源码、配置示例、文档和其他相关...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
要学就学透彻!Spring Security 中 CSRF 防御源码解析,Java经典排序算法
最新发布
2401_83621634的博客
03-31 916
虽然我个人也经常自嘲,十年之后要去成为外卖专员,但实际上依靠自身的努力,是能够减少三十五岁之后的焦虑的,毕竟好的架构师并不多。架构师,是我们大部分技术人的职业目标,一名好的架构师来源于机遇(公司)、个人努力(吃得苦、肯钻研)、天分(真的热爱)的三者协作的结果,实践+机遇+努力才能助你成为优秀的架构师。如果你也想成为一名好的架构师,那或许这份Java成长笔记你需要阅读阅读,希望能够对你的职业发展有所帮助。
Web安全之CSRF
qq_42751192的博客
08-22 155
CSRF 是跨站请求伪造,也被称为 One Click Attack 或者 Session Riding ,通常缩写为 CSRF 或者 XSRF ,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同, XSS 利用站点内的信任用户,而 CSRF 则通过伪装来自受信任用户的请求来利用受信任的网站。与 XSS 攻击相比, CSRF 攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比 XSS 更具危险性。
web安全之CSRF
weixin_54584489的博客
04-13 114
CSRF(Cross-site request forgery跨站请求伪造),是指用户在登录某个正规网站的同时,访问黑客精心设置的危险网站,被黑客截取登录状态进行跨站请求,其主要原理是利用了网站对用户浏览器的信任。使用插件还是没能成功,查阅资料得知攻击页面获取修改密码页面的token这一步属于跨域请求,浏览器已经禁止这么做了。打开新页面修改对应URL信息,发现成功修改密码(这里我们可以看到网站已经是信任浏览器的)。查看源码分析发现,加了reffer验证。查看源码,发现加了口令验证。
SpringSecurity - CSRF 防御
TrustNature
10-19 842
SpringSecurity CSRF 防御,我们使用http.csrf.disable()暂时关闭掉了CSRF防御功能,但是这样是不安全的,那么怎么样才是正确的做法呢? 整体来说,就是两个思路: 生成 csrfToken 保存在 HttpSession 或者 Cookie 中。 请求到来时,从请求中提取出来 csrfToken,和保存的 csrfToken 做比较,进而判断出当前请求是否合...
CSRF 详情讲解 !!!
weixin_52834606的博客
09-05 3237
CSRF 详解 ! spring security 攻击
跨站点请求伪造(CSRF攻击)漏洞原理和解决指南
日拱一卒无有尽,功不唐捐终入海
12-15 9336
跨站点请求伪造(CSRF)是一种常见的Web安全漏洞,攻击者利用该漏洞可以以被攻击用户的身份执行未经授权的操作。下面是CSRF攻击的原理:1. 用户登录网站:用户在一个网站上登录,并获取了有效的会话凭证(如Cookie)。2. 攻击者准备攻击页面:攻击者准备一个恶意网页,该网页会在用户浏览器中加载并执行。3. 用户访问恶意网页:用户在登录网站后,访问了攻击者准备的恶意网页,该网页中包含了攻击者构造的恶意请求。
SpringSecurity登录验证没有权限的问题(403)
热门推荐
Memory_2020的博客
07-14 1万+
SpringSecurity登录验证被拦截没有权限的问题
SpringSecurity(10)——Csrf防护
peng_gx的博客
01-20 1860
SpringSecurity Csrf防护
Spring Security 中的 CSRF 攻击是什么?如何防止它?
u013749113的博客
05-24 1559
CSRF 攻击是一种常见的网络安全威胁,可以通过欺骗用户向目标站点发送恶意请求,从而达到攻击目的。SpringSecurity 提供了多种方式来防范 CSRF 攻击,其中最常用的方式是使用 CSRF Token 和 SameSite Cookie。CSRF Token 可以在每个页面中嵌入一个唯一的 Token 值,然后在用户发送请求时,将这个 Token 值一并发送到服务器端进行验证。
Spring Security CSRF防御详解与实现
Spring Security中的CSRF防御原理涉及到了一项关键的安全措施,用于防止跨域请求伪造(Cross-Site Request Forgery, CSRF)攻击CSRF是一种网络攻击手段,攻击者利用用户已登录的会话,伪装成用户在用户不知情的情况...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值