一种在SpirngMVC3中防御CSRF攻击的实现

最新推荐文章于 2021-03-22 07:43:10 发布
最新推荐文章于 2021-03-22 07:43:10 发布
阅读量92 收藏
点赞数
文章标签: 测试 前端 java ViewUI
原文链接:https://my.oschina.net/boltwu/blog/413354
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

关于CSRF是什么东西,请参见我的博文:《浅析CSRF》。本文将给出一种在 SpringMVC3+Velocity 的框架下防御CSRF攻击的解决方案。主要思想参考 EYAL LUPU[1] 的解决方案,但使用Velocity宏来进行Token值的传递,而不是使用spring form标签。

一、方案概要

在服务器端生成私有的会话级token,使用Velocity的宏命令在客户端的Form表单中插入这个token;在表单提交后对,服务器端对token值进行校验,根据结果来区分该次请求是否合法:正确就放行,不正确就就阻断请求。

在这里,我们约定:凡是更新资源的操作,都通过POST向服务器端发送。这也是符合HTTP规范的约定。

二、Token生成

使用一个 CSRFTokenManager 类来进行token生成的工作,代码如下:

CSRFTokenManager.java 

package com.javan.security;

import java.util.UUID;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

/**
 * A manager for the CSRF token for a given session. The {@link #getTokenForSession(HttpSession)} should used to obtain
 * the token value for the current session (and this should be the only way to obtain the token value).
 */
public final class CSRFTokenManager {

	/**
	 * The token parameter name
	 */
	static final String CSRF_PARAM_NAME = "xToken";

	/**
	 * The location on the session which stores the token
	 */
	public final static String CSRF_TOKEN_FOR_SESSION_ATTR_NAME = CSRFTokenManager.class.getName() + ".tokenval";

	public static String getTokenForSession(HttpSession session) {
		String token = null;
		// cannot allow more than one token on a session - in the case of two requests trying to
		// init the token concurrently
		synchronized (session) {
			token = (String) session.getAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME);
			if (null == token) {
				token = UUID.randomUUID().toString();
				session.setAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME, token);
			}
		}
		return token;
	}

	/**
	 * Extracts the token value from the session
	 * 
	 * @param request
	 * @return
	 */
	public static String getTokenFromRequest(HttpServletRequest request) {
		String token = request.getParameter(CSRF_PARAM_NAME);
		if (token == null || "".equals(token)) {
			token = request.getHeader(CSRF_PARAM_NAME);
		}
		return token;
	}

	private CSRFTokenManager() {
	};
}




getTokenForSession方法用于检查HTTP session中是否存在CSRF token:存在则返回;不存在则生成并存储到session中,然后返回。

三、Token依附到Form

由于我的前端使用 Velocity 进行渲染,并且不使用 Spring form标签,所以为了将token依附到Form表单中,我使用 Velocity 的宏指令进行渲染工作。

SpringMVC 中的配置,主要是配置 Velocity Tools:

mvc-context.xml 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context"
	xmlns:p="http://www.springframework.org/schema/p" xmlns:mvc="http://www.springframework.org/schema/mvc"
	xmlns:util="http://www.springframework.org/schema/util"
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
	   		http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
	   		http://www.springframework.org/schema/context
	   		http://www.springframework.org/schema/context/spring-context-3.2.xsd
			http://www.springframework.org/schema/mvc 
			http://www.springframework.org/schema/mvc/spring-mvc-3.2.xsd
			http://www.springframework.org/schema/util 
			http://www.springframework.org/schema/util/spring-util-3.2.xsd">

	<mvc:annotation-driven />
	
	<context:component-scan base-package="com.javan.web.controller" />

	<mvc:resources mapping="/resources/**" location="/resources/"
		cache-period="31556926" />
		
	<mvc:default-servlet-handler />
	
	<!-- CSRF Interceptor handlers -->
	<mvc:interceptors>
		<bean class="com.javan.security.CSRFHandlerInterceptor" />
	</mvc:interceptors>

	<bean id="velocityConfig"
		class="org.springframework.web.servlet.view.velocity.VelocityConfigurer">
		<property name="resourceLoaderPath" value="/WEB-INF/views/" />
		<property name="velocityProperties">
			<props>
				<prop key="input.encoding">utf-8</prop>
				<prop key="output.encoding">utf-8</prop>
			</props>
		</property>
		<property name="configLocation" value="/WEB-INF/velocity.properties" />
	</bean>

	<bean id="viewResolver"
		class="org.springframework.web.servlet.view.velocity.VelocityViewResolver">
		<property name="cache" value="true" />
		<property name="contentType" value="text/html;charset=utf-8" />
		<property name="exposeSpringMacroHelpers" value="true" />
		<property name="suffix">
			<value>.vm</value>
		</property>
		<property name="toolboxConfigLocation" value="WEB-INF/toolbox.xml" />
		<property name="exposeSessionAttributes" value="true" />
	</bean>

</beans>




Toolbox.xml中定义生成 CSRF token 的 tool:

toolbox.xml 

<?xml version="1.0" encoding="UTF-8"?>
<toolbox>

<tool>
    <key>csrfTool</key>
    <scope>application</scope>
    <class>com.javan.util.CSRFTool</class>
</tool>

</toolbox>


工具类CSRFTool.java:

CSRFTool.java 

package com.javan.util;

import javax.servlet.http.HttpServletRequest;

import com.javan.security.CSRFTokenManager;

public class CSRFTool {

	public static String getToken(HttpServletRequest request) {
		return CSRFTokenManager.getTokenForSession(request.getSession());
	}

}




页面渲染CSRF token的宏命令:

macros-default.vm code view 


#**
 * CSRFToken
 * Generate a input field of type 'hidden' of token to avoid CSRF attack 
 *#
#macro( CSRFToken $id)
	#if(!$id || $id == "")
		#set($id="xToken")
	#end
	<input type="hidden" id="$id" name="xToken" value="$csrfTool.getToken($request)"/>
#end




在前端的Form表单中添加token值: 

<form id="userForm" action="/xxx.do" method="post">
  #CSRFToken()
  ...
</form>

四、验证Token

当请求提交后,在服务器端验证token值,在这里定义一个拦截器CSRFHandlerInterceptor:

CSRFHandlerInterceptor.java code view 


package com.javan.security;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import org.springframework.web.servlet.resource.DefaultServletHttpRequestHandler;

/**
 * A Spring MVC <code>HandlerInterceptor</code> which is responsible to enforce CSRF token validity on incoming posts
 * requests. The interceptor should be registered with Spring MVC servlet using the following syntax:
 * 
 * <pre>
 *   &lt;mvc:interceptors&gt;
 *        &lt;bean class="com.eyallupu.blog.springmvc.controller.csrf.CSRFHandlerInterceptor"/&gt;
 *   &lt;/mvc:interceptors&gt;
 * </pre>
 * 
 * @see CSRFRequestDataValueProcessor
 */
public class CSRFHandlerInterceptor extends HandlerInterceptorAdapter {

	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

		if (handler instanceof DefaultServletHttpRequestHandler) {
			return true;
		}

		if (request.getMethod().equalsIgnoreCase("GET")) {
			// GET - allow the request
			return true;
		} else {
			// This is a POST request - need to check the CSRF token
			String sessionToken = CSRFTokenManager.getTokenForSession(request.getSession());
			String requestToken = CSRFTokenManager.getTokenFromRequest(request);
			if (sessionToken.equals(requestToken)) {
				return true;
			} else {
				response.sendError(HttpServletResponse.SC_FORBIDDEN, "Bad or missing CSRF value");
				return false;
			}
		}
	}

}



在bean配置文件中配置: 

<!-- CSRF Interceptor handlers -->
<mvc:interceptors>
  <bean class="com.javan.security.CSRFHandlerInterceptor" />
</mvc:interceptors>



五、注意事项

如果项目web.xml中指定了error-page错误页面(比如403状态码对应的页面等),那么需要注意CSRFHandlerInterceptor拦截的问题。

如果验证成功,请求将沿着处理链继续传递;如果验证失败,请求将被暂停,发出一个HTTP 403的状态代码作为响应。但是问题来了,如果设置了error-page,Servlet 容器会先根据响应状态码将原始请求转发(forward)到具体的错误页面,然后发送到客户端浏览器。由于使用了拦截器,这次forward请求会再次被拦截,验证方法也会被触发,会再次验证失败。前端看不到403的错误提示页面。具体解决方案参见这篇文章[2]

源码已放到Github上,有需要的童鞋请移步 这里

参考资料

[1] EYAL LUPU 的解决方案: http://blog.eyallupu.com/2012/04/csrf-defense-in-spring-mvc-31.html

[2] 再谈Spring MVC中对于CSRF攻击的防御:http://blog.csdn.net/alphafox/article/details/8947117

原始地址: http://JavanLu.github.io/blog/2013/09/29/springmvc-csrf-defense/
 written by JavanLu  posted at http://JavanLu.github.io

转载于:https://my.oschina.net/boltwu/blog/413354

weixin_33890526
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF攻击防御,Web安全的第一防线
01-27
CSRF(跨站请求伪造)攻击...总之,CSRF攻击是一种严重的安全威胁,开发者应当采取多种防御措施,如Token验证、Referer检查等,确保Web应用程序的安全性。同时,定期进行安全审计和漏洞扫描是预防CSRF攻击的关键步骤。
Python Django框架防御CSRF攻击的方法分析
09-18
在Python的Web开发框架DjangoCSRF(Cross-site request forgery,跨站请求伪造)是一种常见的安全威胁,它允许攻击者通过受害者在已登录的网站上的合法身份执行恶意操作。为了保护用户免受此类攻击,Django提供...
Spring mvc拦截器防御CSRF攻击
热门推荐
jrn1012的专栏
10-07 1万+
CSRF(具体参考百度百科)       CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请
velocity 变量 获取_记录一次bug解决过程:velocity获取url的参数
weixin_39883670的博客
01-13 428
一、总结在Webx的Velocity获取url参数:$rundata.getRequest().getParameter('userId')在Webx项目,防止CSRF攻击(Cross-site request forgery,跨站请求伪造),在form表单提交要加入$!csrfToken.ajaxUniqueToken在MyBatis的mapper层,使用标签association实现对...
Spring MVCCSRF攻击防御
Sunny的专栏
08-05 3880
原文地址:http://moon-walker.iteye.com/blog/2397907,https://www.oschina.net/code/snippet_1029551_27153#45401 此文仅作为当时解决此问题记录 CSRF攻击 CSRF攻击全称为:Cross-site request forgery,直接翻译为:跨站请求伪造。直接看名称还是有点难以理解,容易跟XSS攻...
Spring MVC防止csrf攻击的拦截器示例
qq_40754259的博客
05-30 2906
package com.hikvision.cms.pms.base; import java.util.HashSet; import java.util.Set; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.co...
SpringMVC防御CSRF及XSS攻击(写的非常好)
qq_31457665的博客
08-02 1万+
本文转自:https://www.cnblogs.com/lupeng2010/p/6518053.html 最近在研究关于web网络安全的知识,本来正在整理相关的资料准备些些关于crsf及xss攻击的东西,结果搜到了这篇文章。。。。。讲的非常的好,从基本原理,到问题场景举例,再到问题解决详尽且严密。果断转了,以下是作者原文,未做改动。 本文说一下SpringMVC如...
CSRF攻击防御
02-26
根据HTTP协议,在HTTP头有一个字段叫Referer,它记录了该HTTP请求的来源地址。在通常情况下,访问一个...而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
5分钟科普CSRF攻击防御,Web安全的第一防线
02-25
一、CSRF介绍二、CSRF攻击的危害三、CSRF攻击原理及过程四、CSRF漏洞检测五、CSRF漏洞预防六、最后聊聊xssCSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常缩写为...
在SpringMVC使用拦截器(interceptor)拦截CSRF攻击
weixin_33806300的博客
11-27 710
(1)登录页面: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 <%@pageimport="java.security....
csrf 原理与解决方案
水墨江南
10-09 6406
一.CSRF是什么?   CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号...
Velocity原理探究
linuxarmsummary的专栏
03-06 1327
 一、前言常见的Java模板引擎有JSP、Freemark,Velocity。在MVC三层框架,模板引擎属于view层,实质是把model层内容展现到前台页面的一个引擎,velocity以其前后端解耦使前后台可以同时开发和其语法的简易性得到了广泛的应用,集团WebX框架就建议使用它作为模板引擎。二、原理2.1 架构介绍打开velocity的源码包,从代码结构看velocity主要包括app、co...
使用Spring拦截器拦截CSRF攻击
大漠孤烟
04-08 1597
1.使用拦截器2.拦截器写法闲着无聊:写个异常类玩儿玩儿
CSRF spring mvc 跨站请求伪造防御,使用详解--基于上篇文章
没事写代码
03-31 2135
配置Spring MVC XML<mvc:interceptors> <mvc:interceptor> <mvc:mapping path="/**"/> <!-- 定义在mvc:interceptor下面的表示是对特定的请求才进行拦截的 --> <bean class="com.dimeng.
《Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法
crazy王的学习
12-27 8312
最近项目渗透测试检测出一些安全问题其一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
Spring MVC防御CSRF、XSS和SQL注入攻击
weixin_33774615的博客
11-01 527
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRFCSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,...
java拦截csrf攻击,在SpringMVC使用拦截器(interceptor)拦截CSRF攻击
weixin_36039452的博客
03-22 635
(1)登录页面:从上面的代码可知,为了防止CSRF攻击,因此在form表单里添加了一个隐藏字段“_csrf”,其值是生成的一个随机小数(2)在SpringMVC的配置文件添加拦截器:从上面的代码知道,在这个文件添加了一个mvc:interceptors 标签,表示一系列的拦截器集合,然后下面定义了对登录时form表单提交地址“/check.html”进行拦截。下面一行的bean属性就是定义了...
CSRF spring mvc 跨站请求伪造防御
没事写代码
03-30 6435
CSRF CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
防御csrf攻击策略有哪些
最新发布
06-08
CSRF攻击是一种常见的Web应用程序安全漏洞,为了防御这种攻击,可以采取以下策略: 1. 验证HTTP Referer头:Web应用程序可以检查HTTP请求的Referer头,确保请求来自于合法的来源,但这种方法并不完全可靠,因为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值