spring-security中的csrf防御机制(跨域请求伪造)

最新推荐文章于 2023-03-17 00:14:44 发布
最新推荐文章于 2023-03-17 00:14:44 发布
阅读量234 收藏
点赞数
文章标签: java 测试 runtime
原文链接:http://www.cnblogs.com/yaomajor/p/6168760.html
版权

什么是csrf?

csrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。
举个例子,用户通过表单发送请求到银行网站,银行网站获取请求参数后对用户账户做出更改。在用户没有退出银行网站情况下,访问了攻击网站,攻击网站中有一段跨域访问的代码,可能自动触发也可能点击提交按钮,访问的url正是银行网站接受表单的url。因为都来自于用户的浏览器端,银行将请求看作是用户发起的,所以对请求进行了处理,造成的结果就是用户的银行账户被攻击网站修改。
解决方法基本上都是增加攻击网站无法获取到的一些表单信息,比如增加图片验证码,可以杜绝csrf攻击,但是除了登陆注册之外,其他的地方都不适合放验证码,因为降低了网站易用性
相关介绍:
http://baike.baidu.com/view/1609487.htm?fr=aladdin

spring-servlet中配置csrf

 <!-- Spring csrf 拦截器 -->
    <mvc:interceptors>
        <mvc:interceptor>
            <mvc:mapping path="/login" />
            <bean class="com.wangzhixuan.commons.csrf.CsrfInterceptor" />
        </mvc:interceptor>
    </mvc:interceptors>

在类中声明Csrf拦截器,用来生成或去除CsrfToken

import java.io.IOException;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.wangzhixuan.commons.scan.ExceptionResolver;
import com.wangzhixuan.commons.utils.WebUtils;

/**
 * Csrf拦截器,用来生成或去除CsrfToken
 * 
 * @author L.cm
 */
public class CsrfInterceptor extends HandlerInterceptorAdapter {
    private static final Logger logger = LogManager.getLogger(ExceptionResolver.class);
    
    @Autowired 
    private CsrfTokenRepository csrfTokenRepository;
    
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        // 非控制器请求直接跳出
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        CsrfToken csrfToken = handlerMethod.getMethodAnnotation(CsrfToken.class);
        // 判断是否含有@CsrfToken注解
        if (null == csrfToken) {
            return true;
        }
        // create、remove同时为true时异常
        if (csrfToken.create() && csrfToken.remove()) {
            logger.error("CsrfToken attr create and remove can Not at the same time to true!");
            return renderError(request, response, Boolean.FALSE, "CsrfToken attr create and remove can Not at the same time to true!");
        }
        // 创建
        if (csrfToken.create()) {
            CsrfTokenBean token = csrfTokenRepository.generateToken(request);
            csrfTokenRepository.saveToken(token, request, response);
            // 缓存一个表单页面地址的url
            csrfTokenRepository.cacheUrl(request, response);
            request.setAttribute(token.getParameterName(), token);
            return true;
        }
        // 判断是否ajax请求
        boolean isAjax = WebUtils.isAjax(handlerMethod);
        // 校验,并且清除
        CsrfTokenBean tokenBean = csrfTokenRepository.loadToken(request);
        if (tokenBean == null) {
            return renderError(request, response, isAjax, "CsrfToken is null!");
        }
        String actualToken = request.getHeader(tokenBean.getHeaderName());
        if (actualToken == null) {
            actualToken = request.getParameter(tokenBean.getParameterName());
        }
        if (!tokenBean.getToken().equals(actualToken)) {
            return renderError(request, response, isAjax, "CsrfToken not eq!");
        }
        return true;
    }
    
    private boolean renderError(HttpServletRequest request, HttpServletResponse response, 
            boolean isAjax, String message) throws IOException {
        // 获取缓存的cacheUrl
        String cachedUrl = csrfTokenRepository.getRemoveCacheUrl(request, response);
        // ajax请求直接抛出异常,因为{@link ExceptionResolver}会去处理
        if (isAjax) {
            throw new RuntimeException(message);
        }
        // 非ajax CsrfToken校验异常,先清理token
        csrfTokenRepository.saveToken(null, request, response);
        logger.info("Csrf[redirectUrl]:\t" + cachedUrl);
        response.sendRedirect(cachedUrl);
        return false;
    }

    /**
     * 用于清理@CsrfToken保证只能请求成功一次
     */
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
            ModelAndView modelAndView) throws Exception {
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        // 非控制器请求直接跳出
        if (!(handler instanceof HandlerMethod)) {
            return;
        }
        CsrfToken csrfToken = handlerMethod.getMethodAnnotation(CsrfToken.class);
        if (csrfToken == null || !csrfToken.remove()) {
            return;
        }
        csrfTokenRepository.getRemoveCacheUrl(request, response);
        csrfTokenRepository.saveToken(null, request, response);
    }

}

声明Csrf过滤注解,通过标注来过滤对应的请求

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * Csrf过滤注解
 * @author L.cm
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface CsrfToken {
    boolean create() default false;
    boolean remove() default false;
}

建立实例对象(操作对象)

import java.io.Serializable;

import org.springframework.util.Assert;

public class CsrfTokenBean implements Serializable {
    private static final long serialVersionUID = -6865031901744243607L;

    private final String token;
    private final String parameterName;
    private final String headerName;

    /**
     * Creates a new instance
     * @param headerName the HTTP header name to use
     * @param parameterName the HTTP parameter name to use
     * @param token the value of the token (i.e. expected value of the HTTP parameter of
     * parametername).
     */
    public CsrfTokenBean(String headerName, String parameterName, String token) {
        Assert.hasLength(headerName, "headerName cannot be null or empty");
        Assert.hasLength(parameterName, "parameterName cannot be null or empty");
        Assert.hasLength(token, "token cannot be null or empty");
        this.headerName = headerName;
        this.parameterName = parameterName;
        this.token = token;
    }

    public String getHeaderName() {
        return this.headerName;
    }

    public String getParameterName() {
        return this.parameterName;
    }

    public String getToken() {
        return this.token;
    }

}

过滤过程中需要的仓库

package com.wangzhixuan.commons.csrf;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public interface CsrfTokenRepository {
    /**
     * Generates a {@link CsrfTokenBean}
     *
     * @param request the {@link HttpServletRequest} to use
     * @return the {@link CsrfTokenBean} that was generated. Cannot be null.
     */
    CsrfTokenBean generateToken(HttpServletRequest request);

    /**
     * Saves the {@link CsrfTokenBean} using the {@link HttpServletRequest} and
     * {@link HttpServletResponse}. If the {@link CsrfTokenBean} is null, it is the same as
     * deleting it.
     *
     * @param token the {@link CsrfTokenBean} to save or null to delete
     * @param request the {@link HttpServletRequest} to use
     * @param response the {@link HttpServletResponse} to use
     */
    void saveToken(CsrfTokenBean token, HttpServletRequest request,
            HttpServletResponse response);

    /**
     * Loads the expected {@link CsrfTokenBean} from the {@link HttpServletRequest}
     *
     * @param request the {@link HttpServletRequest} to use
     * @return the {@link CsrfTokenBean} or null if none exists
     */
    CsrfTokenBean loadToken(HttpServletRequest request);

    /**
     * 缓存来源的url
     * @param request request the {@link HttpServletRequest} to use
     * @param response the {@link HttpServletResponse} to use
     */
    void cacheUrl(HttpServletRequest request, HttpServletResponse response);

    /**
     * 获取并清理来源的url
     * @param request the {@link HttpServletRequest} to use
     * @param response the {@link HttpServletResponse} to use
     * @return 来源url
     */
    String getRemoveCacheUrl(HttpServletRequest request, HttpServletResponse response);

}

HttpSessionCsrfTokenRepository

package com.wangzhixuan.commons.csrf;

import java.util.UUID;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import com.wangzhixuan.commons.utils.StringUtils;

public final class HttpSessionCsrfTokenRepository implements CsrfTokenRepository {
    private static final String DEFAULT_CSRF_PARAMETER_NAME = "_csrf";
    private static final String DEFAULT_CSRF_HEADER_NAME = "X-CSRF-TOKEN";
    private static final String DEFAULT_CSRF_TOKEN_ATTR_NAME = HttpSessionCsrfTokenRepository.class
            .getName().concat(".CSRF_TOKEN");
    private static final String DEFAULT_CACHE_URL_ATTR_NAME = HttpSessionCsrfTokenRepository.class
            .getName().concat(".CACHE_URL");

    private String parameterName = DEFAULT_CSRF_PARAMETER_NAME;
    private String headerName = DEFAULT_CSRF_HEADER_NAME;
    private String sessionAttributeName = DEFAULT_CSRF_TOKEN_ATTR_NAME;
    private String cacheUrlAttributeName = DEFAULT_CACHE_URL_ATTR_NAME;
    
    /*
     * (non-Javadoc)
     *
     * @see org.springframework.security.web.csrf.CsrfTokenRepository#saveToken(org.
     * springframework .security.web.csrf.CsrfToken,
     * javax.servlet.http.HttpServletRequest, javax.servlet.http.HttpServletResponse)
     */
    public void saveToken(CsrfTokenBean token, HttpServletRequest request,
            HttpServletResponse response) {
        if (token == null) {
            HttpSession session = request.getSession(false);
            if (session != null) {
                session.removeAttribute(this.sessionAttributeName);
            }
        }
        else {
            HttpSession session = request.getSession();
            session.setAttribute(this.sessionAttributeName, token);
        }
    }

    /*
     * (non-Javadoc)
     *
     * @see
     * org.springframework.security.web.csrf.CsrfTokenRepository#loadToken(javax.servlet
     * .http.HttpServletRequest)
     */
    public CsrfTokenBean loadToken(HttpServletRequest request) {
        HttpSession session = request.getSession(false);
        if (session == null) {
            return null;
        }
        return (CsrfTokenBean) session.getAttribute(this.sessionAttributeName);
    }

    /*
     * (non-Javadoc)
     *
     * @see org.springframework.security.web.csrf.CsrfTokenRepository#generateToken(javax.
     * servlet .http.HttpServletRequest)
     */
    public CsrfTokenBean generateToken(HttpServletRequest request) {
        return new CsrfTokenBean(this.headerName, this.parameterName,
                createNewToken());
    }

    private String createNewToken() {
        return UUID.randomUUID().toString();
    }

    @Override
    public void cacheUrl(HttpServletRequest request, HttpServletResponse response) {
        String queryString = request.getQueryString();
        // 被拦截前的请求URL
        String redirectUrl = request.getRequestURI();
        if (StringUtils.isNotBlank(queryString)) {
            redirectUrl = redirectUrl.concat("?").concat(queryString);
        }
        HttpSession session = request.getSession();
        session.setAttribute(this.cacheUrlAttributeName, redirectUrl);
    }

    @Override
    public String getRemoveCacheUrl(HttpServletRequest request, HttpServletResponse response) {
        HttpSession session = request.getSession(false);
        if (session == null) {
            return null;
        }
        String redirectUrl = (String) session.getAttribute(this.cacheUrlAttributeName);
        if (StringUtils.isBlank(redirectUrl)) {
            return null;
        }
        session.removeAttribute(this.cacheUrlAttributeName);
        return redirectUrl;
    }

}

 

 

转载于:https://www.cnblogs.com/yaomajor/p/6168760.html

weixin_33965305
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring securitycsrf防御原理(请求伪造)
08-25
主要介绍了spring securitycsrf防御机制原理解析(请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity系列——基于SpringBoot2.7的登录接口(内有惊喜)day2-1
qq_51553982的博客
06-19 5065
这个JWT工具类是我自己写的,具体怎么使用都在README.md了 高度封装使用简单 [email protected]:giteeforsyf/jjwtutil.gitSpringBoot版本:2.7 SpringSecurity版本:5.4+ 注:SpringSecurityConfigurationAdapter已过时在准备工作我们需要准备数据库、实体类、配置、工具类等数据库设计如图: 实体类User UserMapper LoginService ResultUtil统一封装返回 LoginP
十七、Spring SecurityCSRF
booker009的博客
03-17 148
CSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。:只要网络协议,ip地址,端口任何一个不相同就是请求。客户端与服务进行交互时,由于http协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie会存放session id用来识别客户端身份的。
Spring Security CSRF 保护指南
allway2的博客
11-05 735
这可以保护我们的应用程序免受 CSRF 攻击,因为攻击者无法从自己的页面获取此令牌。我们的无状态 API 不能像我们的 MVC 配置那样添加 CSRF 令牌,因为它不会生成任何 HTML 视图。现在,如果不包含CSRF令牌,POST请求将失败,这当然意味着早期的攻击不再是一种选择。现在我们了解了CSRF攻击的样子,让我们在Spring应用程序模拟这些示例。如果我们跟踪来自此攻击者页面的请求,我们将能够发现命原始应用程序的请求。所解释的,我们需要了解我们的无状态 API 是否需要 CSRF 保护。
SpringSecurity:CSRF防护
2201_75856701的博客
01-14 199
继续演示开启CSRF防护的场景(当时关闭了CSRF:.csrf().disable())。依赖不变,核心依赖为Web与Thymeleaf从官网可以知道,CSRF防护的关键在于我们发请求时附带一个随机数(CSRF token),而这个随机数不会被浏览器自动携带(eg: Cookie就会被浏览器自动带上)。
Spring security防止请求伪造CSRF防护)
编程的本质是数学问题
07-15 5945
因为使用了spring security 安全性框架 所以spring security 会自动拦截站点所有状态变化的请求(非GET,HEAD,OPTIONS和TRACE的请求),防止请求伪造CSRF防护),即防止其他网站或是程序POST等请求本站点。 如果是POST需要在html增加这个
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Teino1978-Corp-spring-security-csrf-token-interceptor-
04-29
spring-security-csrf令牌拦截器一个AngularJS拦截器,它将在HTTP请求包含CSRF令牌标头。 它通过默认情况下对/进行AJAX HTTP HEAD调用来做到这一点,然后检索HTTP标头'X-CSRF-TOKEN'并在所有HTTP请求上设置相同...
spring-security-jwt-csrf:使用Spring Security,Spring Boot和Vue js进行无状态JWT身份验证的演示
01-31
基于令牌(Spring Security, 和CSRF) 客户端构建工具 ,Webpack,npm 服务器构建工具 Gradle Безопасность( Security ) JWT令牌 ДлягенерацииипроверкиJWT以及 。 JJWT -...
spring-security-ng-cors:使用 spring-security-csrf-token-interceptor 演示 CORS 问题的示例
07-03
介绍 该项目通过演示了 CORS 问题。
axios + spring security的问题
weixin_34392843的博客
05-28 1978
2019独角兽企业重金招聘Python工程师标准>>> ...
post 及 使用token防止csrf 攻击
热门推荐
ymark
12-30 3万+
1.利用iframe进行post提交 2.csrf的攻击和防御措施 3.使用token保护请求 4.关于webapp提交的问题
Java防攻击解决方案
懒虫一个V
06-15 4472
思路: 判断referer里的地址是否和当前的地址一致,如果不一致则说明是攻击的,否则不是 /** * 验证请求的合法性,防止攻击 * * @param request * @return */ @SuppressWarnings("rawtypes") publicstatic boolean validateRequest(HttpServletReques
后端SpringSecurity+vue前端axios+uni-app解决站点请求伪造CSRF
weixin_42739423的博客
07-03 1129
1.1.SpringSecurity配置,public class SecurityConfig extends WebSecurityConfigurerAdapter @Override protected void configure(HttpSecurity http) throws Exception { //code... http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFa
前端vue+axios与后端springboot+security整合
huadongqiang的博客
03-15 1776
文章目录前言一、依赖导入1、前端引入axios2、后端pom添加security依赖二、自定义WebSecurityConfigurerAdapter类1、创建SecurityConfig类继承WebSecurityConfigurerAdapter1.1允许1.2自定义了用户登录校验和密码加密与校验1.3spring security的认证配置1.4csrf防护配置1.引入库2.读入数据总结 前言 项目使用的springboot版本为2.3.8.RELEASE,spring security的版
java.lang.RuntimeException
it_noob的专栏
12-30 9314
今天启动项目测试接口的时候一直报这个错误,最后弄明白原来是序列化的原因 因为我在入参的时候使用了int类型 SEVERE: Exception sending context initialized event to listener instance of class org.springframework.web.context.ContextLoaderListener java.la
SpringSecurity------CSRF请求伪造(三)
豢龙先生
12-07 648
SpringSecurity------Protection Against Exploits(二)一、Cross Site Request Forgery (CSRF)二、Security HTTP Response Headers Spring Security provides protection(保护) against common exploits(漏洞). Whenever possible, the protection is enabled by default. 一、Cross Site
CRFs及其应用
渐渐遗忘的记忆
05-24 3202
CRFs及其应用 模型原理 基本思路:给定观察序列XXX,输出标识序列YYY,通过计算P(Y∣X)P(Y|X)P(Y∣X)求解最优标注序列。 CRFs和HMMs的区别: CRFs特征函数(全局特征函数)统一表示为: Fj(Y,X)=∑i=1nfj(yi−1,yi,X,i) F_j(Y,X)=\sum_{i=1}^{n}f_j(y_{i-1},y_i,X,i) Fj​(Y,X)=i=1∑n​fj...
SpringMVC token 防止表单重复提交,加上注释,帮助理解
a5601564的博客
09-10 3598
package com.framework.plugin.token; import java.lang.annotation.Retention; import java.lang.annotation.Target; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.ElementType;
security请求伪造
最新发布
12-20
# Spring SecurityCSRF防御机制可以有效防止请求伪造攻击 # 通过生成CSRF令牌并将其包含在请求,Spring Security可以验证请求是否合法 # 1. 配置Spring Security启用CSRF保护 # 在Spring Security配置类...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值