java csrf 跨域_spring-security中的csrf防御机制(跨域请求伪造)

最新推荐文章于 2022-07-26 11:07:25 发布
最新推荐文章于 2022-07-26 11:07:25 发布
阅读量185 收藏
点赞数
文章标签: java csrf 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34237941/article/details/114514475
版权

packagecom.wangzhixuan.commons.csrf;importjava.util.UUID;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletResponse;importjavax.servlet.http.HttpSession;importcom.wangzhixuan.commons.utils.StringUtils;public final class HttpSessionCsrfTokenRepository implementsCsrfTokenRepository {private static final String DEFAULT_CSRF_PARAMETER_NAME = "_csrf";private static final String DEFAULT_CSRF_HEADER_NAME = "X-CSRF-TOKEN";private static final String DEFAULT_CSRF_TOKEN_ATTR_NAME = HttpSessionCsrfTokenRepository.class.getName().concat(".CSRF_TOKEN");private static final String DEFAULT_CACHE_URL_ATTR_NAME = HttpSessionCsrfTokenRepository.class.getName().concat(".CACHE_URL");private String parameterName =DEFAULT_CSRF_PARAMETER_NAME;private String headerName =DEFAULT_CSRF_HEADER_NAME;private String sessionAttributeName =DEFAULT_CSRF_TOKEN_ATTR_NAME;private String cacheUrlAttributeName =DEFAULT_CACHE_URL_ATTR_NAME;/** (non-Javadoc)

*

* @see org.springframework.security.web.csrf.CsrfTokenRepository#saveToken(org.

* springframework .security.web.csrf.CsrfToken,

* javax.servlet.http.HttpServletRequest, javax.servlet.http.HttpServletResponse)*/

public voidsaveToken(CsrfTokenBean token, HttpServletRequest request,

HttpServletResponse response) {if (token == null) {

HttpSession session= request.getSession(false);if (session != null) {

session.removeAttribute(this.sessionAttributeName);

}

}else{

HttpSession session=request.getSession();

session.setAttribute(this.sessionAttributeName, token);

}

}/** (non-Javadoc)

*

* @see

* org.springframework.security.web.csrf.CsrfTokenRepository#loadToken(javax.servlet

* .http.HttpServletRequest)*/

publicCsrfTokenBean loadToken(HttpServletRequest request) {

HttpSession session= request.getSession(false);if (session == null) {return null;

}return (CsrfTokenBean) session.getAttribute(this.sessionAttributeName);

}/** (non-Javadoc)

*

* @see org.springframework.security.web.csrf.CsrfTokenRepository#generateToken(javax.

* servlet .http.HttpServletRequest)*/

publicCsrfTokenBean generateToken(HttpServletRequest request) {return new CsrfTokenBean(this.headerName, this.parameterName,

createNewToken());

}privateString createNewToken() {returnUUID.randomUUID().toString();

}

@Overridepublic voidcacheUrl(HttpServletRequest request, HttpServletResponse response) {

String queryString=request.getQueryString();//被拦截前的请求URL

String redirectUrl =request.getRequestURI();if(StringUtils.isNotBlank(queryString)) {

redirectUrl= redirectUrl.concat("?").concat(queryString);

}

HttpSession session=request.getSession();

session.setAttribute(this.cacheUrlAttributeName, redirectUrl);

}

@OverridepublicString getRemoveCacheUrl(HttpServletRequest request, HttpServletResponse response) {

HttpSession session= request.getSession(false);if (session == null) {return null;

}

String redirectUrl= (String) session.getAttribute(this.cacheUrlAttributeName);if(StringUtils.isBlank(redirectUrl)) {return null;

}

session.removeAttribute(this.cacheUrlAttributeName);returnredirectUrl;

}

}

Paul Winterbottom
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring securitycsrf防御原理(请求伪造)
08-25
主要介绍了spring securitycsrf防御机制原理解析(请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity的csrf案例
weixin_46300935的博客
06-17 364
RDB快照(snapshot) 在默认情况下, Redis 将内存数据库快照保存在名字为 dump.rdb 的二进制文件。 说明:可以对 Redis 进行设置, 让它在“ N 秒内数据集至少有 M 个改动”这一条件被满足时, 自动保存一次数据集。比如说, 以下设置会让 Redis 在满足“ 60 秒内有至少有 1000 个键被改动”这一条件时, 自动保存一次数据集:# save 60 1000 //关闭RDB只需要将所有的save保存策略注释掉即可。 还可以手动执行命令生成RDB快照,进入redis
Spring Security(十四)请求伪造的防护
core815的专栏
10-15 524
一.简介 CSRF的全称是(Cross Site Request Forgery),可译为请求伪造,是一种利用用户带登录态的cookie进行安全操作的攻击方式。CSRF实际并不难防,但常常被系统开发者忽略而埋下巨大的安全隐患。 二.实战 CookieCsrfTokenRepository方式 它将CsrfToken值存储在用户的cookie内。首先,减少了服务器HttpSession存储的内存...
spring-securitycsrf防御机制(请求伪造)
weixin_33965305的博客
12-13 235
什么是csrfcsrf又称请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备...
java csrf _CSRF请求伪造
weixin_31212247的博客
02-17 526
释意:请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。你这可以这么理解CSRF攻击:攻击者盗用...
spring-security-ng-cors:使用 spring-security-csrf-token-interceptor 演示 CORS 问题的示例
07-03
Spring Security 提供了对 CORS 支持,包括通过拦截器来处理 CSRF(Cross-Site Request Forgery,请求伪造)令牌,从而确保请求的安全性。 `spring-security-csrf-token-interceptor` 是一个 Spring ...
Django请求CSRF的方法示例
01-20
web请求 1.为什么要有限制 举个例子: 1.用户登录了自己的银行页面 http://mybank.com,http://mybank.com向用户的cookie添加用户标识。 2.用户浏览了恶意页面 http://evil.com。执行了页面的恶意AJAX...
java8stream源码-spring-security-jwt:安全
06-04
java8 stream 源码 基于Spring Security, JWT, Vue的前后端分离无状态认证Demo 简介 运行展示 主页 登陆 管理员页 后端 主要展示 Spring Security 与 JWT 结合使用构建后端 API 接口。 主要功能包括登陆(如何在...
Spring Security(六) —— CSRF
eyes++的博客
07-26 4052
CSRF(Cross-siterequestforgery)请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站,向被攻击网站发送请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是的,因为外通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
spring security CSRF防护
m0_67403272的博客
04-13 456
CSRF是指请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。 我这边是spring boot项目,在启用了@EnableWebSecurity注解后,csrf保护就自动生效了。 所以在默认配置下,即便已经登录了,页面发起PATCH,POST,PUT和DEL
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
security-csrf:Security CSRF站点请求伪造)组件提供了一个CsrfTokenManager类,用于生成和验证CSRF令牌
02-05
安全组件-CSRF 安全CSRF站点请求伪造)组件提供了一个CsrfTokenManager类,用于生成和验证CSRF令牌。 资源资源 并在
csrf 生成java_java相关:详解利用spring-security解决CSRF问题
weixin_33640562的博客
02-28 358
java相关:详解利用spring-security解决CSRF问题发布于 2020-7-20|复制链接摘记: CSRF介绍CSRF(Cross-site request forgery),文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。具体SCRF的介绍和攻击方式请参看百度百科的介绍和一位大牛的分析:< ..CS...
SpringSecurity源码之CsrfFilter
吃糖不加牛奶的博客
05-03 711
SpringSecurity源码之CsrfFilter 一、是什么 org.springframework.security.web.csrf.CsrfFiltercsrf又称请求伪造,SpringSecurity会对所有post请求验证是否包含系统生成的csrf的token信息,如果不包含,则报错。起到防止csrf攻击的效果。 二、源码介绍 // // Source code recreated from a .class file by IntelliJ IDEA // (powered by Fe
java csrf攻击,Spring-Security对CSRF攻击的支持
weixin_28784019的博客
03-19 122
何时使用CSRF保护什么时候应该使用CSRF保护?我们的建议是使用CSRF保护,可以通过浏览器处理普通用户的任何请求。如果你只是创建一个非浏览器客户端使用的服务,你可能会想要禁用CSRF保护。(即所有处理来自浏览器的请求需要是CSRF保护,如果后台服务是提供API调用那么可能就要禁用CSRF保护)配置CSRF保护CSRF保护默认情况下使用Java配置启用@EnableWebSecuritypubl...
同源策略为什么可以防csrf_Spring Security 如何预防CSRF攻击?
weixin_34652034的博客
01-15 443
序言前面我们学习了 spring security 与 springmvc 的整合入门教程。spring secutity整合springboot入门spring security 使用 maven 导入汇总spring security 业界标准加密策略源码详解这一节我们来学习一下 spring security 是如何预防 CSRF 攻击的。拓展阅读web 安全系列-04-CSRF 请求伪...
SpringSecurity
孙荣达的博客
03-28 978
第一章 SpringSecurity-简介 1. 简介 https://docs.spring.io/spring-security/site/docs/4.2.10.RELEASE/guides/html5/helloworld-xml.html SpringSecurity融合Spring技术栈,提供JavaEE应 用的整体安全解决方案; Spring Security为基于Java EE的...
Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法
crazy王的学习
12-27 8304
最近项目渗透测试检测出一些安全问题其一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
springboot整合springsecurity安全框架(后端spring_security模块代码可直接使用,根据需求自定义修改)
xyouzi的博客
06-06 624
SpringSecurity简介 用户认证和用户授权 主要包含两部分:用户认证和用户授权 用户认证:进入用户登录时候,输入用户名密码,查询数据库查看是否正确,如果正确,则认证成功 用户授权:登陆了系统,登录用户可能是不同的角色,比如普通用户和管理员 springsecurity本质上就是用filter对请求的路径进行过滤 如果是基于Session,则会对cookie里的sessionId进行解析,找到服务器存储的session信息,然后判断用户是否符合请求的要求 如果是token,则解析出toke
java cookie_请求传递Cookie问题
最新发布
06-11
需要注意的是,如果使用 Spring Security 等安全框架,还需要在配置添加对请求的支持。例如,在 Spring Security ,可以添加如下配置: ``` http .cors() .and() .csrf().disable() .authorizeRequests...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值