csrf java_SpringSecurity 中的 CSRF实现

最新推荐文章于 2023-08-17 17:00:21 发布
最新推荐文章于 2023-08-17 17:00:21 发布
阅读量336 收藏
点赞数
文章标签: csrf java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34704521/article/details/114492179
版权

1. 基础知识##

csrf就是诱导已登录过的用户在不知情的情况下,使用自己的登录凭据来完成一些不可告人之事。比如利用img标签或者script标签的src属性自动访问一些敏感api,或者是伪造一个form标签,action写的是一些敏感api,通过js自动提交表单等。

1.1 防御手段###

原则上修改功能的API,都要避免使用GET方式。然后就是两种防护手段,一个是校验referer,一个是csrftoken,前者用curl就能破,后者稍微麻烦一点点,也能破。虽然没法完美防御,但是网站这些基础功能还是要有,要不然漏扫都过不去。

2. springboot中的实现##

springboot是用的csrftoken值来实现的,就是每个post请求会生成一个token,这个值不在cookie里面,所以伪造没用,到时服务器端会进行比对,发现不一致就拒绝服务。

弊端就是改造旧系统时要每个form都要改,ajax那种post的提交也需要写额外的函数获取token在放到所有请求里面,所以这个功能要提前规划,后面再改就比较麻烦了。

和cors类似,也是用了一个filter,CsrfFilter来实现的过滤功能,底层结构是HttpSessionCsrfTokenRepository,提供了3个方法。

83708176cf37dcd8502d9b5074d08bf7.png

CsrfFilter.java

最低0.47元/天 解锁文章
芥末奈思
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
csrf 生成java_java相关:详解利用spring-security解决CSRF问题
weixin_33640562的博客
02-28 356
java相关:详解利用spring-security解决CSRF问题发布于 2020-7-20|复制链接摘记: CSRF介绍CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。具体SCRF的介绍和攻击方式请参看百度百科的介绍和一位大牛的分析:< ..CS...
java csrf防御_前后端分离架构下CSRF防御机制
weixin_39594312的博客
03-04 485
背景1、什么是CSRF攻击?这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章:如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后,便立刻收到了短信:你的银行里的钱已经转移到这个人的帐户了。2、有哪些防御方案?上面这个例子当然有点危言耸...
SpringSecurity的防Csrf攻击实现代码解析
08-24
主要介绍了SpringSecurity的防Csrf攻击实现代码解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Web安全之CSRF基本原理与实践
潘晓宇(panxiaoyu)的专栏
08-17 193
因此CSRF基本原理是:假设A网站是一个银行网站,而我是该网站的用户,当我以受信任的身份登录了该网站的时候,这时候A网站是通过cookie保留了我们的登录状态,这个时候我去登录了恶意网站B的时候,B网站就会拿到我登录A网站的cookie信息到,因此B网站就把拿到的cookie信息去重新请求A网站的接口,但是在该接口后面的参数做一些修改,因此就这样达到攻击的目的。突然点击进去,然后那个A片网站站点正好监听了银行转账的接口,它把该接口方法一个A网站页面上去,然后以img标签的形式去请求下该接口。
java-sec-code学习之CSRF
midi
08-14 376
前言 项目是java-sec-code:https://github.com/JoyChou93/java-sec-code CSRF一般指跨站请求伪造(Cross-site request forgery),当某个接口没有设置CSRF验证,点击了别人恶意的链接,可能会造成对这个接口发送相应的数据,造成某个数据被更改。 看下具体实例。 GET类型的CSRF 利用十分简单,构造一个IMG标签,加载的时候即可发送一个恶意get请求 <img src=https://blog.mi-di.cn/csrf?x
Springboot实现csrf拦截器
初学者乐园的博客
03-10 6486
Springboot实现csrf拦截器,仅供参考: /** * csrf拦截器 * */ @Component(&amp;quot;csrfInterceptor&amp;quot;) public class CsrfInterceptor extends HandlerInterceptorAdapter { @Autowired private Configuration configuration; ...
ss.rar_java security_spring security_springsecurity4xss
09-23
Spring SecurityJava 开发的一个强大且全面的安全框架,专为保护基于 Spring 的应用程序而设计。它提供了一整套的解决方案,包括身份验证、授权、会话管理以及防止常见攻击,如跨站脚本(XSS)、跨站请求伪造...
application-sexurity.zip_java security_spring security
09-24
综上所述,"application-sexurity.docx"文档很可能是关于如何使用Spring SecurityJava应用程序实现安全登录和身份验证的详细指南。通过阅读这份文档,开发者可以学习到如何设置Spring Security、配置安全策略...
Java_Spring Security.zip
最新发布
05-22
9. **Spring Boot集成**:Spring SecuritySpring Boot的结合使得在Spring Boot应用配置安全变得极其简单,只需要少量的配置即可实现强大的安全功能。 10. **自定义扩展**:Spring Security的设计允许开发者根据...
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
CSRF漏洞防御
u013520425的博客
11-15 1510
最近项目扫描到csrf漏洞,记录一下解决方法,其实很简单,就是验证请求头的referer. 第一步,写filter类 package com.zjh.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.Filt...
java csrf_Java解决CSRF问题
weixin_42512246的博客
02-12 1330
CSRF是什么?CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF可以做什么?你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账....
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5493
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
XSS和CSRF实现原理和防范方法
刘炳全的博客
09-22 965
xss脚本注入 不需要你做任何的登录,它会通过合法的操作(比如:在URL输入、在评论框输入),向你的页面注入脚本(可能是就是、HTML代码块等)。 防御: 编码:对用户输入的数据进行HTML Entity编码,把字符串换成转义字符。Encode的作用是将$var等一些字符进行转化,使得浏览器在最终输出结果上是一样的。 过滤:移除用户输入的和事件相关的水性。 CSRF跨域请求伪造 在未退出A网站的情况下访问B,B使用A的cookie去访问服务器。 防御: token,每次用户提交表.
csrf 生成java,一种在SpirngMVC3防御CSRF攻击的实现
weixin_39593718的博客
03-12 216
关于CSRF是什么东西,请参见我的博文:《浅析CSRF》。本文将给出一种在 SpringMVC3+Velocity 的框架下防御CSRF攻击的解决方案。主要思想参考 EYAL LUPU[1] 的解决方案,但使用Velocity宏来进行Token值的传递,而不是使用spring form标签。一、方案概要在服务器端生成私有的会话级token,使用Velocity的宏命令在客户端的Form表单插入这...
利用spring-security解决CSRF问题
热门推荐
Frankenstein的博客
04-22 4万+
从配置到原理,一步步讲解如何利用Springsecurity框架来处理scrf问题。
CSRF简单理解---HTTP Referer字段验证(Java实现)
澪月
02-08 1万+
CSRF攻击简单来说就是: 1.你可以通过A网站发送请求“转100块给小明”。 2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。 3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。 所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。 referer的验证原理简单来说就是: 比对HTTP请求发送的网站(re...
java使用jsp servlet来防止csrf 攻击的实现方法(二)
xyr05288的专栏
02-17 2793
解决思路: 一、编写filter拦截可能会产生CSRF漏洞的filterimport java.io.IOException; import java.util.List;import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.ser
spring securitycsrf的处理
weixin_30325487的博客
12-11 223
spring boot 与spring security进行整合的时候需要考虑csrf的问题。但是,有时候csrf会拦截所有的post请求,此时应该怎么办,,, 首先,我们在header.html添加一下代码(此处的header.html可以理解为每个页面的头部,为了整合方便,将页面头部单独提取出来为header.html) <!-- CSRF --><met...
springsecurityCSRF怎么使用
05-13
Spring Security使用CSRF可以通过以下步骤实现: 1. 在HTML表单添加CSRF令牌。 2. 配置Spring Security以启用CSRF保护。 3. 配置CSRF令牌在表单提交时如何发送到服务器。 下面是一个基本的示例: 1. 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值