csrf java_SpringSecurity 中的 CSRF实现

最新推荐文章于 2025-03-31 10:19:00 发布
最新推荐文章于 2025-03-31 10:19:00 发布
阅读量378 收藏
点赞数
文章标签: csrf java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34704521/article/details/114492179
版权
本文介绍了CSRF的概念,以及SpringBoot中如何利用CSRFToken实现防御。SpringBoot默认开启CSRF保护,通过 CsrfFilter 和 HttpSessionCsrfTokenRepository 进行过滤和校验。当POST请求时,会生成并保存token,并在后续请求中进行比对,防止恶意操作。同时,文章提到了开启CSRF防御的配置方法和改造旧系统的注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 基础知识##

csrf就是诱导已登录过的用户在不知情的情况下,使用自己的登录凭据来完成一些不可告人之事。比如利用img标签或者script标签的src属性自动访问一些敏感api,或者是伪造一个form标签,action写的是一些敏感api,通过js自动提交表单等。

1.1 防御手段###

原则上修改功能的API,都要避免使用GET方式。然后就是两种防护手段,一个是校验referer,一个是csrftoken,前者用curl就能破,后者稍微麻烦一点点,也能破。虽然没法完美防御,但是网站这些基础功能还是要有,要不然漏扫都过不去。

2. springboot中的实现##

springboot是用的csrftoken值来实现的,就是每个post请求会生成一个token,这个值不在cookie里面,所以伪造没用,到时服务器端会进行比对,发现不一致就拒绝服务。

弊端就是改造旧系统时要每个form都要改,ajax那种post的提交也需要写额外的函数获取token在放到所有请求里面,所以这个功能要提前规划,后面再改就比较麻烦了。

和cors类似,也是用了一个filter,CsrfFilter来实现的过滤功能,底层结构是HttpSessionCsrfTokenRepository,提供了3个方法。

83708176cf37dcd8502d9b5074d08bf7.png

CsrfFilter.java

@Override

protected void doFilterInternal(HttpServletRequest request,

HttpServletResponse response, FilterChain filterChain)

throws ServletException, IOException {

request.setAttribute(HttpServletResponse.class.getName(), response);

//获取服务器保存的token

CsrfToken csrfToken = this.tokenRepository.loadToken(request);

final boolean missingToken = csrfToken == null;

//缺少token 重新生成并保存

if (missingToken) {

csrfToken = this.tokenRepository.generateToken(request);

this.tokenRepository.saveToken(csrfToken, request, response);

}

request.setAttribute(CsrfToken.class.getName(), csrfToken);

request.setAttribute(csrfToken.getParameterName(), csrfToken);

//如果url不匹配需要校验的csrf 就直接略过

if (!this.requireCsrfProtectionMatcher.matches(request)) {

filterChain.doFilter(request, response);

return;

}

//获得客户端token

String actualToken = request.getHeader(csrfToken.getHeaderName());

if (actualToken == null) {

actualToken = request.getParameter(csrfToken.getParameterName());

}

//token不匹配

if (!csrfToken.getToken().equals(actualToken)) {

if (this.logger.isDebugEnabled()) {

this.logger.debug("Invalid CSRF token found for "

+ UrlUtils.buildFullRequestUrl(request));

}

if (missingToken) {

this.accessDeniedHandler.handle(request, response,

new MissingCsrfTokenException(actualToken));

}

else {

this.accessDeniedHandler.handle(request, response,

new InvalidCsrfTokenException(csrfToken, actualToken));

}

return;

}

filterChain.doFilter(request, response);

}

然后就是tokenRepository,基本都是使用LazyCsrfTokenRepository封装了HttpSessionCsrfTokenRepository。作用就是只有在实际取token时才会保存session,节省服务器资源,HttpSessionCsrfTokenRepository实现了CsrfTokenRepository接口定义三个关于token的方法

CsrfToken generateToken(HttpServletRequest request);

void saveToken(CsrfToken token, HttpServletRequest request,

HttpServletResponse response);

CsrfToken loadToken(HttpServletRequest request);

3. 如何开启csrf防御##

csrf默认是开启的,配下忽略的url就可以了。

a7ad0aed8773819b1c8422f92ba8ee2a.png

芥末奈思
关注
实现 CSRF 攻击简单示例
weixin_33989780的博客
06-21 2549
为什么80%的码农都做不了架构师?>>> ...
java防止csrf攻击_java网页程序采用 spring 防止 csrf 攻击.
weixin_42571444的博客
02-13 491
经常开发银行的应用,在安全性方面要求比较高,在安全性保护方面,csrf 攻击是必须测试的项目之一,关于什么是 csrf 攻击,我不想多做解释,网上已经介绍够多了,可以参看 IBM Developer works 的文章 http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ 这篇文章介绍了 csrf 的危害和一般解决办法,在实际开发...
SpringSecurity的防Csrf攻击实现代码解析
08-24
主要介绍了SpringSecurity的防Csrf攻击实现代码解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
CSRF实例
七月_的博客
08-09 5484
DVWA 实例 CSRF    LOW 我们修改自己密码   然后把别人密码修改了     这是一个修改自己密码的页面   修改密码为qwe 我们修改密码   抓一下包 我们用这个包来生成一个CSRF的表单让别人去点击  (前提是别人登录状态,浏览器有cookie生成)   生成一个CSRF的表单 我们复制这个代码   在桌面新建文件  把这个html代码...
csrf-csrf实现无状态CSRF保护的强大工具
最新发布
gitblog_00403的博客
03-31 602
csrf-csrf实现无状态CSRF保护的强大工具 csrf-csrf A utility package to help implement stateless CSRF protection using the Double Submit Cookie Pattern in express. ...
Java代码实现角度探讨CSRF(未完待续)
拜占庭GeekMake的博客
07-03 4598
“图难于其易,为大于其细。天下难事,必作于易;天下大事,必作于细",出自老子的《道德经》以及韩非的《韩非子-喻老》。这句话大概意思是解决难事要从简单方面入手,做大事情要从细微角度着手。Web系统安全亦是如此,CSRF攻击已出现多年,安全从业者也提供了许多有针对性的解决方案。实际项目开发工作中,除了一些资深开发工程师,大部分程序开发人员对CSRF的具体攻击形式与原理理解还不够深入。本文将以Java
Springboot实现csrf拦截器
初学者乐园的博客
03-10 6560
Springboot实现csrf拦截器,仅供参考: /** * csrf拦截器 * */ @Component("csrfInterceptor") public class CsrfInterceptor extends HandlerInterceptorAdapter { @Autowired private Configuration configuration; ...
ss.rar_java security_spring security_springsecurity4xss
09-23
Spring Security 是 Java 开发中的一个强大且全面的安全框架,专为保护基于 Spring 的应用程序而设计。它提供了一整套的解决方案,包括身份验证、授权、会话管理以及防止常见攻击,如跨站脚本(XSS)、跨站请求伪造...
Java_Spring Security.zip
05-22
9. **Spring Boot集成**:Spring Security与Spring Boot的结合使得在Spring Boot应用中配置安全变得极其简单,只需要少量的配置即可实现强大的安全功能。 10. **自定义扩展**:Spring Security的设计允许开发者根据...
application-sexurity.zip_java security_spring security
09-24
综上所述,"application-sexurity.docx"文档很可能是关于如何使用Spring Security在Java应用程序中实现安全登录和身份验证的详细指南。通过阅读这份文档,开发者可以学习到如何设置Spring Security、配置安全策略...
spring-security-jwt-csrf:使用Spring Security,Spring Boot和Vue js进行无状态JWT身份验证的演示
01-31
基于令牌(Spring Security, 和CSRF) 客户端构建工具 ,Webpack,npm 服务器构建工具 Gradle Безопасность( Security ) JWT令牌 ДлягенерацииипроверкиJWT以及 。 JJWT -...
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
CSRF介绍与应对以及Java代码示例
dichengyan0013的博客
06-26 314
详细信息看这里:https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ 简介 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。 CSRF 攻击实例 CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限...
(三)CSRF实例
weixin_43047908的博客
04-12 617
CSRF vulnerability with no defenses 电子邮件更改功能容易受到CSRF的攻击。 通过Burp Suite代理访问流量,登录到帐户,更新电子邮件,然后在代理历史记录中查找结果请求。 构造Poc: <html> <!-- CSRF PoC - generated by Burp Suite Professional --> <body> <script>history.pushState('', '', '/')&lt
Java Spring Security 安全框架:(十七)Spring Security 中 CSRF
地球村
10-12 517
Spring Security 中 CSRF1.什么是 CSRF2.Spring Security 中 CSRF2.1 实现步骤2.1.1 编写控制器方法2.1.2 新建 login.html2.1.3 修改配置类 从刚开始说明 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护 1.什么是 CSRF CSRF(Cross-site request forgery)跨
要学就学透彻!Spring Security 中 CSRF 防御源码解析
江南一点雨的专栏
05-20 4307
上篇文章松哥和大家聊了什么是 CSRF 攻击,以及 CSRF 攻击要如何防御。主要和大家聊了 Spring Security 中处理该问题的几种办法。 今天松哥来和大家简单的看一下 Spring Security 中,CSRF 防御源码。 本文是本系列第 19 篇,阅读本系列前面文章有助于更好的理解本文: 挖一个大坑,Spring Security 开搞! 松哥手把手带你入门 Spring Security,别再问密码怎么解密了 手把手教你定制 Spring Security 中的表单登录 Spring
csrf 生成java,一种在SpirngMVC3中防御CSRF攻击的实现
weixin_39593718的博客
03-12 246
关于CSRF是什么东西,请参见我的博文:《浅析CSRF》。本文将给出一种在 SpringMVC3+Velocity 的框架下防御CSRF攻击的解决方案。主要思想参考 EYAL LUPU[1] 的解决方案,但使用Velocity宏来进行Token值的传递,而不是使用spring form标签。一、方案概要在服务器端生成私有的会话级token,使用Velocity的宏命令在客户端的Form表单中插入这...
csrf攻击 java_java网页程序采用 spring 防止 csrf 攻击 转
weixin_35215045的博客
02-21 144
银行项目开发过程中,基本都会采用 spring 框架,所以完全可以不用自己开发 filter 去拦截 csrf 攻击的请求,而直接采用实现 spring 提供的 HandlerInterceptor 来实现。 从本质上来说,这也是一个 filter.我这里就直接实现它来 防止 csrf 攻击.基本思路:1. 用户登录之后,后台程序生产一个 csrftoken 的 token ,放在 cooki...
Java代码审计安全篇-CSRF漏洞
m0_63138919的博客
03-17 1505
本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值