vue csrf认证_要学就学透彻!Spring Security 中 CSRF 防御源码解析

最新推荐文章于 2024-05-30 09:50:30 发布
最新推荐文章于 2024-05-30 09:50:30 发布
阅读量1.3k 收藏 2
点赞数
文章标签: vue csrf认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39869197/article/details/113323434
版权

今日干货

8b6f844b5aa6bab0cf1c0b913322f3ef.png刚刚发表查看: 66666 回复:666

公众号后台回复 ssm,免费获取松哥纯手敲的 SSM 框架学习干货。

上篇文章松哥和大家聊了什么是 CSRF 攻击,以及 CSRF 攻击要如何防御。主要和大家聊了 Spring Security 中处理该问题的几种办法。

今天松哥来和大家简单的看一下 Spring Security 中,CSRF 防御源码。

本文是本系列第 19 篇,阅读本系列前面文章有助于更好的理解本文:

  1. 挖一个大坑,Spring Security 开搞!
  2. 松哥手把手带你入门 Spring Security,别再问密码怎么解密了
  3. 手把手教你定制 Spring Security 中的表单登录
  4. Spring Security 做前后端分离,咱就别做页面跳转了!统统 JSON 交互
  5. Spring Security 中的授权操作原来这么简单
  6. Spring Security 如何将用户数据存入数据库?
  7. Spring Security+Spring Data Jpa 强强联手,安全管理只有更简单!
  8. Spring Boot + Spring Security 实现自动登录功能
  9. Spring Boot 自动登录,安全风险要怎么控制?
  10. 在微服务项目中,Spring Security 比 Shiro 强在哪?
  11. SpringSecurity 自定义认证逻辑的两种方式(高级玩法)
  12. Spring Security 中如何快速查看登录用户 IP 地址等信息?
  13. Spring Security 自动踢掉前一个登录用户,一个配置搞定!
  14. Spring Boot + Vue 前后端分离项目,如何踢掉已登录用户?
  15. Spring Security 自带防火墙!你都不知道自己的系统有多安全!
  16. 什么是会话固定攻击?Spring Boot 中要如何防御会话固定攻击?
  17. 集群化部署,Spring Security 要如何处理 session 共享?
  18. 松哥手把手教你在 SpringBoot 中防御 CSRF 攻击!so easy!

本文主要从两个方面来和大家讲解:

  1. 返回给前端的 _csrf 参数是如何生成的。
  2. 前端传来的 _csrf 参数是如何校验的。

1.随机字符串生成

我们先来看一下 Spring Security 中的 csrf 参数是如何生成的。

首先,Spring Security 中提供了一个保存 csrf 参数的规范,就是 CsrfToken:

public interface CsrfToken extends Serializable {
    
 String getHeaderName();
 String getParameterName();
 String getToken();

}

这里三个方法都好理解,前两个是获取 _csrf 参数的 key,第三个是获取 _csrf 参数的 value。

CsrfToken 有两个实现类,如下:

28f910d1eb844b640895bc621880bfd5.png

默认情况下使用的是 DefaultCsrfToken,我们来稍微看下 DefaultCsrfToken:

public final class DefaultCsrfToken implements CsrfToken {
    
 private final String token;
 private final String parameterName;
 private final String headerName;
 public DefaultCsrfToken(String headerName, String parameterName, String token) {
    
  this.headerName = headerName;
  this.parameterName = parameterName;
  this.token = token;
 }
 public String getHeaderName() {
    
  return this.headerName;
 }
 public String getParameterName() {
    
  return this.parameterName;
 }
 public String getToken() {
    
  return this.token;
 }
}

这段实现很简单,几乎没有添加额外的方法,就是接口方法的实现。

CsrfToken 相当于就是 _csrf 参数的载体。那么参数是如何生成和保存的呢?这涉及到另外一个类:

public interface CsrfTokenRepository {
    
 CsrfToken generateToken(HttpServletRequest request);
 void saveToken(CsrfToken token, HttpServletRequest request,
   HttpServlet
最低0.47元/天 解锁文章
weixin_39869197
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vue-csrf:一个Vue.js插件,用于获取CSRF令牌
05-25
vue-csrf 一个Vue.js插件,用于获取CSRF令牌 安装 yarn add vue-csrf 或者 npm install vue-csrf --save 用法 进口包装 import VueCsrf from 'vue-csrf' ; Vue . use ( VueCsrf ) ; 或带有选项 import VueCsrf from 'vue-csrf' ; Vue . use ( VueCsrf , { selector : 'meta[name="csrf-token"]' , // selector of csrf element with csrf-token value attribute : 'content' , //attribute of csrf-token element } ) ; 然后您可以通过下一个命令获取csrf令牌
后端SpringSecurity+vue前端axios+uni-app解决跨站点请求伪造CSRF
weixin_42739423的博客
07-03 1165
1.1.SpringSecurity配置,public class SecurityConfig extends WebSecurityConfigurerAdapter @Override protected void configure(HttpSecurity http) throws Exception { //code... http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFa
VUE django 跨域、csrf令牌问题
最新发布
qq_41710802的博客
05-30 213
使用VUE django前后分离,跨域跟django CSRF令牌是个很头疼问题,跨域问题解决方法很多,bing一下就有很多这里先略过,主要讲一下令牌用法,取消令牌检测这里有提到。
SpringSecurity解决POST方式下CSRF问题
热门推荐
学习记录和总结
04-13 1万+
SpringSecurity解决POST方式下CSRF问题
Spring Security跨站请求伪造(CSRF
猪猪神功屁
08-03 1732
spring security csrf
Spring-Boot + Spring-Security + Vue 跨域问题
Ravenq的专栏
05-19 5160
原文: http://www.aqcoder.com/post/content?id=40 最近的一个小项目使用了 Spring-Boot + Vue 的前后端分离小项目,项目虽小,也五脏俱全,有自己的用户系统,因此就有了权鉴问题。 Java 领域里有两个权鉴框架比较出名 Shiro 和 Spring Security。这里我们使用了 Spring Security。 必须要了解的概念 CSR...
spring-security-jwt-csrf:使用Spring SecuritySpring Boot和Vue js进行无状态JWT身份验证的演示
01-31
ЭтодемонстрацияаутентификациинаосноветокенасиспользованиемJSON网络令牌иCSRFSpring安全,Spring启动иVue的JS。 СтекТехнологий...
blog_java_博客vue_springboot_spring_sql_源码
10-04
个人博客网站,使用技术:SpringBoot2.2.6+thymeleaf+segmentic ui+mysql5.7代码齐全,sql 文件也在,技术比较新,建议直接下载,可以自己讲segment ui 改成 vue,本人菜不会改。补充说明:代码之前是从github上...
基于多种语言的SpringSecurity-JWT-Vue-Deom演示项目设计源码
05-24
本项目是基于多种语言的SpringSecurity-JWT-Vue-Deom演示项目设计源码,包含85个文件,其包括41个Java文件、8个Vue文件、7个PNG文件、5个JavaScript文件、4个Markdown文件、4个JPG文件、3个Gitignore文件、3个...
前后端分离 -- Spring Boot + Spring Security + Vue + ElementUI 实现用户认证
01-24
本文将深入探讨如何使用Spring Boot、Spring SecurityVue.js以及Element UI来实现用户认证功能,这些都是Java后端和前端开发的重要工具。 首先,Spring Boot是基于Spring框架的一个微服务开发工具,它简化了初始...
SpringBoot+vue+SpringSecurity电商后台管理系统(附源码
06-06
SpringBoot+Vue+SpringSecurity电商后台管理系统深度解析》 在现代互联网开发,构建一个高效、安全且易于维护的后台管理系统是至关重要的。本文将深入探讨如何利用SpringBoot、Vue.js以及SpringSecurity三大...
Springboot+Springsecurity开启csrf跨站请求防护
Nirvana069的博客
11-16 1892
如果配置了springsecrity,默认是开启的,不过大多是项目为了便利,往往会在配置将其关闭的, .csrf().disable() 不过有些业务场景单纯的认证token不能满足,需要开启csrf防护,找了很久找到了如下方法,做为记录。 配置文件(WebSecurityConfig)将 .csrf().disable()改为 .csrf().ignoringAntMatchers("XXXX").csrfTokenRepository(CookieCsrfTokenRepositor
Spring Boot Security - 启用 CSRF 保护
allway2的博客
02-04 2235
在上一篇文章,我们实现了Spring Boot Security - Password Encoding Using Bcrypt。 但到目前为止,在我们所有的示例,我们都禁用了 CSRFCSRF 代表跨站点请求伪造。这是一种强制最终用户在当前对其进行身份验证的 Web 应用程序上执行不需要的操作的攻击。CSRF 攻击专门针对状态更改请求,而不是窃取数据,因为攻击者无法查看对伪造请求的响应。 Spring Boot 安全性 - 目录 Spring Boot + 简单的安全配置 Spr...
Spring Security认证之案例的使用、MD5加密、CSRF防御
无法自律的人的博客
12-28 1765
创建自定义MD5加密类并实现@Override//对密码进行 md5 加密@Override// 通过md5校验修改@Bean// 自定义MD5加密方式:数据库的用户密码也需要更换成对应自定义MD5//MD5自定义加密方式:最后,将生成的MD5加密密码保存到数据库表CSRF跨站请求伪造)是一种利用用户已登录的身份在用户不知情的情况下发送恶意请求的攻击方式。
vue读取django接口_使用Django做后端,vue-cli前端开发时的csrf问题解决方式
weixin_30898967的博客
02-02 904
搞web开发的朋友应该对csrf并不陌生,此处也不在累述它的具体机制,以为在前后端未分离时通常后端框架会自动处理这个问题,只需要简单的将之开启即可。在之前的一段时间里,其实也并没有做前后端完全分离的项目,大部分时候仍然会使用django一类的web框架请求页面,前后端的开发分离,后端对于页面来说只是做个承载页面请求的工具,开发前端代码时通常使用gulp+webpack进行解析和打包,后端服务开启后...
Vue如何进行前端安全处理?
有我更精彩的博客
03-12 772
Vue进行前端安全处理是非常重要的,因为前端安全问题可能会导致诸如跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等安全漏洞。下面我将通过一些示例代码来演示在Vue如何进行前端安全处理。
DJANGO VUE3 跨域CSRF问题刨坑
llsixly
04-26 2499
文章目录前言1.跨域问题后台django部分第一步,安装cors的扩展包第二步,导入应用第三步,插入间件第四步,允许发送cookie第五步,设置白名单:第六步,设置允许的请求方法第七步,设置允许的其请求头第八步,测试2.CSRF问题和Cookie第一步,VUE的main.ts设置第二步,通过get请求先获取csrftoken第三步,请求带上CSRFTOKEN 前言 不行,我必须要总结一下,搞了两天,都在处理跨域的问题。 看到尤大的那句直接学VUE3就好,开始了VUE3+TS的刨坑之路,只能说不懂英语的程
vue前端 django 后端解决csrf问题,亲测有效
追梦小狂魔的博客
04-01 2701
首先是后端,用户访问首页的时候通常不会有csrf问题,在这里添加cookie from django.middleware.csrf import get_token csrf_token = get_token(request) response= render(request, "index.html") response.set_cookie('csrf_token', csrf_token) return response 这样csrf就随着cookie一起过去了 然后是axios的设置 添加请
关于前后端分离项目CSRF等一系列问题的理解小结
MSB4011的博客
07-06 698
CSRF和CORS的问题上搞了这么久,一个是因为平时工作忙,学这些东西陆陆续续的,另外也确实是因为这些个问题一环套一环,想要完全解决掉需要理解并处理很多问题同时,自己对于这个问题最终通过服务端允许跨域+前端保持相同ip的解决方式并不满意,后续将尝试使用Node.js代理的方式来解决个问题。
Vue源码解析:数据响应系统详解与双向绑定实现
本文将深入解析Vue源码的数据响应系统,通过实例分析和理论讲解来帮助读者理解这一核心机制。首先,我们回顾数据双向绑定的基本概念,即当数据发生变化时,视图自动更新,反之亦然。在Vue,这种行为主要依赖于`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值