Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析

已于 2022-06-07 21:20:54 修改
阅读量2.4k 收藏 13
点赞数 2
分类专栏: 项目源码 文章标签: spring csrf spring boot
于 2021-12-26 00:16:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45114101/article/details/122148923
版权
本文介绍了如何在Spring Boot应用中自定义Spring Security的登录页面,并详细解释了如何开启和配置CSRF防御。在自定义登录页时,需要确保POST请求包含CSRF令牌,否则会导致登录失败。通过分析源码,理解了Spring Security CSRF保护的工作原理。
摘要由CSDN通过智能技术生成

Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析

环境Spring boot+Spring security+Thymeleaf+Maven

1.依赖

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.5.5</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <dependencies>
	 	 <!--spring security-->
	     <dependency>
	         <groupId>org.springframework.boot</groupId>
	         <artifactId>spring-boot-starter-security</artifactId>
	     </dependency>
	      <!--        模板引擎-->
	     <dependency>
	         <groupId>org.springframework.boot</groupId>
	         <artifactId>spring-boot-starter-thymeleaf</artifactId>
	     </dependency>
	     <!--        web依赖-->
	     <dependency>
	         <groupId>org.springframework.bo
最低0.47元/天 解锁文章
秃头年轻人
关注
专栏目录
SpringSecurityCSRF攻击
2201_75856701的博客
01-13 499
一些网站比如知乎、简书中的外部链接,点击之后会有提示(免责声明),此操作有风险是否继续,这便与CSRF密切相关。当然这个POST接口无法直接在浏览器中发起请求,我们需要借助PostMan来实现POST请求的发送。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?防护,这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。建好项目后,创建一个简单的HelloController.java,包含一个。项目中模拟一个按钮操作,发起。,模拟一个钓鱼网站。
Spring Boot Security - 启用 CSRF 保护
allway2的博客
02-04 2268
在上一篇文章中,我们实现了Spring Boot Security - Password Encoding Using Bcrypt。 但到目前为止,在我们所有的示例中,我们都禁用了 CSRFCSRF 代表跨站点请求伪造。这是一种强制最终用户在当前对其进行身份验证的 Web 应用程序上执行不需要的操作的攻击。CSRF 攻击专门针对状态更改请求,而不是窃取数据,因为攻击者无法查看对伪造请求的响应。 Spring Boot 安全性 - 目录 Spring Boot + 简单的安全配置 Spr...
spring security CSRF防护
aabbyyz的博客
10-22 1661
分享一下我老师大神的人工智能教程!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴! CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSR...
Spring Security 开启 CSRF 防护的流程
只有变秃 才能变强
06-04 2857
说多了都是放屁,直接看官网,这个足够,网上其它文章都是抄的官网的 https://docs.spring.io/spring-security/site/docs/4.2.0.BUILD-SNAPSHOT/reference/htmlsingle/#csrf
Spring Security中启用CSRF防护(REST版)
fxtxz2的专栏
03-13 887
REST版本的csrf防护,就是在原有的登录接口基础上面,新增一个实时随机请求头来,实现CSRF防护。
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
【基本功】 前端安全系列之二:如何防止CSRF攻击?
美团技术团队
10-11 3646
总第290篇2018年 第82篇当当当当,我是美团技术团队的程序员鼓励师美美~“基本功”专栏又来新文章了,本篇是我们前端安全系列文章的第二篇,主要聊聊前端开发过程中遇到的...
开启 CSRF 防御
Leon_Jinhai_Sun的博客
05-22 151
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http. ... formLogin() .and() .csrf(); //开启 c.
Spring Security】认证&密码加密&Token令牌&CSRF的使用详解
最新发布
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
12-21 5760
我们都知道Spring Security是做认证的,那它到底是怎么认证的呢?它是怎么将明文密码加密的呢?Token令牌的使用与CSRF跨域请求伪造是什么等等我们都不知道,但是通过这篇文章我相信你会有所了解有所收获!!!创建自定义MD5加密类并实现@Override//对密码进行 md5 加密​@Override// 通过md5校验修改@Bean// 自定义MD5加密方式:数据库中的用户密码也需要更换成对应自定义MD5//MD5自定义加密方式:最后,将生成的MD5。
SpringSecurity - CSRF 防御
TrustNature
10-19 844
SpringSecurity CSRF 防御,我们使用http.csrf.disable()暂时关闭掉了CSRF防御功能,但是这样是不安全的,那么怎么样才是正确的做法呢? 整体来说,就是两个思路: 生成 csrfToken 保存在 HttpSession 或者 Cookie 中。 请求到来时,从请求中提取出来 csrfToken,和保存的 csrfToken 做比较,进而判断出当前请求是否合...
4-SpringSecurityCSRF防护
Heartsuit的博客
12-13 376
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验SpringSecurity的各项Feature。 接着上一篇文章3-SpringSecurity自定义Form表单中的项目:spring-security-form,继续演示开启CSRF防护的场景(当时关闭了CSRF:.csrf().disable())。 依赖不变,核心依赖为Web与Thymeleaf: <dependencies> <dependency> <groupId&
HTTP系列:CSRF跨站攻击与防范
NIO4444
10-27 512
CSRF(Cross-site request forgery,跨站请求伪造)伪造请求,冒充用户在站内的正常操作,比如爬虫。 防范的方法 关键操作只接受POST请求 验证码(短信验证码) 检测Referer(header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个面链接过来的。可以伪造) Token Token要足够随机——只有这样才算不可预测 Token是一次性的,即每次请求成功后要更新Token——这样可以增加攻击难度,增...
HTTP层 —— CSRF保护
weixin_30566111的博客
10-27 157
简介 跨站请求伪造是一种通过伪装授权用户的请求来利用授信网站的恶意漏洞。Laravel 使得防止应用遭到跨站请求伪造攻击变得简单。 Laravel 自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”,该令牌用于验证授权用户和发起请求者是否是同一个人。 任何时候在 Laravel 应用中定义HTML表单,都需要在表单中引入CSRF令牌字段,这样CSRF保护中间件...
CSRF防御
代码搬运工
08-08 479
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 1 CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法...
http你不得不知道的那些事(二)--CSRF
毛瑞彬的博客
10-25 400
http你不得不知道的那些事(二)–CSRF之前分享了同源策略,这一篇开始分享web安全的东西。其中也会涉及到一些同源策略的知识,在这一篇中我就不展开讲了,如果有不清楚的,可以去看我之前写的两篇文章,http你不得不知道的那些事(一)–同源策略。以下是本篇文章的内容:CSRF:CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值