诚之和:Spring Security 的内容安全策略随机数

最新推荐文章于 2024-08-24 11:39:59 发布
最新推荐文章于 2024-08-24 11:39:59 发布
阅读量355 收藏 1
点赞数
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45378258/article/details/120414415
版权
本文探讨了Spring Security的内容安全策略(CSP),强调了CSP在网络安全中的重要性,以及如何通过动态构建策略字符串来增强其安全性。由于静态CSP策略无法满足动态生成随机数的需求,文章介绍了如何定义一个CSPnonce过滤器,并结合Spring Security进行配置,以确保每个请求的随机数不同。同时,文章提到了内联JavaScript的风险,并提供了在必要时使用内联脚本的方法。
摘要由CSDN通过智能技术生成

Content-Security-Policy​对网络安全很重要。然而,它还不是主流,它的语法很难,它相当令人望而却步,工具很少对其提供灵活的支持。

虽然 Spring Security 确实有一个内置的内容安全策略 (CSP) 配置,但它允许您指定策略字符串,而不是动态构建它。在某些情况下,您需要的不止这些。

特别是,CSP 不鼓励用户使用内联 javascript,因为它引入了漏洞。如果你真的需要它,你可以使用​unsafe-inline​,但这是一个糟糕的方法,因为它否定了 CSP 的全部意义。该页面上显示的替代方法是使用​hash​或​nonce​。

如果您使用​.and().headers().contentSecurityPolicy(policy). ​策略字符串是静态的,因此您无法为每个请求生成随机数。拥有静态随机数是没有用的。首先,您定义一个 CSP nonce 过滤器:

public class CSPNonceFilter extends GenericFilterBean {
    private static final int NONCE_SIZE = 32; //recommended is at least 128 bits/16 bytes
    private static final String CSP_NONCE_ATTRIBUTE = "cspNonce";
 
    private SecureRandom secureRandom = new SecureRandom();
 
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, Filte
最低0.47元/天 解锁文章
weixin_45378258
关注
专栏目录
内容安全性-具有spring安全性的策略
码农研习社
03-30 564
虽然SpringSecurity可以通过内置内容安全策略(CSP)配置,但它默认将配置策略指定为字符串配置,而不是动态构建它。但是在有些情况下,我们需要更灵活的配置方式。 特别是,CSP阻止用户使用内联javascript,因为它引入了漏洞。如果你真的需要它,你可以用unsafe-inline但这是一个糟糕的方法,因为它否定了CSP的全部观点。在该页上提供的替代方法是使用hash或nonce. 如果您使用的是.and().headers().contentSecurityPolicy(policy)。策
Spring Security配置内容安全策略
Nicky's blog
05-27 6202
内容安全策略Content Security Policy,简称CSP,内容安全策略是一种安全机制,开发着可以通过HTTP 响应标头,可显著减少现代浏览器中的 XSS、Clickjacking 等代码注入攻击。CSP通过W3C WebApplication Security Working Group发布标准
普通项目解决跨域问题,springSecurity解决跨域问题以及文件配置
最新发布
qq_55121347的博客
08-24 510
普通项目解决跨域问题和springSecurity解决跨域问题
JVM的随机数与熵池策略
leekari
08-13 415
在apache-tomcat官方文档:如何让tomcat启动更快里面提到了一些启东市的优化项,其中一项是关于随机数生成时,采用的“熵源”(entropy source)的策略。 该文档提到tomcat7的session id 的生成主要是通过java.security.SecureRandom生成随机数来实现,随机数算法使用的是"SHA1PRNG",声明如下: private String secureRandomAlgorithm = “SHA1PRNG”; 在sun/oracle的jdk中,这个算
SpringSecurity
weixin_43801369的博客
11-16 124
SpringSecurity 前几天给的一个需求,让兼容老版本的密码,还要可以选择加密方式 springSecurity的简单使用 新老系统的迭代,还有加密算法的随机加密 用户登录的方式–交给框架管理 package com.itheima.security; import com.alibaba.dubbo.config.annotation.Reference; import com.itheima.pojo.Permission; import com.itheima.pojo.Role; impo
连续生成大量随机数(不重复)
05-23
通过循环创建随机种子来循环生成随机数,避免了重复调用Random的Next方法产生重复随机数的问题,程序里可设置文件的保存路径和产生的随机数长度
ss.rar_java security_spring security_springsecurity4xss
09-23
Spring Security 的强大之处在于其高度的灵活性和可扩展性。开发者可以根据需求自定义认证和授权策略,实现与现有系统的集成,例如与OAuth2、SAML等协议的集成。 综上所述,Spring Security 是一个全面的Java安全...
Spring Security:身份验证入口AuthenticationEntryPoint介绍与Debug分析
m0_67391521的博客
06-12 1796
()允许将和转换为响应。作为之一插入到中。想要了解的过滤器链如何在应用程序中发挥作用,可以阅读下面这篇博客:会使用启动身份验证方案。 BasicAuthenticationEntryPoint 由用于通过开始身份验证。一旦使用对用户代理进行身份验证,可以发送未经授权的 () 标头,最简单的方法是调用类的方法。 这将向浏览器指示其凭据不再被授权,导致它提示用户再次登录。 DelegatingAuthenticationEntryPoint 实现,它根据匹配(委托)一个具体的。 DigestAuthentica
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
热门推荐
qq_44709990的博客
02-23 4万+
登录和用户认证是一个网站最基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Spring Security + JWT实现登录及用户认证
Spring Security 实战内容:使用 JWT 认证访问接口
m0_66876551的博客
04-14 382
1. 前言 之前我讲解了如何编写一个自己的 Jwt 生成器以及如何在用户认证通过后返回 Json Web Token 。今天我们来看看如何在请求中使用 Jwt 访问鉴权。DEMO 获取方法在文末。 2. 常用的 Http 认证方式 我们要在 Http 请求中使用 Jwt 我们就必须了解 常见的 Http 认证方式。 2.1 HTTP Basic Authentication HTTP Basic Authentication 又叫基础认证,它简单地使用 Base64 算法对用户名、密码进行加密,并将加密后.
Spring Security实现不同接口安全策略方法详解
09-07
主要介绍了Spring Security实现不同接口安全策略方法详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
(翻译)Spring Security-2.0.x参考文档“摘要式认证”
xyz20003的专栏
08-01 126
摘要式认证 13.1. 概述 Spring Security提供了一个 DigestProcessingFilter,它可以处理HTTP头部中的摘要认证证书。 摘要认证在尝试着解决许多基本认证的缺陷,特别是保证不会通过纯文本发送证书。 许多用户支持摘要式认证,包括FireFox和IE。 HTTP摘要式认证的执行标准定义在RFC 2617,它是对RFC 2069这个早期摘要式认证标准的更新。...
Spring Security漏洞防护—HTTP 安全响应头
深圳市多克创新科技有限公司
10-24 2137
Spring Security漏洞防护—HTTP 安全响应头
spring boot 属性配置[安全篇]
weixin_44603464的博客
02-23 4503
【代码】spring boot 属性配置[安全篇]
Web 安全之内容安全策略Content-Security-Policy,CSP)配置问题
baiyongliang
05-23 3万+
简单的配置方式:Content-Security-Policy,X-Frame-Options头未设置”警告的过滤器 1.CSP 简介 内容安全策略Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...
9.Spring security漏洞保护
EdSheeran的博客
03-21 8728
文章目录*漏洞保护**9.1CSRF攻击与防御**9.1.1CSRF简介**9.1.2CSRF攻击演示**9.1.3CSRF防御**令牌同步模式**`SameSite`**需要注意的问题**9.1.4源码分析**`CsrfToken`**`CsrfTokenRepository`**`CsrfFilter`**`CsrfAuthenticationStrategy`**9.2HTTP响应头处理**9.2.1缓存控制**`Cache-Control`**`Pragma`**`Expires`**9.2.2`X
Content Security Policy
weixin_30795127的博客
12-28 377
资料来源:阮一峰博客 一.背景 XSS最常见,危害最大的网页安全漏洞,“网页安全政策”从根本上解决问题 二.简介 CSP的实质是白名单制度,明确告诉客户端那些外部资源可以加载和执行。 CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 三.启用方法 1.HTTP头部 通过 HTTP 头信息...
内容安全策略content-security-policy
我的LOG
12-31 3万+
iframe 在使用iframe 的时候 <iframe style="border:0;width:100%;height:100%" src="https://github.com/join"/> 经查 报的是 Refused to frame ‘https://github.com/’ because an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘non
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weixin_45378258

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值