Springboot中的csrf问题

最新推荐文章于 2024-05-19 01:21:21 发布
最新推荐文章于 2024-05-19 01:21:21 发布
阅读量4.5k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582552/article/details/105467895
版权

1、CSRF是什么
CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。

2、CSRF攻击的本质原因
CSRF攻击是源于Web的隐式身份验证机制!Web的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。CSRF攻击的一般是由服务端解决。

3、CSRF工具的防御手段
尽量使用POST,限制GET
GET接口太容易被拿来做CSRF攻击,看第一个示例就知道,只要构造一个img标签,而img标签又是不能过滤的数据。接口最好限制为POST使用,GET则无效,降低攻击风险。
当然POST并不是万无一失,攻击者只要构造一个form就可以,但需要在第三方页面做,这样就增加暴露的可能性。
浏览器Cookie策略
IE6、7、8、Safari会默认拦截第三方本地Cookie(Third-party Cookie)的发送。但是Firefox2、3、Opera、Chrome、Android等不会拦截,所以通过浏览器Cookie策略来防御CSRF攻击不靠谱,只能说是降低了风险。
PS:Cookie分为两种,Session Cookie(在浏览器关闭后,就会失效,保存到内存里),Third-party Cookie(即只有到了Exprie时间后才会失效的Cookie,这种Cookie会保存到本地)。
加验证码
验证码,强制用户必须与应用进行交互,才能完成最终请求。在通常情况下,验证码能很好遏制CSRF攻击。但是出于用户体验考虑,网站不能给所有的操作都加上验证码。因此验证码只能作为一种辅助手段,不能作为主要解决方案。
Referer Check
Referer Check在Web最常见的应用就是“防止图片盗链”。同理,Referer Check也可以被用于检查请求是否来自合法的“源”(Referer值是否是指定页面,或者网站的域),如果都不是,那么就极可能是CSRF攻击。
但是因为服务器并不是什么时候都能取到Referer,所以也无法作为CSRF防御的主要手段。但是用Referer Check来监控CSRF攻击的发生,倒是一种可行的方法。
Anti CSRF Token
现在业界对CSRF的防御,一致的做法是使用一个Token(Anti CSRF Token)。
例子:
*用户访问某个表单页面。
*服务端生成一个Token,放在用户的Session中,或者浏览器的Cookie中。
*在页面表单附带上Token参数。
*用户提交请求后, 服务端验证表单中的Token是否与用户Session(或Cookies)中的Token一致,一致为合法请求,不是则非法请求。
这个Token的值必须是随机的,不可预测的。由于Token的存在,攻击者无法再构造一个带有合法Token的请求实施CSRF攻击。另外使用Token时应注意Token的保密性,尽量把敏感操作由GET改为POST,以form或AJAX形式提交,避免Token泄露。

4、在spring boot中使用spring security的filter防止CSRF攻击
在pom中添加相关依赖

<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-freemarker</artifactId>
        </dependency>
        <!-- Security (used for CSRF protection only) -->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
        </dependency>
    </dependencies>

在app启动时,添加CsrfFilter

@SpringBootApplication
public class Application extends WebMvcConfigurerAdapter {

    @Bean
    public FilterRegistrationBean csrfFilter() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new CsrfFilter(new HttpSessionCsrfTokenRepository()));
        registration.addUrlPatterns("/*");
        return registration;
    }

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}

form中添加CSRF的hidden字段

<input name="${(_csrf.parameterName)!}" value="${(_csrf.token)!}" type="hidden">

ajax中添加CSRF的头

xhr.setRequestHeader("${_csrf.headerName}", "${_csrf.token}");
li_long547920
关注
Spring Boot项目CSRF (跨站请求伪造)攻击演示与防御
oscar999的专栏
07-17 1514
CSRF ,Cross-site request forgery,跨站请求伪造。是常见的网络攻击的方式之一,2007年曾被列为互联网20大安全隐患之一。攻击过程是攻击者伪造用户的浏览器请求,访问一个用户曾经访问过的网站, 使目标网站误以为是用户的操作而执行命令。 本篇j基于Spring Boot创建项目,用来演示CSRF 的攻击过程。...
【漏洞】CSRF跨站请求伪造漏洞,springboot修复思路
游游的小博客
02-15 1067
CSRF跨站请求伪造漏洞
Spring BootCSRF攻击及预防
Java徐师兄的博客
07-06 1923
CSRF攻击是一种常见的网络攻击方式,可以通过欺骗用户来执行恶意操作。在Spring Boot应用程序,我们可以采取多种措施来预防CSRF攻击,如添加CSRF令牌、验证请求来源、使用HTTPS协议和定期更改密钥等。这些措施可以有效地保护应用程序的安全,防止攻击者利用CSRF漏洞进行攻击。在实际开发,我们可以根据实际需求选择适当的预防措施。例如,如果应用程序只对内部用户开放,可以限制请求来源为内部网络;如果应用程序需要对外开放,可以使用HTTPS协议来加密数据传输。
spring boot实战之CSRF(跨站请求伪造)
热门推荐
思与学的博客
10-06 2万+
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。攻击通过在授权用户访问的页面包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛,并且后者刚刚发布了一个具有Bob银行链接的图片
Springboot集成CSRF防攻击
hao_kkkkk的专栏
10-20 2579
springboot CSRF攻击防护
Spring Boot | Spring Boot “CSRF 防护功能“ 、Security “管理前端页面“
最新发布
m0_70720417的博客
05-19 1476
目录: 一、SpringBoot 自定义 "用户授权管理" ( 总体内容介绍 ) 二、实现 "CSRF" 防护功能 ( 通过 "HttpSecurity类" 的 csrf( )方法来实现 "CSRF" 功能 ) : 1. "关闭" CSRF 防护功能 : ① 创建好 "基本的项目" ② 创建数据修改页面 ③ 编写后台控制层方法 ④ CSRF 默认防护效果测试 ⑤ 关闭 Security 的 " CSRF 防御功能" ......
一、Springboot安全之防CSRF攻击
panchang199266的博客
10-18 1万+
(一)简要介绍   跨站请求伪造(Cross-site request fogery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的WEB应用程序上执行非本意的操作的攻击方法。   举个栗子: 用户小z登录了网站A,同时打开网站B 网站B隐蔽的发送一个请求至网站A 网站A通过session、cookie等身...
Springboot实现csrf拦截器
初学者乐园的博客
03-10 6518
Springboot实现csrf拦截器,仅供参考: /** * csrf拦截器 * */ @Component(&amp;quot;csrfInterceptor&amp;quot;) public class CsrfInterceptor extends HandlerInterceptorAdapter { @Autowired private Configuration configuration; ...
详解如何在spring boot使用spring security防止CSRF攻击
08-27
Spring Boot 使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
锱铢必较:在spring boot使用神器防止CSRF攻击
java1856905的博客
04-16 2874
在一个spring boot项目,需要防止CSRF攻击,按理说应该集成spring security才对。 但是不想使工程变得太复杂,这时可以只把spring security的相关filter引入来进行。 在pom添加相关依赖 <dependencies> <dependency> <groupId>org.springframewor...
springboot+spring security +csrf 的拥有后台管理功能的厨具批发商城网站
04-25
文件解压后直接在根目录上找shopping.sql文件导入mysql数据库,创建数据库名为shopping,在此数据库默认导入即可(utf-8),使用idea直接打开项目等待maven导入jar 包即可
在 Spring Boot 应用程序实现 CSRF 安全
Eddie_920的博客
05-08 605
跨站请求伪造(CSRF)是一种常见的 Web 安全漏洞,允许攻击者代表用户执行未经授权的操作。在Spring Boot 通过使用 Spring Security来保护应用程序免受 CSRF 攻击。在本文,我们将演示如何在 Spring Boot 应用程序使用Security的 Java 代码示例实现 CSRF 保护。
csrf防御】springboot项目如何防御csrf
run_boy_2022的博客
06-14 1404
CSRF(Cross-Site Request Forgery) ,通过单词简单理解就是跨站点请求伪造,用通俗简单点就是攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的操作1、用户打开浏览器访问受信任网站A,输入用户名和密码请求登录网站A;2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3、用户未退出网站A之前,在同一浏览器,打开一个TAB页访问网站B;
Springboot和Angular的CSRF防御
木木
09-07 1390
CSRF 是什么 跨站请求伪造 知乎解答搬运: csrf是什么. Springboot CSRF Angular CSRF Angular官方文档: cross-site-request-forgery. 在跨站请求伪造(XSRF 或 CSFR),攻击者欺骗用户,让他们访问一个假冒页面(例如 evil.com), 该页面带有恶意代码,秘密的向你的应用程序服务器发送恶意请求(例如 example-bank.com)。 假设用户已经在 example-bank.com 登录。用户打开一个邮件,点击里面的链接,
spring boot项目怎么预防CSRF攻击
keyboard专栏
04-24 1072
在Spring Boot项目预防CSRF攻击通常涉及利用Spring Security框架提供的内置支持。Spring Security已经为CSRF提供了默认的防护措施,但根据应用的特定需求,可能需要进行一些配置调整或扩展。
Spring Boot Security - 启用 CSRF 保护
allway2的博客
02-04 2290
在上一篇文章,我们实现了Spring Boot Security - Password Encoding Using Bcrypt。 但到目前为止,在我们所有的示例,我们都禁用了 CSRFCSRF 代表跨站点请求伪造。这是一种强制最终用户在当前对其进行身份验证的 Web 应用程序上执行不需要的操作的攻击。CSRF 攻击专门针对状态更改请求,而不是窃取数据,因为攻击者无法查看对伪造请求的响应。 Spring Boot 安全性 - 目录 Spring Boot + 简单的安全配置 Spr...
Spring Boot整合Spring Security(三)csrf
时雨吹雪的博客
01-30 2024
Spring Securitycsrf防护功能的使用,模板引擎以及接口方式获取csrfToken
SpringBoot整合UEditor富文本编辑器以及解决CSRF问题
发现问题,面对问题,分析问题,解决问题,总结问题
03-08 2086
(一)基本配置使用 下载插件 https://github.com/fex-team/ueditor/releases 后端依赖 <dependency> <groupId>org.json</groupId> <artifactId>json</artifactId> <version>20160810</version> <
springboot csrf
04-30
Spring BootCSRF(Cross-Site Request Forgery)防护是一个重要的安全性特性,它可以防止攻击者利用用户的会话发送恶意请求,从而实施恶意攻击。这种攻击方式常常是通过构造恶意URL或伪造表单提交来实现的,从而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值