Spring Security跨站请求伪造(CSRF)

已于 2022-08-03 17:26:46 修改
阅读量1.5k 收藏 3
点赞数 1
分类专栏: springboot 文章标签: spring boot
于 2022-08-03 17:07:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiha_zhu/article/details/126142270
版权

CSRF(Cross Site Request Forgery)

跨站点请求伪造。是攻击者欺骗用户的浏览器去访问一个自己曾经认证过的网站。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了 web 中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

Spring Security 中 CRSF实现

springboot项目集成spring security 5.3.4.RELEASE 后,默认情况crsf是开启的。每次请求会校验请求头中 X-CSRF-TOKEN 的值与内存中保存的的是否一致,如果一致框架则认为当然登录页面是安全的,如果不一致,会报403。

默认首次登录页面会有一个_csrf的隐藏域

主要实现CsrfFilter过滤器

	@Override
	protected void doFilterInternal(HttpServletRequest request,
			HttpServletResponse response, FilterChain filterChain)
					throws ServletException, IOException {
		request.setAttribute(HttpServletResponse.class.getName(), response);
        
        // 从存储库session获取csrf token
		CsrfToken csrfToken = this.tokenRepository.loadToken(request);
		final boolean missingToken = csrfToken == null;
		if (missingToken) {
            // 如果没有,就生成并保存
			csrfToken = this.tokenRepository.generateToken(request);
			this.tokenRepository.saveToken(csrfToken, request, response);
		}
        
        // 将token设置到request中
		request.setAttribute(CsrfToken.class.getName(), csrfToken);
		request.setAttribute(csrfToken.getParameterName(), csrfToken);
        
        // 如果是默认方法(或者自定义的匹配方法),就放过
		if (!this.requireCsrfProtectionMatcher.matches(request)) {
			filterChain.doFilter(request, response);
			return;
		}

        // 从请求中获取浏览器端传递过来的 X-CSRF-TOKEN
		String actualToken = request.getHeader(csrfToken.getHeaderName());
        // 浏览器没有,从头部取出时使用header name: X-CSRF-TOKEN
		if (actualToken == null) {
			actualToken = request.getParameter(csrfToken.getParameterName());
		}

        // 不匹配或者没有token,抛出异常
		if (!csrfToken.getToken().equals(actualToken)) {
			if (this.logger.isDebugEnabled()) {
				this.logger.debug("Invalid CSRF token found for "
						+ UrlUtils.buildFullRequestUrl(request));
			}
			if (missingToken) {
				this.accessDeniedHandler.handle(request, response,
						new MissingCsrfTokenException(actualToken));
			}
			else {
				this.accessDeniedHandler.handle(request, response,
						new InvalidCsrfTokenException(csrfToken, actualToken));
			}
			return;
		}

		filterChain.doFilter(request, response);
	}

1. 从存储库session获取csrf token

 HttpSessionCsrfTokenRepository.loadToken实现:

2. 默认方法放行

"GET", "HEAD", "TRACE", "OPTIONS"这4类方法会被放行,其它Method的http请求,都要验证_csrf的token是否正确。

matches方法实现 :

3.  从请求头获取实际token 

4.  存储库token和实际token对比

不一致抛出异常,通过就放行。

Spirng Security 关闭 CSRF

public class SecurityConfig extends WebSecurityConfigurerAdapter {
	
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity.csrf().disable();
	}
}

xiha_zhu
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
csrf-filter:用于处理 csrf 令牌的过滤器
06-18
关于 跨站请求伪造 (csrf) - 是一种对网站的恶意利用,由此从网站信任的用户传输未经授权的命令。 有几种类型的如何防止此类攻击: 检查 http。 使用令牌 代码要求 csrf-filter 使用令牌方法。 它会自动处理此类令牌的验证和设置。 它引入了以下限制: 它只验证 POST 请求。 仅应使用 POST 方法更改数据状态 它添加了属性,该属性应该添加到所有 POST 请求中(可以是 AJAX 或普通表单提交) 特征 在每个 GET 请求上生成并添加到 cookie 中的令牌 它是无国籍的 如果未找到 cookie 或未找到请求参数或值不匹配,则将发送 Http 400 状态 可以配置令牌名称。 此名称将用作参数名称、cookie 名称和属性名称 它将属性添加到每个 !HttpServletRequest 中。 与其他人相比 还有另一个 csrf 过滤器: : 这
springboot security CSRF问题
westinyang blog
09-02 6168
最近在用Spring boot 开发项目,使用Spring安全框架遇到了POST提交被安全框架拦截返回403的问题,下面给出解决的方法,以供参考。 1.表单提交,添加隐藏域 type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/> 2.Ajax提交,添加参数 data:{ "${_csrf.par
Spring Security】认证之案例的使用、MD5加密、CSRF防御
最新发布
无法自律的人的博客
12-28 1618
创建自定义MD5加密类并实现@Override//对密码进行 md5 加密@Override// 通过md5校验修改@Bean// 自定义MD5加密方式:数据库中的用户密码也需要更换成对应自定义MD5//MD5自定义加密方式:最后,将生成的MD5加密密码保存到数据库表中。CSRF跨站请求伪造)是一种利用用户已登录的身份在用户不知情的情况下发送恶意请求的攻击方式。
4-SpringSecurityCSRF防护
GJ_ia的博客
01-08 133
从官网中可以知道,CSRF防护的关键在于我们发请求时附带一个随机数(CSRF token),而这个随机数不会被浏览器自动携带(eg: Cookie就会被浏览器自动带上)。通过form表单是一种发送POST请求的方式,但我们其他的请求不可能都通过form表单来提交。中的信息对于攻击者来说是不可见的,无法伪造的,虽然Cookie被浏览器。本系列教程,是作为团队内部的培训资料准备的。,这里演示下前后端分离项目如何实现CSRF防护下的安全请求。里面到底放了什么内容,攻击者是不知道的,所以将。
SpringSecurity-CSRF
超级氯化钾的博客
05-26 88
文章目录CSRFSpringSecurity中的CSRF实现 CSRF Cross-site request forgery跨站请求伪造。通过伪造用户请求访问受信任站点的非法请求访问 跨域:只要网络协议,ip地址,端口中任何一个相同就是跨域请求 客户端与服务进行交互时,由于http协议本身是无状态协议,所以引入了cookie进行记录客户端身份。 在cookie中会存放sessionid用来识别客户端身份。 在跨域的情况下,sessionid可能被第三方进行劫持,通过这个sessionid向服务端发送请求
X-CSRF-Token
01-24 1万+
Odata服务HTTP测试总是出现烦人的 CSRF token validation failed (for all modifying requests)忽略下图中的报文错误 怀疑是服务器参数的设置问题,临时应急的话可以先针对这个服务把CSRF校验关掉 SICF找到这个服务 增加一个参数 Modifying request的CSRF这样的工作的: 用一个非修改(non-m...
spring-security中的csrf防御机制
热门推荐
behurry的专栏
07-27 3万+
什么是csrf
网络爬虫中X-CSRF-Token和Status 403问题解决方案(Java或Python)
qy20115549的博客
08-03 6800
本文作者:合肥工业大学 电子商务研究所 钱洋 email:[email protected] 。 内容可能有不到之处,欢迎交流。 未经本人允许禁止转载。 文章目录问题情景1和解决方案问题情景2和解决方案 问题情景1和解决方案 **在很多POST请求中,经常会加入一些字段来控制会话或者数据的表单提交。**例如,在京东的模拟登陆中,并不是你在Java或者python程序中,直接输入用户名密码就能登陆成...
invalid csrf token 问题解决
lepton126的专栏
09-06 2万+
该条消息意是指浏览器无法创建安全的cookie或者无法读取授权登录的cookie,应该是浏览器本身不允许设置cookies。 以下步骤可解决这个问题。 Chrome 打开Chrome的设置。 在隐私设置和安全性版块中,点击Cookies及其他网站数据。 下滑到始终能使用 Cookie 的网站并点击添加。 复制粘贴"[*.]example.com"并点击添加。 然后复制粘贴"[*.]test.net"并点击添加。 点击所有cookies和网站数据,搜索example或test,然后删除所有的相关条目。 重
爬虫请求头遇见了X-CSRF-Token和c-token如何解决
qq_39138295的博客
05-06 2万+
如果遇见了,大多都是对token的加密。 今天遇见了这样一个网站: 想要获取验证码图片。抓包获取之后: requests.post()请求啊,但是请求之后一直在被网站拒绝,一直在报403.。 后来回头重新看,才发现请求头中是有X-CSRF-Token和c-token来识别身份的。 这个网站比较简单,这两个值是一样的。 然后就找这两值所在的界面嘛。 全局搜索之后,发现这个是明文传输...
Django CSRF跨站请求伪造防护过程解析
09-18
主要介绍了Django CSRF跨站请求伪造防护过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
跨站请求伪造CSRF简介 第7章 Web应用安全 目标 Objectives 要求 了解跨站请求伪造CSRF的基本概念; 了解跨站请求伪造CSRF的攻击原理; 跨站请求伪造CSRF简介 一、跨站请求伪造CSRF简介 跨站请求伪造(Cross-site request forgery)CSRF,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 跨站请求伪造CSRF简介 一、跨站请求伪造CSRF简介 攻击原理 跨站请求伪造CSRF简介 一、跨站请求伪造CSRF简介 CSRF攻击是源于WEB的隐式身份验证机制 浏览器Cookie机制: 会话Cookie,也被称为临时Cookie。浏览器不关闭则不失效。一般保存在内存中。 本地Cookie,相对于会话
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header。鉴于种种原因,这三种方法都不是那么完美,各有利弊。在跨站请求伪造CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF跨站请求伪造CSRF PHP demo代码,带数据库,2021年5月4日,亲测可以运行
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat怎样防止跨站请求伪造(CSRF) 1
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
网络安全原理与应用:跨站请求伪造CSRF攻击演示.pptx
05-16
跨站请求伪造CSRF攻击演示;;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF跨站攻击防御,需要的朋友可以参考下
spring security中的csrf防御原理(跨域请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security如何处理跨站请求伪造CSRF)攻击?
04-03
Spring Security有多种方法来处理跨站请求伪造攻击(CSRF): 1. 使用Synchronizer Token Pattern(同步令牌模式):在用户请求表单时,服务器生成一个随机的令牌并将其存储在用户的session中,然后将这个令牌作为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiha_zhu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值