Spring Security之CSRF攻击

最新推荐文章于 2024-04-29 19:03:11 发布
最新推荐文章于 2024-04-29 19:03:11 发布
阅读量613 收藏
点赞数
分类专栏: springSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xkshihaoren/article/details/103412338
版权
本文介绍了CSRF攻击的概念及其危害,并详细阐述了四种常见的防御手段:尽量使用POST请求,通过Referer识别,增加token以及将cookie设置为HttpOnly。特别讨论了Spring Security如何利用CsrfFilter和不同的CsrfTokenRepository策略来有效防御CSRF攻击。
摘要由CSDN通过智能技术生成

1.CSRF攻击简介

SRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,其攻击原理如下:

   1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;

   2. 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;

   3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;

   4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;

   5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息
   
   6. 向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,
   
   7. 来自网站B的恶意代码被执行。

2.CSRF常见防御手段

2.1 尽量使用POST请求方式

GET接口太容易被拿来做CSRF攻击,看上面示例就知道,只要构造一个img标签,而img标签又是不能过滤的数据。接口最好限制为POST使用,GET则无效,降低攻击风险。
当然POST并不是万无一失,攻击者只要构造一个form就可以,但需要在第三方页面做,这样就增加暴露的可能性。

2.2 通过Referer识别

根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限的页面的请求都来自于同一个网站。比如某银行的转账是通过用户访问http://www.xxx.com/transfer.do页面完成的,用户必须先登录www.xxx.com,然后通过单击页面上的提交按钮来触发转账事件。当用户提交请求时,该转账请求的Referer值就会是
提交按钮所在页面的URL(本例为www.xxx. com/transfer.do)。如果攻击者要对银行网站实施CSRF攻击,他只能在其他网站构造请求,当用户通过其他网站发送请求到银行时,该请求的Referer的值是其他网站的地址,而不是银行转账页面的地址。因此,要防御CSRF攻击,银行网站只需要对于每一个转账请求验证其Referer值即可,如果是以www.xx.om域名开头的地址,则说明该请求是来自银行网站自己的请求,是合法的;如果Referer是其他网站,就有可能是CSRF攻击,则拒绝该请求。
取得HTTP请求Referer:

String referer = request
最低0.47元/天 解锁文章
lcctt
关注
专栏目录
SpringSecurityCSRF攻击
2201_75856701的博客
01-13 503
一些网站比如知乎、简书中的外部链接,点击之后会有提示(免责声明),此操作有风险是否继续,这便与CSRF密切相关。当然这个POST接口无法直接在浏览器中发起请求,我们需要借助PostMan来实现POST请求的发送。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?防护,这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。建好项目后,创建一个简单的HelloController.java,包含一个。项目中模拟一个按钮操作,发起。,模拟一个钓鱼网站。
CSRF——攻击与防御
热门推荐
lake2的专栏
04-02 4万+
CSRF——攻击与防御author: lake20x01 什么是CSRF攻击    CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你可以把它想做HTTP会话劫持。    网站是通过cookie来识别用户的,当用户成功进行
SpringSecurity中的CSRF解读
-
04-11 568
SpringSecurity中的CSRF解读 从刚开始学习SpringSecurity时,在配置类中一直存在这样一行代码:http.csrfo.disable() 如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 什么是CSRF CSRF (Cross-site request forgery) 跨站请求伪造,也被称为"OneClick Attack” 或者 Sess...
Spring Security CSRF
诗人不写诗
09-15 513
Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRF和RESTful技术有冲突。 CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。 需要站点受到CSRF的保护,同时可以对外提供的REST服务,就需要开出一个隧道来。 1)如果这个http请求是通过get方式发起的请求,意味着它只是访问服务器 的资源,仅仅只是查询,没...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF...CSRF是一种常见的Web攻击方式,Spring Security提供了CSRF保护机制,可以帮助开发者防止CSRF攻击。开发者需要根据实际情况选择合适的CSRF保护机制,并采取多种措施防止CSRF攻击
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
使用SpringSecurity处理CSRF攻击的方法步骤 春Security是当前最流行的Java Web应用程序安全框架之一,它提供了强大的安全功能,包括身份验证、授权、CSRF防护等。CSRF(Cross-site request forgery)是一种常见的...
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring SecurityCsrf 攻击实现代码解析 Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证...
SpringSecurity的防Csrf攻击
qq_29860591的博客
03-02 379
CSRF(Cross-site request forgery)跨站请求伪造,也被称为One Click Attack或者Session Riding,通常缩写为CSRF或XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行...
SpringSecurity安全框架学习笔记
清茶淡粥的博客
12-31 1044
Spring Security Spring Security简介 Spring Security 是一种高度自定义的安全框架,利用(基于)SpringIOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 核心功能:认证和授权 Spring Security 认证流程 Spring Security 项目搭建 导入依赖 Spring Security已经被Spring boot进行集成,使用时直接引入启动器即可 <dependency>
一分钟理解post和put(安全与幂等角度)
小胖的博客
11-22 6896
HTTP方法的安全性和幂等性 可以认为安全的方法都是只读的方法(GET, HEAD, OPTIONS),不会改变资源状态,显然,这三个方法也是幂等的。 DELETE方法的语义表示删除服务器上的一个资源,第一次删除成功后该资源就不存在了,资源状态改变了,所以DELETE方法不具备安全特性。然而HTTP协议规定DELETE方法是幂等的,每次删除该资源都要返回状态码200 OK,服务器端要实现幂等的DE...
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1275
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
Spring Security防止CSRF攻击
镜悬xhs
02-04 559
CSRF全称是Cross-site request forgery,翻译过来的意思是跨站请求伪造。 HTTP协议本身是无状态的,这意味着HTTP协议本身无法识别并记录客户身份。 ​为了实现用户登录并保持登录状态的功能,就要求在HTTP协议之上增加新的特性和功能,将无状态的HTTP协议变成可以支持状态保持的服务。 这个技术就是Session和Cookie。 Cookie是保存在浏览器端的一小段数据,服务器可以通过HTTP协议,要求客户端设置本地的Cookie数据或告知客户端将Cookie数据以HTTP
Spring security防止CSRF攻击
Lzc的博客
07-22 1920
在一个spring boot项目中,需要防止CSRF攻击,按理说应该集成spring security才对。 但是不想使工程变得太复杂,这时可以只把spring security中的相关filter引入来进行。 在pom中添加相关依赖 <dependencies> <dependency> <groupId>org.spr...
Spring Security(六) —— CSRF
eyes++的博客
07-26 4190
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
Spring Security(学习笔记)--漏洞保护(csrf攻击与防御以及源码分析)!
最新发布
TONGZHOUGONGDU的博客
04-29 487
CSRF是什么 ,跨站请求伪造,简单解释一下,就是用户登录某个界面,如银行界面,进行转账,完了之后并没有注销登录,而是打开一新的页面,在页面上点击了某个攻击者设下的链接,那么这个链接,就可以带着浏览器存储的cookie,发送给银行服务器,由于已经认证过了,所以银行服务器以为是用户自己的操作,就达成了攻击者的目的。我们登录第一个项目,然后点击转账,后台会出现模拟转账的打印,然后,进入第二个项目的界面,直接点那张具备诱惑力的图片,然后,就会发现,项目一,依然打印了转账的操作日志,这个就是跨站请求伪造。
2-SpringSecurityCSRF攻击
GJ_ia的博客
01-08 133
一些网站比如知乎、简书中的外部链接,点击之后会有提示(免责声明),此操作有风险是否继续,这便与CSRF密切相关。虽然默认开启CSRF防护,但是幂等请求诸如"GET", “HEAD”, “TRACE”, "OPTIONS"被忽略。默认开启CSRF防护,对于非幂等请求诸如"POST", “PUT”, "DELETE"等请求进行拦截。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?,请求成功到达源站后端,实现了CSRF:跨站请求伪造。,结果也是被拦截,返回403;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值