SpringSecurity源码之CsrfFilter

最新推荐文章于 2023-05-14 00:15:21 发布
最新推荐文章于 2023-05-14 00:15:21 发布
阅读量711 收藏 2
点赞数 1
分类专栏: SpringSecurity源码 文章标签: java spring
本BLOG上原创文章未经本人许可,不得用于商业用途。转载请注明出处,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/xuanxxxxxx/article/details/116381742
版权

SpringSecurity源码之CsrfFilter

一、是什么

org.springframework.security.web.csrf.CsrfFiltercsrf又称跨域请求伪造,SpringSecurity会对所有post请求验证是否包含系统生成的csrf的token信息,如果不包含,则报错。起到防止csrf攻击的效果。

二、源码介绍

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by Fernflower decompiler)
//

package org.springframework.security.web.csrf;

import java.io.IOException;
import java.util.Arrays;
import java.util.HashSet;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.security.web.access.AccessDeniedHandlerImpl;
import org.springframework.security.web.util.UrlUtils;
import org.springframework.security.web.util.matcher.RequestMatcher;
import org.springframework.util.Assert;
import org.springframework.web.filter.OncePerRequestFilter;

public final class CsrfFilter extends OncePerRequestFilter {
	// 默认允许的请求方法
    public static final RequestMatcher DEFAULT_CSRF_MATCHER = new CsrfFilter.DefaultRequiresCsrfMatcher();
    private final Log logger = LogFactory.getLog(this.getClass());
    // CsrfToken存储库,保存token信息
    private final CsrfTokenRepository tokenRepository;
    // 保存当前使用的请求方法匹配器,默认是DEFAULT_CSRF_MATCHER,可以通过setRequireCsrfProtectionMatcher自定义
    private RequestMatcher requireCsrfProtectionMatcher;
    // 用于CSRF保护验证逻辑失败进行处理
    private AccessDeniedHandler accessDeniedHandler;

    public CsrfFilter(CsrfTokenRepository csrfTokenRepository) {
        this.requireCsrfProtectionMatcher = DEFAULT_CSRF_MATCHER;
        this.accessDeniedHandler = new AccessDeniedHandlerImpl();
        Assert.notNull(csrfTokenRepository, "csrfTokenRepository cannot be null");
        this.tokenRepository = csrfTokenRepository;
    }
	
	// 父类的doFilter方法会调用此方法,可以看出SpringSecurity的csrf机制把请求方式分成两类来处理:默认方法(或者自定义的匹配方法)就放过,否则就过逻辑
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        request.setAttribute(HttpServletResponse.class.getName(), response);
        // 从csrf token存储库中获取针对当前请求的csrf token。
        CsrfToken csrfToken = this.tokenRepository.loadToken(request);
        boolean missingToken = csrfToken == null;
        // 如果没有token,就生成一个token,并保存到csrf token存储库中
        if (missingToken) {
            csrfToken = this.tokenRepository.generateToken(request);
            // 存储库中的token信息和请求有关联
            this.tokenRepository.saveToken(csrfToken, request, response);
        }
		//保存token信息到请求域
        request.setAttribute(CsrfToken.class.getName(), csrfToken);
        request.setAttribute(csrfToken.getParameterName(), csrfToken);
        // 如果是默认方法(或者自定义的匹配方法),就放过
        if (!this.requireCsrfProtectionMatcher.matches(request)) {
            filterChain.doFilter(request, response);
        } else {
        	// 尝试从请求头部或者参数中获取浏览器端传递过来的实际的csrf token。
			// 缺省情况下,从头部取出时使用header name: X-CSRF-TOKEN
			// 从请求中获取参数时使用的参数名称是 : _csrf
            String actualToken = request.getHeader(csrfToken.getHeaderName());
            if (actualToken == null) {
                actualToken = request.getParameter(csrfToken.getParameterName());
            }
			// 不匹配或者没有token,就报异常
            if (!csrfToken.getToken().equals(actualToken)) {
                if (this.logger.isDebugEnabled()) {
                    this.logger.debug("Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request));
                }
				
                if (missingToken) {
                    this.accessDeniedHandler.handle(request, response, new MissingCsrfTokenException(actualToken));
                } else {
                    this.accessDeniedHandler.handle(request, response, new InvalidCsrfTokenException(csrfToken, actualToken));
                }

            } else {
                filterChain.doFilter(request, response);
            }
        }
    }

    public void setRequireCsrfProtectionMatcher(RequestMatcher requireCsrfProtectionMatcher) {
        Assert.notNull(requireCsrfProtectionMatcher, "requireCsrfProtectionMatcher cannot be null");
        this.requireCsrfProtectionMatcher = requireCsrfProtectionMatcher;
    }

    public void setAccessDeniedHandler(AccessDeniedHandler accessDeniedHandler) {
        Assert.notNull(accessDeniedHandler, "accessDeniedHandler cannot be null");
        this.accessDeniedHandler = accessDeniedHandler;
    }
	// Csrf默认的请求匹配器,定义默认的请求方法
    private static final class DefaultRequiresCsrfMatcher implements RequestMatcher {
        private final HashSet<String> allowedMethods;

        private DefaultRequiresCsrfMatcher() {
            this.allowedMethods = new HashSet(Arrays.asList("GET", "HEAD", "TRACE", "OPTIONS"));
        }

        public boolean matches(HttpServletRequest request) {
        	//返回true代表不是默认的方法,false代表是默认的方法
            return !this.allowedMethods.contains(request.getMethod());
        }
    }
}
微卡Chou
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
8.SpringSecurity中的核心过滤器-CsrfFilter
飘然渡沧海的博客
03-06 537
8.SpringSecurity中的核心过滤器-CsrfFilter
CSRF 详情讲解 !!!
weixin_52834606的博客
09-05 3091
CSRF 详解 ! spring security 攻击
csrf-filter:用于处理 csrf 令牌的过滤器
06-18
关于 跨站点请求伪造 (csrf) - 是一种对网站的恶意利用,由此从网站信任的用户传输未经授权的命令。 有几种类型的如何防止此类攻击: 检查 http。 使用令牌 代码要求 csrf-filter 使用令牌方法。 它会自动处理此类令牌的验证和设置。 它引入了以下限制: 它只验证 POST 请求。 仅应使用 POST 方法更改数据状态 它添加了属性,该属性应该添加到所有 POST 请求中(可以是 AJAX 或普通表单提交) 特征 在每个 GET 请求上生成并添加到 cookie 中的令牌 它是无国籍的 如果未找到 cookie 或未找到请求参数或值不匹配,则将发送 Http 400 状态 可以配置令牌名称。 此名称将用作参数名称、cookie 名称和属性名称 它将属性添加到每个 !HttpServletRequest 中。 与其他人相比 还有另一个 csrf 过滤器: : 这
SpringSecurity常用过滤器介绍
波波烤鸭的博客
12-05 4666
  本文我们来介绍下SpringSecurity中常用的过滤器及其加载的过程。 一、常用的过滤器   常用的过滤器有15个,分别如下: 1.org.springframework.security.web.context.SecurityContextPersistenceFilter   首当其冲的一个过滤器,非常重要 主要是使用SecurityContextRepository在session...
【第八篇】SpringSecurity的核心过滤器-CsrfFilter
yqqの博客
03-18 605
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
Spring Security CsrfFilter过滤器用法实例
08-25
Spring Security CsrfFilter 过滤器用法实例详解 Spring Security CsrfFilter 过滤器是一种用于防止跨站请求伪造(CSRF)的安全机制,它可以保护Web应用程序免受恶意攻击。下面将详细介绍 Spring Security ...
SpringSecurity源码
05-29
本教程配套源码旨在帮助开发者深入理解SpringSecurity的工作原理,通过实践提升在安全领域的技能。 在SpringSecurity中,核心概念主要包括以下几个部分: 1. **过滤器链**:SpringSecurity的核心是基于过滤器的Web...
SpringSecurity实战源码
最新发布
07-06
SpringSecurity实战源码
spring security 源码
05-28
本篇文章将深入探讨Spring Security的核心概念和源码分析。 1. **核心组件** - `SecurityContextHolder`: 它是Spring Security的核心,存储当前请求的安全上下文,包含认证信息和权限。 - `Authentication`: 表示...
SpringSecurity OAuth2.0源码
07-02
SpringSecurity OAuth2.0 源码
Springboot集成CSRF防攻击
hao_kkkkk的专栏
10-20 2467
springboot CSRF攻击防护
从原理到实践,深入解析Spring Security中的CSRF保护机制
hunterzhang86的博客
05-14 1073
随着Web应用程序的普及和发展,网络攻击成为了一个严重的问题。其中,CSRF(Cross-Site Request Forgery)攻击是一种非常常见的攻击方式。攻击者可以利用这种漏洞欺骗用户执行恶意操作,如恶意转账、修改用户信息等。为了提高应用程序的安全性,我们必须采取措施保护Web应用程序,其中之一就是CSRF保护机制。本文将介绍Spring Security中的CSRF保护机制,并提供一些示例和实践建议,以帮助开发人员实现更安全的Web应用程序。
Spring 整合 Spring Security 踩坑记录
weixin_46464010的博客
08-14 707
Spring 整合 Spring Security
Spring Security 5.7 的简单搭建流程
qq_43670559的博客
04-17 2083
Spring Security 5.7 的简单搭建流程 1 环境搭建 1.1 pom 文件中依赖的引入 该流程搭建的是一个前后端分离的项目,环境搭建使用 Spring boot 2.7.10 和 Spring Security 5.7,数据库使用 MySQL8、druid、 MyBatis-Plus 具体pom文件的引入为: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/
xss和csrf其实就是一个过滤器和一个拦截器而已:放屁
u010287873的博客
06-22 2656
CSRF攻击原理及防御:https://www.cnblogs.com/shytong/p/5308667.html  CSRF 攻击的应对之道:https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/   拦截器可以获取IOC容器中的各个bean,而过滤器就不行,这点很重要,在拦截器里注入一个service,可以调用业务逻...
Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法
crazy王的学习
12-27 8304
最近项目渗透测试检测出一些安全问题其中一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
利用spring-security解决CSRF问题
热门推荐
Frankenstein的博客
04-22 4万+
从配置到原理,一步步讲解如何利用Springsecurity框架来处理scrf问题。
Spring Security笔记:解决CsrfFilter与Rest服务Post方式的矛盾
weixin_34403693的博客
01-06 326
基于Spring Security+Spring MVC的web应用,为了防止跨站提交攻击,通常会配置csrf,即: 1 &lt;http ...&gt; 2 ... 3 &lt;csrf /&gt; 4 &lt;/http&gt; 如果应用中有Post方式访问的Rest服务(参考下面的代码),会很不幸的发现,所有P...
Spring Security 核心过滤器链分析
weixin_33725515的博客
12-27 876
前言: 在熟悉Spring Security的使用和基本操作后,有时根据项目需求,我们需要在security原有的过滤器链中,添加符合我们自己的过滤器来实现功能时,我们就必须得先了解security的核心过滤链的流程和每个过滤器的各自功能,以此,我们才可以在特点的过滤器前后加入属于我们项目需求的过滤器。 一、Filter Chain 图解 在配置了spring security了之后,会在运行...
springsecurity 源码
09-13
Spring Security 是一个用于身份验证和授权的框架,它的源码中包含了很多关于过滤器链和认证流程的实现。 在 Spring Boot 启动时,会加载 spring.factories 文件,该文件中包含了对 Spring Security 过滤器链的配置信息。Spring Security 的过滤器链是配置在 Spring MVC 的核心组件 DispatcherServlet 运行之前。这意味着请求通过 Spring Security 的所有过滤器并不意味着能够正常访问资源,该请求还需要通过 Spring MVC 的拦截器链。 在 Spring Security源码中,可以找到 springSecurityFilterChain 方法,该方法真正声明了过滤器链,并通过 webSecurity.build() 方法构建过滤器。过滤器链的加载流程可以通过查看这段代码来进行源码分析。 另外,认证流程在 Spring Security源码中也有详细的实现。通过分析认证流程源码,可以了解到在用户进行身份验证时,Spring Security 是如何进行认证的[2.1]。这可以帮助我们更好地理解 Spring Security 在认证过程中的各个环节。 总结起来,Spring Security源码包含了过滤器链加载流程和认证流程的实现。通过深入研究这些源码,我们可以更好地理解 Spring Security 的原理和工作机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值