Spring Security 如何防止 CSRF 攻击?

最新推荐文章于 2025-02-28 13:35:32 发布
原创 最新推荐文章于 2025-02-28 13:35:32 发布 · 1.2k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #开发语言 #后端 #csrf #算法 #数据结构

目录

一、CSRF 攻击简介

CSRF(Cross-Site Request Forgery)攻击,即跨站请求伪造攻击,是一种利用用户已登录的身份,在用户不知情的情况下,强制其执行非预期操作的攻击方式。攻击者通常会通过伪造的请求,诱使用户在已登录的应用程序中执行恶意操作,例如转账、修改个人信息等。

二、Spring Security 防止 CSRF 攻击的机制

1. 默认启用 CSRF 保护

从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护。这意味着对于 PATCH、POST、PUT 和 DELETE 方法的请求,Spring Security 会自动进行 CSRF 验证。

2. CSRF 令牌的生成与验证

Spring Security 通过生成唯一的 CSRF 令牌(Token)来防止 CSRF 攻击。具体流程如下:

  • 生成 CSRF 令牌:服务器在处理请求时,会生成一个唯一的 CSRF 令牌,并将其存储在用户的会话(HttpSession)或 Cookie 中。
  • 客户端提交 CSRF 令牌:客户端在提交表单或发送 AJAX 请求时,需要将 CSRF 令牌包含在请求中。通常,这个令牌会作为表单的一个隐藏字段或请求头的一部分发送。
  • 服务器验证 CSRF 令牌:服务器在接收到请求后,会从请求中提取 CSRF 令牌,并与存储在会话或 Cookie 中的令牌进行比较。如果两者一致,则认为请求是合法的;如果不一致,则认为是 CSRF 攻击,服务器会拒绝该请求。

3. 配置与自定义

  • 开启或关闭 CSRF 保护:可以通过配置来开启或关闭 CSRF 保护。例如,在基于 Java 配置的项目中,可以通过以下代码关闭 CSRF 保护:
    http.csrf().disable();
    或者在基于 XML 配置的项目中,使用以下代码:
    <security:csrf disabled="true"/>
  • 自定义 CSRF 令牌存储方式:Spring Security 提供了 CsrfTokenRepository 接口,开发者可以实现该接口来自定义 CSRF 令牌的存储和获取方式。默认实现是 HttpSessionCsrfTokenRepository,它将 CSRF 令牌存储在 HttpSession 中。

4. 在请求中包含 CSRF 令牌

  • 表单提交:在 HTML 表单中,可以通过 Thymeleaf 等模板引擎自动包含 CSRF 令牌。例如:
    <form action="/submit" method="POST">
    <input type="hidden" name="_csrf" value="${_csrf.token}" />
    <button type="submit">Submit</button>
</form>
  • AJAX 请求:在使用 AJAX 提交请求时,需要手动将 CSRF 令牌添加到请求头中。例如,使用 jQuery 时可以这样操作:
    $.ajax({
    url: '/submit',
    type: 'POST',
    headers: {
        'X-CSRF-TOKEN': $('meta[name="_csrf"]').attr('content')
    },
    data: {
        // Your data here
    },
    success: function(response) {
        console.log(response);
    },
    error: function(xhr, status, error) {
        console.error('Error:', error);
    }
});
    在 HTML 中,需要包含 CSRF 令牌的 meta 标签:
    <meta name="_csrf" content="${_csrf.token}" />

三、最佳实践

  • 始终启用 CSRF 保护:除非有充分的理由,否则应始终启用 CSRF 保护,以确保应用程序的安全性。
  • 使用 HTTPS:通过使用 HTTPS,可以防止攻击者拦截和篡改请求,从而提高应用程序的安全性。
  • 限制 CSRF 令牌的作用域:可以配置 CSRF 令牌仅对特定的端点有效,从而减少潜在的安全风险。
  • 定期更新依赖:及时更新 Spring Security 和其他相关依赖,以修复已知的安全漏洞。

四、总结

Spring Security 提供了强大的 CSRF 防护机制,通过生成和验证 CSRF 令牌,有效防止了 CSRF 攻击。开发者可以通过配置和自定义来满足不同的安全需求,同时遵循最佳实践,确保应用程序的安全性。

Spring 入门-第二十七篇:Spring Security-防止 CSRF 攻击
06-01 67
本文详细介绍了Spring Security如何防护CSRF攻击。首先剖析了CSRF攻击原理,展示攻击者如何利用用户已认证会话执行恶意操作。然后重点讲解了Spring Security的防护机制:通过生成并验证唯一CSRF令牌来确保请求合法性。文章提供了丰富的配置示例,包括排除特定路径、自定义令牌存储、AJAX请求处理和令牌生成策略定制等方案。最后强调防护最佳实践,如避免全局禁用、保护令牌传输安全等,帮助开发者构建更安全的Web应用。
如何预防 CSRF 攻击
彳亍
04-16 4877
简介CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,是一种对网站的恶意攻击。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同。XSS 利用的是站点内的信任用户,而 CSRF 则通过伪装成(假冒)站点内的信用用户,执行该用户不知情的操作。与 XSS 攻击相比,CSRF 攻击往往不太流行...
防止CSRF攻击
尚兴跃的备忘录
01-04 1420
译者:韩国峰 本文已经获得原作者Email授权----译者注概览:1. Hello World2. 介绍3. 关于认证技术3.1 Cookies Hashing3.2 HTTP来路3.3 验证码4. 一次性令牌5. 最后的话1.Hello World欢迎来到崭新的Playhack.net的新季度开题项目报告。我非常高兴您能够再次回来让我们的c001项目重现。希望您能喜欢这个新的短篇论文,我邀请你浏
如何防止CSRF攻击
qq_40663520的博客
04-18 3858
如何防止CSRF攻击 CSRF不需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。 要让服务器避免遭受到CSRF攻击,通常有一下几种途径: 充分利用好cookies的SameSite属性:黑客会利用用户的登录状态发起CSRF攻击,而Cookie正式浏览器和服务器之间维护登录状态的一个关键数据。要防止CSRF攻击,最后能实现从第三方站点发送请求时禁止Cookie的发送。 在Http响应头中,通过设置set-cookie时,可以带上SameSite选项,如下: (1)Stric
如何预防 CSRF 攻击
春风化雨
12-17 2063
1、CSRF 攻击 CSRF:Cross-Site Request Forgery(中文:跨站请求伪造),可理解为攻击者盗用某用户的身份,以此用户的名义发送恶意请求,比如:发送邮件、发消息、购买商品,虚拟货币转账等。 2、防御措施 1)验证请求来源地址。 2)关键操作添加验证码进行验证。 3)在请求地址或heder中添加 token ,后台进行验证。 ...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
什么是 CSRF?如何防止 CSRF 攻击
公众号:该用户快成仙了
07-27 1880
CSRF,全称 Cross-Site Request Forgery,中文翻译为跨站请求伪造,它是一种网络安全漏洞,攻击者通过伪造用户的请求,利用用户在已登录的情况下的身份验证信息,向服务器发送恶意请求,从而执行未经用户授权的操作。CSRF攻击通常发生在用户已经登录了某个网站的情况下,攻击者在用户不知情的情况下利用用户的身份信息发送恶意请求,导致服务器误以为是用户发送的合法请求。用户登录到一个网站,并且被骗点击了攻击者构建的另一个网站链接,这代表了 CSRF 的“跨站点”部分。
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF...CSRF是一种常见的Web攻击方式,Spring Security提供了CSRF保护机制,可以帮助开发防止CSRF攻击开发者需要根据实际情况选择合适的CSRF保护机制,并采取多种措施防止CSRF攻击
什么是CSRF攻击SpringSecurity如何防御?
java永无止境!
06-20 831
CSRF(跨站请求伪造,Cross-Site Request Forgery)是一种常见的网络攻击方式。在这种攻击中,攻击者诱导已经登录的用户在不知情的情况下发送请求到一个应用程序,从而在没有用户意识并且使用用户自身权限的情况下执行攻击者预定义的操作。
如何防范 CSRF 攻击
qq_38822390的博客
02-09 502
防范 CSRF(跨站请求伪造)攻击是确保 web 应用安全的重要措施。
浅析前端安全系列之二:如何防止CSRF攻击
weixin_41663412的博客
03-16 233
个人博客导航页(点击右侧链接即可打开个人博客):大牛带你入门技术栈 背景 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Sit...
WEB安全入门:如何防止 CSRF 攻击
华为云官方博客
06-20 2468
摘要:乌云通报过,国内很多家公司的网站存在 CSRF 漏洞。如果某个网站存在这种安全漏洞的话,那么在电商平台购物的过程中,就很可能会被网络黑客盗刷信用卡。 现在,我们绝大多数人都会在网上购物买东西。但是很多人都不清楚的是,很多电商网站会存在安全漏洞。乌云就通报过,国内很多家公司的网站都存在 CSRF 漏洞。如果某个网站存在这种安全漏洞的话,那么我们在购物的过程中,就很可能会被网络黑客盗刷信用卡。是不是瞬间有点「不寒而栗」 的感觉? 首先,我们需要弄清楚 CSRF 是什么。它的全称是 Cross-site
前端安全系列:如何防止CSRF攻击
最新发布
2401_85280228的博客
02-28 1156
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
前端安全系列之二:如何防止CSRF攻击
qq_53058639的博客
01-02 1222
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
xss csrf怎么预防?
AndrewPerfect的博客
12-25 818
XSS 是指攻击者向目标网站注入恶意脚本,从而在用户浏览器中执行。属性防止 JavaScript 访问 Cookies。CSRF 是指攻击者利用受害者的身份发送伪造请求。对所有敏感操作,要求用户重新登录或输入密码。等会插入未经处理的 HTML。属性防止 Cookies 被。唯一的 CSRF Token。避免直接操作 DOM。非 HTTPS 传输。
Spring Security 如何实现CSRF保护?
12-15
Spring Security 通过使用 CSRF(跨站请求伪造)令牌来保护应用程序免受CSRF攻击。具体实现方式如下: 1. **启用CSRF保护**: Spring Security默认情况下会启用CSRF保护。你可以通过在Spring Security配置类中添加`@EnableWebSecurity`注解,并确保`HttpSecurity`对象中包含`csrf()`方法的调用来实现这一点。例如: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().and() // 其他安全配置 } } ``` 2. **生成和验证CSRF令牌**: 当用户提交表单时,Spring Security会自动在页面上生成一个CSRF令牌,并将其作为隐藏字段添加到表单中。服务器端接收到请求时,会验证这个令牌是否有效,从而防止CSRF攻击。 3. **自定义CSRF令牌名称和头部名称**: 如果需要,你可以自定义CSRF令牌的名称和头部名称。例如: ```java http .csrf() .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) .and() .addFilterBefore(new CsrfHeaderFilter(), CsrfFilter.class); ``` 4. **禁用CSRF保护**: 在某些情况下,你可能希望禁用CSRF保护,例如在纯API项目中。你可以通过以下方式禁用CSRF保护: ```java http .csrf().disable() .and() // 其他安全配置 ``` 5. **处理Ajax请求中的CSRF令牌**: 对于Ajax请求,你需要确保在请求头中包含CSRF令牌。通常,这可以通过JavaScript代码实现,将CSRF令牌从隐藏字段中提取出来,并在Ajax请求头中添加。例如: ```javascript var csrfHeader = $("meta[name='_csrf_header']").attr("content"); var csrfToken = $("meta[name='_csrf']").attr("content"); $(document).ajaxSend(function(event, xhr, settings) { if (settings.type == "POST") { xhr.setRequestHeader(csrfHeader, csrfToken); } }); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Java皇帝

有帮助就赏点吧,博主点杯水喝喝

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值