10 SpringSecurity-跨域请求伪造(CSRF)的防护

最新推荐文章于 2025-10-22 12:18:30 发布
原创 最新推荐文章于 2025-10-22 12:18:30 发布 · 4.4k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #前端 #安全

本文详细介绍了CSRF攻击原理、防御手段,特别是如何在Spring Security框架中实施CsrfToken认证来防止CSRF。通过HttpSessionCsrfTokenRepository和CookieCsrfTokenRepository的对比,展示了两种存储token方式及其安全性分析。

文章配套代码:https://gitee.com/lookoutthebush/spring-security-demo

一、CSRF

CSRF的全称是(Cross Site Request Forgery),可译为跨域请求伪造,是一种利用用户带登录 态的cookie进行安全操作的攻击方式。CSRF实际上并不难防,但常常被系统开发者忽略,从而埋下巨 大的安全隐患。

二、攻击过程

举个例子,假设你登录了邮箱,正常情况下可以通过某个链接http:xx.mail.com/send可以发送邮件。此时你又访问了别的网站,网站中有黄色广告,点击后广告会请求http:xx.mail.com/send。此时相当于在盗版网站中调用了发送邮件的链接,访问时会使用你邮箱网站的cookie信息。虽然盗版网站会提示跨域,但服务端任然进行了相应处理。

三、防御手段

在任何情况下,都应当尽可能地避免以GET方式提供涉及数据修改的API。并不是说其他请求方式可以避免CSRF,只是GET请求更容易被攻击。

在此基础上,防御 CSRF攻击的方式主要有以下两种。

1.HTTP Referer

Http referer是由浏览器添加的一个请求头字段,用于标识请求来源,浏览器端无法轻易篡改该值。

比如攻击者在第三方页面构造了POST请求,htttp referer不是我们网站的地址(有的老版IE浏览器可以修改该值,如果用户的浏览器比较新,就能避免这个问题),当服务端收到请求,发现请求来自其他站点,就能拒绝该请求。

这种方式简单便捷,但不是完全可靠,比如老的浏览器就能修改该值。用户在浏览器设置了不被跟踪,就不会有该字段,服务端加了校验后就会拦截掉用户的正常请求。

2.CsrfToken认证

CSRF是利用用户的登录态进行攻击的,而用户的登录态记录在cookie中。其实攻击者并不知道用 户的cookie存放了哪些数据,于是想方设法让用户自身发起请求,这样浏览器便会自行将cookie传送到 服务器完成身份校验。

CsrfToken 的防范思路是,添加一些并不存放于 cookie 的验证值,并在每个请求中都进行校验, 便可以阻止CSRF攻击。

具体做法是在用户登录时,由系统发放一个CsrfToken值,用户携带该CsrfToken值与用户名、密码 等参数完成登录。服务端记录该会话的CsrfToken值,之后在用户的任何请求中,都必须带上该 CsrfToken值,并由系统进行校验。

该方案需要前端配合,包括存储CsrfToken的值,在每次的请求中,不管是form表单还是ajax,都需要携带该token。虽然比HTTP Referer安全很多,但也有弊端,如果在已有系统进行改造,就需要修改每一个请求,所以建议在系统开发之初就考虑防御CSRF攻击。

三、使用SpringSecurity防御CSRF

csrf攻击完全是基于浏览器的,如果前端没有浏览器,也就不会有CSRF攻击了,所以我们需要关闭SpringSecurity自动配置的csrf。

 1.SpringSecurity防御CSRF过程

CsrfFilter:

Sp

最低0.47元/天 解锁文章
Spring Security的“CSRF漏洞”:如何防御请求伪造
墨夶的博客
10-09 1772
摘要: 本文深入解析Spring Security的CSRF防御机制,剖析其核心原理(如Token生成/校验流程)及实战配置方法。通过真实漏洞案例(如CVE-2024-38821)揭示风险,结合代码演示如何通过表单/AJAX传递Token,并对比Session/Cookie/数据库等存储方案。文章还探讨高阶防御策略,包括自定义Token存储和严格校验规则,帮助开发者构建强健的CSRF防护体系。
Spring Security CSRF请求伪造防护
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 262
随着Web应用程序的普及和发展,网络攻击成为了一个严重的问题。其中,CSRF(Cross-Site Request Forgery)攻击是一种非常常见的攻击方式。攻击者可以利用这种漏洞欺骗用户执行恶意操作,如恶意转账、修改用户信息等。为了提高应用程序的安全性,我们必须采取措施保护Web应用程序,其中之一就是CSRF保护机制。本文将介绍Spring Security中的CSRF保护机制,并提供一些示例和实践建议,以帮助开发人员实现更安全的Web应用程序。
Spring Security如何实现CSRF防护:深入源码的5个核心机制
最新发布
InstrGap的博客
10-22 559
深入解析Spring Security实现Java CSRF防御方案的5大核心机制,涵盖过滤器链、token生成与验证等关键流程,适用于Web应用安全防护。原理清晰、实战性强,值得收藏
4-SpringSecurityCSRF防护
GJ_ia的博客
01-08 258
从官网中可以知道,CSRF防护的关键在于我们发请求时附带一个随机数(CSRF token),而这个随机数不会被浏览器自动携带(eg: Cookie就会被浏览器自动带上)。通过form表单是一种发送POST请求的方式,但我们其他的请求不可能都通过form表单来提交。中的信息对于攻击者来说是不可见的,无法伪造的,虽然Cookie被浏览器。本系列教程,是作为团队内部的培训资料准备的。,这里演示下前后端分离项目如何实现CSRF防护下的安全请求。里面到底放了什么内容,攻击者是不知道的,所以将。
springboot整合springsecurity 实现前后端分离项目中的用户认证登录及权限管理(源码分析)(2)
bystarf的博客
03-24 759
使用数据库中的用户信息进行登录认证 至此,我们已经实现了,在用户未登录认证的情况下对请求进行拦截,并且对登录请求”/login“ 放行。接下来要实现登录接口的自定义配置。在实际环境中一般会将用户信息放在数据库中。我们还是先用默认的用户名密码跑一遍登录接口,看默认情况下,springSecurity 是怎么处理登录请求的。 启动项目。使用PostMan 发送 Post 请求至”/login“ 发现还是报”用户未登录“。但如果发送get请求 则不会报未登录。看控制台信息: 可以看到login请求只经过了4个
SpringSecurity - 启动流程分析(八)- CsrfFilter 过滤器
业精于勤荒于嬉
08-19 1317
SpringSecurity - 启动流程分析(八)- CsrfFilter 过滤器
SpringSecurityCSRF漏洞保护
Littewood的博客
07-24 1799
SpringSecurityCSRF漏洞保护
Spring Security 的 CSRF 防护机制
[ta叫我小白]的专栏
04-29 1226
Spring Security 中的 .csrf() 是用来开启或配置这种保护机制,防止恶意网站“冒充用户”向你的网站发起请求
Day244.Springsecurity解决问题、CSRF攻击防护、JWT集群应用方案 -springsecurity-jwt-oauth2
阿昌爱Java
04-11 1291
1.解决访问的问题 一、CORS简述 要说明CORS(Cross Origin Resourse-Sharing) 站资源共享,就必须先说同源策略。长话短说,同源策略就是向服务端发起请求的时候,以下三项必须与当前浏览器应用一致:名、端口、协议。用白话说:就是你的应用发送请求不能访问别人的资源,否则浏览器就会限制你。 当然也有例外,如:img、srcipt、iframe等资源引用的HTML标签不受同源策略的限制。 但是我们实际开发中又经常会站访问,比如前后端分离的应用是分开部署的,在浏览器看来是两
spring security中的csrf防御原理(请求伪造)
08-25
总之,Spring Security通过生成和验证CSRF Token,有效地防止了请求伪造攻击,增强了应用程序的安全性。为了充分利用这一功能,你需要确保所有可能导致状态改变的HTTP请求都包含有效的CSRF Token。同时,为了不...
spring-security-ng-cors:使用 spring-security-csrf-token-interceptor 演示 CORS 问题的示例
07-03
`spring-security-csrf-token-interceptor` 是一个 Spring Security 的扩展,它自动处理 CSRF 令牌,使得请求能够顺利进行。这个项目提供了一个实际的示例,演示了如何配置和使用这个拦截器。 在项目中,首先...
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1427
请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
SpringSecurity的防Csrf攻击
qq_29860591的博客
03-02 504
CSRF(Cross-site request forgery)请求伪造,也被称为One Click Attack或者Session Riding,通常缩写为CSRF或XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行...
SpringSecurity - CSRF 防御
TrustNature
10-19 1012
SpringSecurity CSRF 防御,我们使用http.csrf.disable()暂时关闭掉了CSRF的防御功能,但是这样是不安全的,那么怎么样才是正确的做法呢? 整体来说,就是两个思路: 生成 csrfToken 保存在 HttpSession 或者 Cookie 中。 请求到来时,从请求中提取出来 csrfToken,和保存的 csrfToken 做比较,进而判断出当前请求是否合...
一分钟理解post和put(安全与幂等角度)
小胖的博客
11-22 7197
HTTP方法的安全性和幂等性 可以认为安全的方法都是只读的方法(GET, HEAD, OPTIONS),不会改变资源状态,显然,这三个方法也是幂等的。 DELETE方法的语义表示删除服务器上的一个资源,第一次删除成功后该资源就不存在了,资源状态改变了,所以DELETE方法不具备安全特性。然而HTTP协议规定DELETE方法是幂等的,每次删除该资源都要返回状态码200 OK,服务器端要实现幂等的DE...
Spring Security() —— CSRF
eyes++的博客
07-26 4840
CSRF(Cross-siterequestforgery)请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是的,因为外通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
django防止csrf伪造攻击
weixin_42218868的博客
07-16 625
Csrf伪造攻击:使用当前浏览器还在生效状态的cookie对指定网站进行操作。最初针对的是银行网站的转账。 Django本身会对csrf进行校验,在django的1.4版本之前,csrf默认关闭,需要在settings当中手动开启,在1.4之后,默认开启 在django的任何post请求,都会在请求之初,给用户下发一下串用来校验身份的编码,并且每次请求不一样。 如果不加csrf_toke...
SpringSecurityCSRF攻击
2201_75856701的博客
01-13 583
一些网站比如知乎、简书中的外部链接,点击之后会有提示(免责声明),此操作有风险是否继续,这便与CSRF密切相关。当然这个POST接口无法直接在浏览器中发起请求,我们需要借助PostMan来实现POST请求的发送。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?防护,这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。建好项目后,创建一个简单的HelloController.java,包含一个。项目中模拟一个按钮操作,发起。,模拟一个钓鱼网站。
spring-security中的csrf防御机制(请求伪造)
weixin_33965305的博客
12-13 309
什么是csrfcsrf又称请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备...
security请求伪造
12-20
```python # Spring Security中的CSRF防御机制可以有效防止请求伪造攻击 # 通过生成CSRF令牌并将其包含在请求中,Spring Security可以验证请求是否合法 # 1. 配置Spring Security启用CSRF保护 # 在Spring Security配置类中启用CSRF保护 @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); } } # 2. 在前端页面中包含CSRF令牌 # 在前端页面的表单中包含CSRF令牌,可以通过Thymeleaf等模板引擎实现 <form action="/submitForm" method="post"> <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/> <!-- 其他表单字段 --> <button type="submit">提交</button> </form> ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

七号公园的忧伤

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值