spring security4 之 csrf

最新推荐文章于 2023-06-11 14:33:20 发布
原创 最新推荐文章于 2023-06-11 14:33:20 发布 · 3.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring security4 #csrf #跨域攻击

本文详细介绍了Spring Security 4中新增的CSRF保护机制,默认情况下如何启用,并提供了在表单及非表单提交方式下实现CSRF令牌的具体步骤。

spring security4增加了csrf, 而且默认是启用的,所以如果你是auto-config="true",那么就已经启用了csrf,

在http节点中可以对其进行配置 

<security:csrf/>

所以意味着页面提交的信息中需要包含csrf的token, 如果是从spring security3签约过来很容易在这里被绊倒

请求的验证匹配规则,官网是这样的

The RequestMatcher instance to be used to determine if CSRF should be applied. Default is any HTTP method except "GET", "TRACE", "HEAD", "OPTIONS"

所以对post,put, 一定跳不过


csrf过滤器验证两项内容,报文头:Request Headers  ;  提交数据:Form Data


实现代码

login.jsp

<%@ taglib prefix='security' uri='http://www.springframework.org/security/tags' %>
....

<form action="login" class="login-form" method="post" style="display: inline-table;">
	。。。
   <security:csrfInput/>
   <button type="submit" class="btn btn-success btn-block">登 录</button>
</form>
这里使用了security的一个标签,实际会生成 

<input type="hidden" name="_csrf" value="XXXXXXXXXXXXXXXXXXXX">

如果非表单提交会就会遇到麻烦,不可能为每次提交都加这么一个隐藏域

可以在报文头增加crsf的token,已jquery为例

首先修改页面

<%@ page language="java" contentType="text/html; charset=utf-8" pageEncoding="utf-8" %>
<%@ taglib prefix='security' uri='http://www.springframework.org/security/tags' %>
<!DOCTYPE html>
<html lang="zh">
  <head>
    <meta charset="utf-8">
    <title>首页</title>
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <security:csrfMetaTags/>
。。。。。。
这个标签会生成 

    <meta name="_csrf_parameter" content="_csrf" />
    <meta name="_csrf_header" content="X-CSRF-TOKEN" />
    <meta name="_csrf" content="XXXXXXXXXXXXXXXXXX" />

然后写一个统一的jquery提交的处理

(function(){
	$(document).ajaxSend(function(e,xhr,opt) {
		if (opt.type == "POST"){
			var header = $('meta[name=_csrf_header]').attr('content');
			var token  = $('meta[name=_csrf]').attr('content'); 
			if (header != '' && token != ''){			
				xhr.setRequestHeader(header, token);
			}
		}
	});
})();


完整源码下载

https://github.com/skyrocks/a-spring

Spring Security的“CSRF漏洞”:如何防御站请求伪造?
墨夶的博客
10-09 1789
摘要: 本文深入解析Spring SecurityCSRF防御机制,剖析其核心原理(如Token生成/校验流程)及实战配置方法。通过真实漏洞案例(如CVE-2024-38821)揭示风险,结合代码演示如何通过表单/AJAX传递Token,并对比Session/Cookie/数据库等存储方案。文章还探讨高阶防御策略,包括自定义Token存储和严格校验规则,帮助开发者构建强健的CSRF防护体系。
Spring 入门-第二十七篇:Spring Security-防止 CSRF 攻击
最新发布
06-01 170
本文详细介绍了Spring Security如何防护CSRF攻击。首先剖析了CSRF攻击原理,展示攻击者如何利用用户已认证会话执行恶意操作。然后重点讲解了Spring Security的防护机制:通过生成并验证唯一CSRF令牌来确保请求合法性。文章提供了丰富的配置示例,包括排除特定路径、自定义令牌存储、AJAX请求处理和令牌生成策略定制等方案。最后强调防护最佳实践,如避免全局禁用、保护令牌传输安全等,帮助开发者构建更安全的Web应用。
Spring Security4csrf
weixin_34217773的博客
11-13 211
为什么80%的码农都做不了架构师?>>> ...
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security4配置CSRF问题记录
bigger_bug的博客
01-04 829
spring security4默认是开启csrf的,所以在登陆页面需要添加<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>如上,可以获取到csrf的token值,但是,一般情况下我们都会将登录页的安全配置为none,这样的话登录页面就不属于security的管理范围之内了,所以就会导致在登录页面无
SpringSecurityCSRF、环境配置、授权、认证功能、记住我功能实现
m0_73976305的博客
06-08 1181
SpringSecurity CSRF站请求伪造攻击 开发环境搭建 认证 直接认证 使用数据库认证 自定义登录界面 授权 基于角色的授权 基于权限的授权 使用注解判断权限 记住我 SecurityContext
SpringSecurity (4) CSRFCSRF-TOKEN 的处理
热门推荐
O_o
05-17 1万+
本文主要介绍SpringSecuritySpringBoot 整合过程中关于 CSRF 的处理
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring SecurityCsrf 攻击实现代码解析 Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证...
spring security中的csrf防御原理(请求伪造)
08-25
Spring Security中,CSRF防御主要依赖于生成和验证一个称为CSRF Token的随机值。这个令牌在用户会话开始时生成,并存储在用户的会话和HTTP响应头中。当用户发起POST、PUT、DELETE等可能导致状态改变的请求时,需要...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
Spring MVC,Thymeleaf,Spring Security应用程序中的CSRF保护
最佳 Java 编程
05-21 537
站点请求伪造(CSRF)是一种攻击,它迫使最终用户在当前已通过身份验证的Web应用程序上执行不需要的操作。 如果您使用Spring Security 3.2及更高版本,在Spring MVC / Thymeleaf应用程序中防止CSRF攻击相当容易。 怎么测试? 为了进行测试,我创建了一个区受限的应用程序,可以在其中发送表单。 表单的源代码: <form class="for...
SpringSecurity框架下实现CSRF攻击防御
Tiger_Paul的博客
06-06 907
很多朋友在学习Spring Security的时候,会将CORS(站资源共享)和CSRF(站请求伪造)弄混,以为二者是一回事。其实不是,先解释一下:当我们使用Spring Security的时候,这种CSRF漏洞默认的被防御掉了。但是你会发现在请求的情况下,我们的POST、DELETE、PUT等HTTP请求方式失效了。所以在笔者之前的文章中,我们使用暂时关闭掉了CSRF的防御功能,但是这样是不安全的,那么怎么样才是正确的做法呢?...
Spring Security 开启 CSRF 防护的流程
只有变秃 才能变强
06-04 3028
说多了都是放屁,直接看官网,这个足够,网上其它文章都是抄的官网的 https://docs.spring.io/spring-security/site/docs/4.2.0.BUILD-SNAPSHOT/reference/htmlsingle/#csrf
Spring Security站请求伪造(CSRF
猪猪神功屁
08-03 2168
spring securitycsrf
SpringSecurity(认证和授权)&权限控制
weixin_61300833的博客
10-14 1418
认证和授权: 用户登录系统---认证: 系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录,其实就是在进行认证 用户登录后拥有不同的权限操作---授权: 用户认证成功后需要为用户授权,就是指定当前用户能够操作那些功能 权限模块数据模型: 要实现最终的权限控制,需要有一套表结构支撑: 用户表t_user、权限表t_permission、角色表...
使用Spring Security和Thymeleaf进行CSRF保护
allway2的博客
11-05 1146
是一个Java模板引擎,用于处理和创建HTML,XML,JavaScript,CSS和纯文本。发送请求时,Spring 会将生成的令牌与存储在会话中的令牌进行比较,以确认用户没有被黑客入侵。CSRF 是一种攻击,它强制最终用户在当前经过身份验证的 Web 应用程序中执行不需要的操作。在本文中,我们将讨论如何使用Thymeleaf应用程序在Spring MVC中。由于缺少CSRF令牌,第一个测试将导致禁止状态,而第二个测试将正确执行。我们的请求被拒绝,因为我们发送的请求没有 CSRF 令牌。
Spring Security(六) —— CSRF
eyes++的博客
07-26 4856
CSRF(Cross-siterequestforgery)站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是的,因为外通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1436
站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 4980
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了站请求伪造(CSRF)。
Spring Security CSRF防御详解与实现
Spring Security中的CSRF防御原理涉及到了一项关键的安全措施,用于防止请求伪造(Cross-Site Request Forgery, CSRF)攻击CSRF是一种网络攻击手段,攻击者利用用户已登录的会话,伪装成用户在用户不知情的情况...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值