Spring框架CSRF防护深度指南

于 2025-06-24 00:20:37 发布
阅读量751 收藏 12
点赞数 20
CC 4.0 BY-SA版权
分类专栏: 安全 文章标签: 安全 Spring CSRF 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/csdn_tom_168/article/details/148834988

Spring框架CSRF防护深度指南

一、Spring Security默认防护机制

1.1 核心工作原理

Spring Security从4.0版本开始默认启用CSRF防护,通过同步令牌模式(Synchronizer Token Pattern)实现:

  1. 生成随机令牌存储于Session
  2. 将令牌注入表单隐藏字段或请求头
  3. 验证每个POST/PUT/DELETE请求的令牌有效性
<!-- 自动生成的隐藏字段 -->
<input type="hidden" name="_csrf" value="4bfd1575-3ad1-4d21-96c7-4ef2d9f83d92"/>

1.2 请求处理流程

BrowserSpringAppSecurityContextGET /transfer生成CSRF令牌返回令牌+页面渲染表单(含_csrf字段)POST /transfer?_csrf=xxx验证令牌允许操作返回403状态码alt[验证成功][验证失败]BrowserSpringAppSecurityContext

二、配置与自定义

2.1 基础配置

Java Config方式

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf() // 默认启用
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()
                .anyRequest().authenticated();
    }
}

XML Config方式

<http>
    <csrf token-repository-ref="csrfTokenRepository"/>
    <intercept-url pattern="/admin/**" access="hasRole('ADMIN')"/>
</http>

<beans:bean id="csrfTokenRepository" 
           class="org.springframework.security.web.csrf.CookieCsrfTokenRepository"/>

2.2 高级自定义

令牌存储方式

// 会话存储(默认)
.csrfTokenRepository(HttpSessionCsrfTokenRepository.INSTANCE)

// Cookie存储(推荐)
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())

// 自定义存储
.csrfTokenRepository(new CustomCsrfTokenRepository())

请求头携带方式

// 客户端设置(Axios示例)
axios.defaults.headers.common['X-CSRF-TOKEN'] = '${_csrf.token}';

2.3 排除特定路径

http
    .csrf()
        .ignoringAntMatchers("/api/v1/public/**", "/health-check")

三、REST API防护方案

3.1 推荐实现方式

双重提交Cookie模式

.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())

请求头携带示例

GET /api/data HTTP/1.1
Host: example.com
Cookie: XSRF-TOKEN=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
X-XSRF-TOKEN: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

3.2 Angular集成示例

// app.module.ts
import { HttpClientModule, HTTP_INTERCEPTORS } from '@angular/common/http';
import { XsrfInterceptor } from './xsrf.interceptor';

@NgModule({
  imports: [HttpClientModule],
  providers: [
    {
      provide: HTTP_INTERCEPTORS,
      useClass: XsrfInterceptor,
      multi: true
    }
  ]
})
export class AppModule {}

四、常见问题解决

4.1 403错误排查

检查项

  1. 确认请求方法为POST/PUT/DELETE
  2. 验证请求头/参数包含有效令牌
  3. 检查Cookie策略(SameSite设置)
  4. 确认未错误配置csrf().disable()

调试技巧

// 启用详细日志
logging.level.org.springframework.security.web.csrf=DEBUG

4.2 多页面应用适配

Thymeleaf集成

<form th:action="@{/transfer}" method="post">
    <input type="hidden" th:name="${_csrf.parameterName}" 
           th:value="${_csrf.token}"/>
    <!-- 其他表单字段 -->
</form>

JSP集成

<input type="hidden" 
       name="${_csrf.parameterName}" 
       value="${_csrf.token}"/>

4.3 移动端适配

原生App集成

  1. 会话Cookie自动管理
  2. 显式传递X-CSRF-TOKEN头
  3. 使用Token绑定机制:
.csrf()
    .csrfTokenRequestHandler(new ServerCsrfTokenRequestHandler() {
        @Override
        public void handle(HttpServletRequest request, 
                          HttpServletResponse response,
                          CsrfToken token) {
            if ("POST".equals(request.getMethod())) {
                response.setHeader("X-CSRF-TOKEN", token.getToken());
            }
        }
    })

五、生产环境最佳实践

5.1 安全增强配置

令牌轮换策略

.csrf()
    .csrfTokenRepository(new DefaultCsrfTokenRepository() {
        @Override
        public CsrfToken generateToken(HttpServletRequest request) {
            CsrfToken token = super.generateToken(request);
            if (isLoginRequest(request)) {
                return token; // 登录时不轮换
            }
            return new DefaultCsrfToken(
                token.getHeaderName(),
                token.getParameterName(),
                UUID.randomUUID().toString());
        }
    });

请求频率限制

.sessionManagement()
    .maximumSessions(1)
    .maxSessionsPreventsLogin(true)
.and()
.and()
.requestCache()
    .requestCache(new NullRequestCache()) // 防止缓存CSRF令牌

5.2 监控与审计

关键指标收集

  • CSRF验证失败次数
  • 令牌生成频率
  • 会话并发数
  • 异常请求来源分布

审计日志示例

{
  "timestamp": "2023-08-01T14:30:00Z",
  "event": "CSRF_VALIDATION_FAILED",
  "user": "anonymous",
  "path": "/api/transfer",
  "client_ip": "192.168.1.100",
  "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
}

5.3 灾难恢复方案

紧急禁用流程

  1. 特征分析:识别攻击特征(高频403错误)
  2. 配置回滚:临时禁用CSRF防护
  3. 流量清洗:配合WAF过滤恶意请求
  4. 策略恢复:问题修复后逐步启用防护

配置回滚示例

// 仅在紧急情况下使用
http
    .csrf().disable() // 临时禁用
    .authorizeRequests()
        .anyRequest().permitAll();

六、合规性要求

6.1 标准映射表

规范/标准相关条款实施要求
PCI DSS6.5.10关键支付接口实施CSRF防护
GDPR32(1)(b)用户数据操作保护
ISO 27001A.14.2.5Web应用安全控制
NIST 800-53SC-8, SC-20传输层保护与验证机制
OWASP ASVS4.3.1, 4.3.2CSRF防护验证

使用Spring框架CSRF防护机制相关配置策略是实际生产环境实践安全的有效途径。

Java云原生安全框架实战:从Spring Security到容器防护的终极指南
墨夶的博客
05-04 367
身份与访问控制:RBAC+JWT实现细粒度权限数据安全:端到端加密与HSM密钥管理基础设施防护:容器镜像扫描与安全上下文配置监控与响应:实时指标告警与自动化修复立即行动:将本文代码集成到你的云原生项目中,构建坚不可摧的安全防线!关注我,获取更多云原生安全实战技巧!🔒。
Spring Security】认证之案例的使用、MD5加密、CSRF防御
无法自律的人的博客
12-28 2107
创建自定义MD5加密类并实现@Override//对密码进行 md5 加密@Override// 通过md5校验修改@Bean// 自定义MD5加密方式:数据库中的用户密码也需要更换成对应自定义MD5//MD5自定义加密方式:最后,将生成的MD5加密密码保存到数据库表中。CSRF跨站请求伪造)是一种利用用户已登录的身份在用户不知情的情况下发送恶意请求的攻击方式。
Spring Security CSRF防御&源码分析
Charge8的博客
01-14 3831
Spring Security CSRF防御&源码分析
SpringSecurity之CSRF漏洞保护
Littewood的博客
07-24 1755
SpringSecurity之CSRF漏洞保护
Spring Security(十一) Spring Security 中 CSRF
我是一只蘑菇17的博客
09-26 1514
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者SessionRiding。通过伪造用户请求访问受信任站点的非法请求访问。跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。客户端与服务进行交互时,由于 http 协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。
Spring Security(六) —— CSRF
eyes++的博客
07-26 4762
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
微服务架构 Spring Cloud 生态快速回顾指南
热门推荐
张彦峰的博客
02-14 168万+
本文介绍了Spring Cloud在微服务架构中的核心组件及其应用。Spring Cloud提供了服务注册与发现、负载均衡、配置管理和容错机制等功能,简化了分布式系统的构建与管理。通过对这些组件的分析,本文阐述了如何利用Spring Cloud提高微服务系统的可用性、灵活性和可扩展性。最终,本文强调了Spring Cloud作为现代云原生应用开发的重要工具,帮助开发者构建高效、可靠的微服务架构。
Spring框架开发指南深度解析与实战心得
5. **MVC框架**:Spring MVC是Spring框架的一部分,用于构建Web应用程序。它提供了一种模型-视图-控制器架构,使得业务逻辑、表示层和数据访问层可以分离,增强了代码结构的清晰性和可测试性。 6. **Spring Boot**...
CSRF防护实战:SpringSecurity中的原理与最佳实践
文章从CSRF攻击原理及防御基础入手,深入解析了Spring Security的CSRF防护机制,包括其安全框架的核心组件、认证授权流程CSRF防护的策略与方法。接着,本文通过实战配置与优化,提供了CSRF配置的详细步骤和高级...
Spring框架深度解析:第3版精华
"Spring Recipes, 3rd Edition.pdf" 是一本深入浅出介绍Spring框架指南,涵盖了Spring 4.0版本的内容。这本书是初学者掌握Spring技术的优秀参考资料,包含多个章节,全面讲解了Spring的核心特性、开发工具、MVC、...
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security(学习笔记)--漏洞保护(csrf攻击与防御以及源码分析)!
最新发布
TONGZHOUGONGDU的博客
04-29 660
CSRF是什么 ,跨站请求伪造,简单解释一下,就是用户登录某个界面,如银行界面,进行转账,完了之后并没有注销登录,而是打开一新的页面,在页面上点击了某个攻击者设下的链接,那么这个链接,就可以带着浏览器存储的cookie,发送给银行服务器,由于已经认证过了,所以银行服务器以为是用户自己的操作,就达成了攻击者的目的。我们登录第一个项目,然后点击转账,后台会出现模拟转账的打印,然后,进入第二个项目的界面,直接点那张具备诱惑力的图片,然后,就会发现,项目一,依然打印了转账的操作日志,这个就是跨站请求伪造。
SpringSecurity(10)——Csrf防护
peng_gx的博客
01-20 2424
SpringSecurity Csrf防护
一分钟理解post和put(安全与幂等角度)
小胖的博客
11-22 7126
HTTP方法的安全性和幂等性 可以认为安全的方法都是只读的方法(GET, HEAD, OPTIONS),不会改变资源状态,显然,这三个方法也是幂等的。 DELETE方法的语义表示删除服务器上的一个资源,第一次删除成功后该资源就不存在了,资源状态改变了,所以DELETE方法不具备安全特性。然而HTTP协议规定DELETE方法是幂等的,每次删除该资源都要返回状态码200 OK,服务器端要实现幂等的DE...
Spring Security 6.x 系列【21】漏洞防护篇之跨站请求伪造
记录知识、锤炼自我
07-12 8185
除了认证授权外功能外,还提供了安全防护功能,比如跨站点请求伪造 (CSRF跨站请求伪造,通常缩写为CSRF或者XSRF。简单来说就是攻击者通过一些技术手段,欺骗用户的浏览器去访问一个自己曾经认证过的网站,并运行一些操作,比如发消息、转账、购买商品等。
Spring Security CSRF
诗人不写诗
09-15 555
Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRF和RESTful技术有冲突。 CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。 需要站点受到CSRF的保护,同时可以对外提供的REST服务,就需要开出一个隧道来。 1)如果这个http请求是通过get方式发起的请求,意味着它只是访问服务器 的资源,仅仅只是查询,没...
spring实战-Spring-security自定义登入登出、防csrf攻击及视图保护
乔布斯基的博客
08-21 4290
第十篇:Spring-security自定义登入登出、防csrf攻击及视图保护 这是SpringSpringMVC的最后一篇,本次主要演示SpringSecurity更使用的示例,如自定义的登录页面,系统登出,防止CSRF跨站攻击,以及视图保护视图保护可以定义到按钮级别的权限 先看自定义的登录页面 1,还是SecurityConfig的configure配置 @Override p
spring security CSRF防护
aabbyyz的博客
10-22 1713
分享一下我老师大神的人工智能教程!http://blog.youkuaiyun.com/jiangjunshow 也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴! CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSR...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值