SpringGateway使用SpringSecurity防止CSRF攻击

最新推荐文章于 2024-09-08 20:33:27 发布
原创 最新推荐文章于 2024-09-08 20:33:27 发布 · 8k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #java #安全 #spring

本文介绍了如何在SpringGateway中配置SpringSecurity以防止CSRF攻击,重点讲解了如何通过Cookie持久化XSRF-TOKEN,并自定义过滤器确保GET请求也携带token。同时,提到了在响应式编程中的问题及其解决方案。

SpringGateway使用SpringSecurity防止CSRF攻击

配置CSRF保护

@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
	http
		.csrf(csrf -> csrf.csrfTokenRepository(CookieServerCsrfTokenRepository.withHttpOnlyFalse()))
	return http.build();
}

以上通过Cookie持久化XSRF-TOKEN值,jS读取cookie中的值发起请求时需携带X-XSRF-TOKEN
请求头,默认情况GET,HEAD,TRACE,OPTIONS请求方式是放行的,具体实现在DefaultRequireCsrfProtectionMatcher
类。如果需要特殊定制,可以自定义实现类实现ServerWebExchangeMatcher,并替换默认DefaultRequireCsrfProtectionMatcher:

  @Bean
    public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
        http
                .csrf(csrf -> csrf.csrfTokenRepository(CookieServerCsrfTokenRepository.withHttpOnlyFalse())
                        .requireCsrfProtectionMatcher(new CustomServerWebExchangeMatcher());
        return http.build();
    }

CookieServerCsrfTokenRepository does not add cookie

在我们按照上述配置分别测试GET请求和POST请求时,发现GET请求响应cookie中并没有XSRF-TOKEN,原因在响应式编程中CsrfToken
并没有被订阅。具体问题解析在Spring Security issues中找到答案
最后也提供了解决方式:

@Slf4j
@Component
public class CsrfHelperFilter implements WebFilter {

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {
        String key = CsrfToken.class.getName();
        Mono<CsrfToken> csrfToken = null != exchange.getAttribute(key) ? exchange.getAttribute(key) : Mono.empty();
        return csrfToken.doOnSuccess(token -> {
            ResponseCookie cookie = ResponseCookie.from("XSRF-TOKEN", token.getToken()).maxAge(Duration.ofHours(1))
                    .httpOnly(false).path("/").build();
            log.debug("Cookie: {}", cookie);
            exchange.getResponse().getCookies().add("XSRF-TOKEN", cookie);
        }).then(chain.filter(exchange));
    }
}
Spring Cloud Gateway 打造高效路由与鉴权:限流、黑白名单与灰度发布的实战秘籍
大模型大数据攻城狮的专栏
10-10 613
通过 GlobalFilter 记录每个请求的详细信息,比如请求路径、IP、耗时等。实现代码@Component@Override});效果。
Spring Security 6.x 系列【21】漏洞防护篇之跨站请求伪造
记录知识、锤炼自我
07-12 8318
除了认证授权外功能外,还提供了安全防护功能,比如跨站点请求伪造 (CSRF跨站请求伪造,通常缩写为CSRF或者XSRF。简单来说就是攻击者通过一些技术手段,欺骗用户的浏览器去访问一个自己曾经认证过的网站,并运行一些操作,比如发消息、转账、购买商品等。
CSRF网站攻击解决方式
qq_27394335的博客
07-31 667
1.CSRF(cross-site request forgery),跨站请求伪装 顾名思义,用户角度,访问成功并且登录成功我们的网站,没有推出情况下,又访问了病毒网站,于是病毒网站通过用户端,拿着用户的缓存请求我们的网站(尤其是些增删改查的致命操作),于是乎,成功影响了我们的网站,web-died。 登录成功(未退出) User(A)-------------...
Spring MVC防御CSRF、XSS和SQL注入攻击
weixin_33774615的博客
11-01 624
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRFCSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,...
Spring Cloud Gateway防重放攻击实现
Clang’s Blog
01-17 6757
在上面的代码中,在验证请求的Nonce是否合法时,会先判断Nonce是否已经在usedNonceSet中出现过,如果出现过,则认为该请求是重放攻击,返回错误响应。需要注意的是,这个TIMESTAMP_VALID_TIME是需要根据具体场景和需求来确定的,如果设置过大,则会增加重放攻击的风险,如果设置过小,则会增加误拦截的风险。这个usedNonceSet变量应该是在类的变量里定义并初始化的,并且需要注意的是,这个set要确保线程安全,在不同的线程中能够正确的读写。
spring cloud gateway中过滤xss攻击
程序员记事本
02-22 1233
spring cloud中实现xss攻击拦截的一种方法
gateway请求拦截_api-gateway实践(19)HTTP请求防篡改
weixin_30540871的博客
12-31 1338
一、概念和定义1、什么是重放攻击?我们在设计接口的时候,最担心一个接口被别有用心的用户截取后,用于重放攻击。重放攻击是什么呢?就是把请求被原封不动地重复发送,一次,两次...n次。2、重放攻击造成的后果一般的请求被提交到后台执行,先会经过【页面验证】后提交给【后台逻辑】,提交给【后台逻辑】过程中请求可能会被被拦截,如果这个【后台逻辑】是插入数据库操作,就很容易造成多条重复的数据插入数据库。如果这个...
Spring Security 升级:关闭CSRF防护
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
10-17 1237
本文将探讨Spring Security升级中关闭跨站请求伪造(CSRF)防护的关键步骤。CSRF防护是确保Web应用程序安全性的关键组成部分,但在某些情况下,需要关闭或微调以适应特定需求。我们将简洁地介绍为何关闭CSRF防护可能有必要,并提供简明的指南,以确保您的应用程序在升级后保持安全。无论您是新手还是有经验的开发者,本文将为您提供明确的方向,帮助您更好地理解如何应对CSRF防护。
SpringCloud Gateway微服务安全整合Webflux与SpringSecurity
Spring Security提供全面的安全服务,包括验证、授权、防止CSRF攻击等,并支持多种认证方式如HTTP基本认证、表单认证等。 3. 在微服务间使用Redis来获取登录的用户信息。Redis是一个开源的内存数据结构存储系统,...
spring-security.rar
04-06
9. **CSRF防护**:跨站请求伪造(CSRF)是一种攻击方式,Spring Security通过生成和验证CSRF令牌来防止这种攻击。 10. **Session Management**:Spring Security提供了丰富的会话管理策略,可以防止会话固定攻击...
Spring官方提供【CSRF攻击】解决方案
qq_35040959的博客
01-16 1888
·Spring官方提供【CSRF攻击】解决方案
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
XSS防攻击实现
05-09
XSS防攻击实现,是否为忽略xss拦截 默认为false,转义字符,InitBinder
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1424
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
SpringSecurity(10)——Csrf防护
peng_gx的博客
01-20 2715
SpringSecurity Csrf防护
connect time out 获取token失败_Spring Cloud Gateway 实现Token校验
weixin_39969953的博客
11-21 736
在我看来,在某些场景下,网关就像是一个公共方法,把项目中的都要用到的一些功能提出来,抽象成一个服务。比如,我们可以在业务网关上做日志收集、Token校验等等,当然这么理解很狭隘,因为网关的能力远不止如此,但是不妨碍我们更好地理解它。下面的例子演示了,如何在网关校验Token,并提取用户信息放到Header中传给下游业务系统。1. 生成Token用户登录成功以后,生成token,此后的所有请求都带着...
Spring Security4配置CSRF问题记录
bigger_bug的博客
01-04 819
spring security4默认是开启csrf的,所以在登陆页面需要添加<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>如上,可以获取到csrf的token值,但是,一般情况下我们都会将登录页的安全配置为none,这样的话登录页面就不属于security的管理范围之内了,所以就会导致在登录页面无
网络安全-跨站请求伪造(CSRF)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
Web安全CSRF攻击详解与防护
最新发布
J老熊
09-08 2365
CSRF攻击是指黑客通过欺骗用户在不知情的情况下向受信任的服务器发送请求,从而执行用户并未授权的操作。由于浏览器的同源策略,浏览器会自动携带当前登录用户的身份凭证(如Cookie),导致服务器误以为请求是合法用户发出的。用户登录电商系统,并在浏览器中保持会话(比如通过Cookie保存登录状态)。攻击者构造一个恶意网站,诱导用户访问该网站。恶意网站通过用户的浏览器向电商系统发送请求,例如提交订单、修改账户信息等。由于用户已经登录,服务器在收到请求时会认为是合法请求,从而执行攻击者的恶意操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值