SpringSecurity(10)——Csrf防护

最新推荐文章于 2025-06-07 14:23:30 发布
原创 最新推荐文章于 2025-06-07 14:23:30 发布 · 2.4k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #spring #java

本文详细解释了SpringSecurity4.x版本中如何启用并管理CSRF保护,包括CSRFToken的生成、存储、验证过程,以及在HTML表单、JSON请求和无状态API中的应用实例。还介绍了如何配置CsrfTokenRepository,如CookieCsrfTokenRepository和自定义数据库存储方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Csrf Token

从 Spring Security 4.x 开始,默认启用 CSRF 保护。该默认配置将 CSRF Token 添加到名为 _csrf 的 HttpServletRequest 属性中。

SpringSecurity的Csrf机制把请求方式分为两类来处理

  1. GET、HEAD、TRACE、OPTIONS这四类请求可以直接通过
  2. 除去上面,包括POST都要被验证携带token才能通过

为了保护 MVC 应用,Spring 会在每个生成的视图中添加一个 CSRF Token。该 Token 必须在每次修改状态的 HTTP 请求(PATCH、POST、PUT 和 DELETE)中提交给服务器。这可以保护应用免受 CSRF 攻击,因为攻击者无法从自己的页面获取此 Token。

用户登录时,系统发放一个CsrfToken值,用户携带该CsrfToken值与用户名、密码等参数完成登录,系统记录该会话的CsrfToken值,之后在用户的任何请求中,都必须带上该CsrfToken值,并由系统进行校验。这种方法需要与前端配置,包括存储CsrfToken值,以及在任何请求中(表单和ajax)携带CsrfToken值,这种配置会非常麻烦

_csrf 属性包含以下信息:

  1. token:CSRF Token 值
  2. parameterName:HTML 表单参数的名称,其中必须包含 Token 值
  3. headerName:HTTP Header 的名称,其中必须包含 Token 值

HTML表单

如果视图使用 HTML 表单,可以使用 parameterName 和 token 值添加隐藏 input

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

JSON请求

如果视图使用 JSON,则需要使用 headerName 和 token 值添加 HTTP 请求头信息。

  1. 在 meta 标签中包含 Token 值和 Header 名称
<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>
  1. 用 JQuery 获取 meta 标签值
var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");
  1. 使用这些值来设置 XHR Header
$(document).ajaxSend(function(e, xhr, options) {
   
   
    xhr.setRequestHeader(header, token);
});

无状态API

如果无状态 API 使用基于 Token 的身份验证(如 JWT),就不需要 CSRF 保护。反之,如果使用 Session Cookie 进行身份验证,就需要启用 CSRF 保护。无状态 API 无法像 MVC 配置那样添加CSRF Token,因为它不会生成任何 HTML 视图。

后端配置

@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
   
   
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
   
   
        http.csrf()
          .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    }
}

在这种情况下,可以使用 CookieCsrfTokenRepository 在 Cookie 中发送 CSRF Token,此配置将为前端设置一个名为XSRF-TOKEN 的 Cookie。由于将 HTTP-only 标志设置为 false,因此前端能使用 JavaScript 获取此 Cookie。

前端配置

通过 JavaScript 从 document.cookie 列表中搜索 XSRF-TOKEN Cookie 值。

由于该列表以字符串形式存储,因此可以使用此 regex (正则)进行检索:

const csrfToken = document.cookie.replace(/(?:(?:^|.*;\s*)XSRF-TOKEN\s*\=\s*([^;]*).*$)|^.*$/, '$1');

然后,必须向每个修改 API 状态的 REST 请求发送 Token: POST、PUT、DELETE 和 PATCH。Spring 会通过 X-XSRF-TOKEN Header 来接收它。只需使用 JavaScript Fetch API 设置即可:

fetch(url, {
   
   
  method: 'POST',
  body: /* 发送给服务器的请求体 */,
  headers: {
   
    'X-XSRF-TOKEN': csrfToken },
})

JWT配置

@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
   
   
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
   
   
        http.csrf().disable();
    }
}

工作原理

Spring Security 通过 CsrfFilter 实现 CSRF 防护。CsrfFilter 会直接放行 GET、HEAD、TRACE 和 OPTIONS 等请求,同时要求可能会修改数据的 PUT、POST 和 DELETE 等请求包含 CSRF Token 请求头或参数。如果 CSRF Token 不存在或值不正确,则拒绝该请求并将响应的状态设置为 403

CsrfToken

public interface CsrfToken extends
最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring Security(学习笔记)--漏洞保护(csrf攻击与防御以及源码分析)!
TONGZHOUGONGDU的博客
04-29 659
CSRF是什么 ,跨站请求伪造,简单解释一下,就是用户登录某个界面,如银行界面,进行转账,完了之后并没有注销登录,而是打开一新的页面,在页面上点击了某个攻击者设下的链接,那么这个链接,就可以带着浏览器存储的cookie,发送给银行服务器,由于已经认证过了,所以银行服务器以为是用户自己的操作,就达成了攻击者的目的。我们登录第一个项目,然后点击转账,后台会出现模拟转账的打印,然后,进入第二个项目的界面,直接点那张具备诱惑力的图片,然后,就会发现,项目一,依然打印了转账的操作日志,这个就是跨站请求伪造。
SpringSecurity系列——会话管理,CSRFday8-1(源于官网5.7.2版本)
qq_51553982的博客
07-30 758
CSRF攻击的根源在于浏览器默认的身份验证机制(自动携带当前网站的Cookie信息),这种机制虽然可以保证请求是来自用户的某个浏览器,但是无法确保这请求是用户授权发送。当前端请求到达后,将请求携带的CSRF令牌信息和服务端中保存的令牌进行对比,如果两者不相等,则拒绝掉该HTTP请求。将CSRF放入到cookie中,在清求时获取cookie中的CSRF令牌一并提交即可,其实最直接的实现方式是设置到header中即可,这样是否方便,反正每次令牌都会变化即使你的请求被获取也不会有这样的问题。......
SpringSecurity当中的CSRF防范详解
学习记录
05-13 1000
文章摘要: CSRF(跨站请求伪造)攻击通过利用用户已登录的会话,诱导浏览器自动发送恶意请求,从而在用户不知情的情况下执行敏感操作。攻击成功的关键在于用户已登录受信任网站、网站未启用CSRF防护以及请求参数可预测。防御措施包括使用CSRF Token验证、设置SameSite Cookie属性以及检查Referer来源。Spring Security默认启用CSRF防护,通过生成和验证CSRF Token来阻断攻击。未启用CSRF防护可能导致数据泄露、资金损失等严重后果。开发者应根据业务场景选择合适的防护
SpringSecurityCSRF漏洞保护
Littewood的博客
07-24 1755
SpringSecurityCSRF漏洞保护
235. CSRF 防护机制
最新发布
weixin_43484713的博客
06-07 661
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种恶意攻击方式,攻击者通过诱导受害者访问特定页面或点击恶意链接,利用受害者在目标网站(如银行、社交平台等)已登录的合法身份,伪造用户请求执行非预期的操作。这种攻击的本质是冒用用户身份,而非直接窃取数据。CSRF(跨站请求伪造):攻击者诱导用户在已登录目标网站的情况下,执行非预期的操作(如转账、修改密码等)。攻击利用的是用户对目标网站的信任。XSS(跨站脚本攻击)
spring security CSRF防护
aabbyyz的博客
10-22 1712
分享一下我老师大神的人工智能教程!http://blog.youkuaiyun.com/jiangjunshow 也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴! CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSR...
一分钟理解post和put(安全与幂等角度)
小胖的博客
11-22 7125
HTTP方法的安全性和幂等性 可以认为安全的方法都是只读的方法(GET, HEAD, OPTIONS),不会改变资源状态,显然,这三个方法也是幂等的。 DELETE方法的语义表示删除服务器上的一个资源,第一次删除成功后该资源就不存在了,资源状态改变了,所以DELETE方法不具备安全特性。然而HTTP协议规定DELETE方法是幂等的,每次删除该资源都要返回状态码200 OK,服务器端要实现幂等的DE...
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1384
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
SpringSecurity(十)【CSRF 漏洞保护】
Vinjcent
12-25 1727
具体的操作方式就是在每一个 HTTP 请求中,除了默认自动携带的 Cookie 参数之外,再提供一个安全的、随机生成的字符串,我们称之为 CSRF 令牌。可以发现,当用户在8080正常认证身份之后,假如另外一台服务知道8080服务的转账接口,那么就会根据这个接口去操作用户的信息,这回给我们用户带来数据泄露的问题,因为都是在当前网站的 Cookie 信息识别用户。获取服务端令牌方式如下。说明:模拟场景,用户A给用户B转账,在用户A未注销之前,有人通过用户A已经认证的信息,对其进行转账给用户C的操作。
Spring Security() —— CSRF
eyes++的博客
07-26 4760
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
Spring Security——基于MyBatis
戏拈秃笔的博客
06-13 1268
国内目前常用的两个数据库操作框架:Spring Data JPA和MyBatis,只需掌握一个即可
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity】认证与鉴权框架SpringSecurity——认证
低调做人,低调编码,神码都是浮云
06-22 1070
认证与鉴权框架SpringSecurity——认证
spring |Spring Security安全框架 —— 认证流程实现
鳄鱼杆的博客
10-13 924
介绍的话不多说,就一句:Spring Security 是一个安全管理框架。一般用于中大型项目。小项目使用shiro,shiro上手简单。小项目练手用也是相当可以的。好吧!这是三句话,没跑。SpringSecurity5.7.0之前 - 常见的 Spring HTTP Security 配置类都会继承一个 WebSecurityConfigureAdapter 类。 - 从 5.7.0-M2 起,WebSecurityConfigureAdapter 被废弃了,不推荐使用。 - 组件化,更加灵活。
Spring Security CSRF
诗人不写诗
09-15 555
Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRF和RESTful技术有冲突。 CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。 需要站点受到CSRF的保护,同时可以对外提供的REST服务,就需要开出一个隧道来。 1)如果这个http请求是通过get方式发起的请求,意味着它只是访问服务器 的资源,仅仅只是查询,没...
SpringSecurity中的CSRF解读
-
04-11 616
SpringSecurity中的CSRF解读 从刚开始学习SpringSecurity时,在配置类中一直存在这样一行代码:http.csrfo.disable() 如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 什么是CSRF CSRF (Cross-site request forgery) 跨站请求伪造,也被称为"OneClick Attack” 或者 Sess...
Spring安全方案—针对常见漏洞的保护(CSRF(官方原版)
深圳市多克创新科技有限公司
04-23 1274
Spring Security针对常见漏洞的保护—官方原版
Spring Security 的 CSRF 防护机制
[ta叫我小白]的专栏
04-29 1059
Spring Security 中的 .csrf() 是用来开启或配置这种保护机制,防止恶意网站“冒充用户”向你的网站发起请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值