Springboot防CSRF攻击

最新推荐文章于 2025-06-01 08:00:00 发布
原创 最新推荐文章于 2025-06-01 08:00:00 发布 · 2.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#防CSRF攻击

本文介绍了一种通过过滤器实现的跨站请求伪造(CSRF)防御机制。该机制通过检查HTTP头部的Referer来验证请求的来源是否合法,并在Spring Boot环境中进行了配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

下面展示一些 内联代码片

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import com.util.StrUtil;

public class CSRFFilter implements Filter {
	private FilterConfig filterConfig = null;
	
	public void destroy() {
		this.filterConfig = null;
	}

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		System.out.println("==进入CSRF过滤器===");
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse resp = (HttpServletResponse) response;
		// 从http头中获取Referer
		String referer = req.getHeader("Referer");
		// 系统配置的referer头信息
		String myReferer = filterConfig.getInitParameter("referer");
		myReferer = StrUtil.formatNull(myReferer);// 判空
		int count = 0;
		if (myReferer.trim().length() > 0) {
			String[] myReferers = myReferer.split(";");
			for (int i = 0; i < myReferers.length; i++) {
				if (referer != null && !referer.trim().startsWith(myReferers[i])) {
					count++;
				} else {
					chain.doFilter(request, response);
					break;
				}
			}
			if (count == myReferers.length) {
				System.out.println("检测到您发送的请求可能为跨站伪造请求1:" + HttpServletResponse.SC_BAD_REQUEST);
				resp.sendError(HttpServletResponse.SC_BAD_REQUEST);
				return;
			}
		}
		System.out.println("==结束CSRF过滤器===");
	}

	public void init(FilterConfig filterConfig) throws ServletException {
		this.filterConfig = filterConfig;
	}
}

import java.util.Map;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import com.google.common.collect.Maps;
import com.filter.CSRFFilter;

@Configuration
public class FilterConfig {
		@Bean
		public FilterRegistrationBean csrfFilterRegistrationBean() {
			FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
			filterRegistrationBean.setFilter(new CSRFFilter());
			filterRegistrationBean.setOrder(2);
			filterRegistrationBean.setEnabled(true);
			filterRegistrationBean.addUrlPatterns("/*");
			Map<String, String> initParameters = Maps.newHashMap();
			initParameters.put("referer", "http://localhost:8080");
			/* initParameters.put("isIncludeRichText", "true"); */
			filterRegistrationBean.setInitParameters(initParameters);
			return filterRegistrationBean;
		}
	}

public class StrUtil {
		/**
		 * 功能:格式化空字符串
		 * 
		 * @param str
		 * @return String
		 */
		public static String formatNull(Object str) {
			return null == str || "null".equals(str) ? "" : str.toString();
		}
	}
详解如何在spring boot中使用spring securityCSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring securityCSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring boot项目怎么预CSRF攻击
keyboard专栏
04-24 1358
在Spring Boot项目中预CSRF攻击通常涉及利用Spring Security框架提供的内置支持。Spring Security已经为CSRF提供了默认的护措施,但根据应用的特定需求,可能需要进行一些配置调整或扩展。
SpringBoot CSRF护机制详解:从入门到精通
最新发布
专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
06-01 1283
本文介绍了CSRF攻击的概念、原理及Spring Boot中的护机制。CSRF(跨站请求伪造)利用用户已登录状态,诱骗其执行非本意操作。Spring Security默认采用同步器令牌模式御:生成随机令牌存储于Session,并通过表单或HTTP头发送给客户端,请求时必须验证令牌有效性。文章详细展示了表单和AJAX请求中的CSRF护实现,包括Thymeleaf自动添加令牌、从Cookie获取令牌的方法,以及如何自定义令牌存储方式和排除特定路径的护。Spring Boot通过这套机制有效CSRF
一、Springboot安全之CSRF攻击
panchang199266的博客
10-18 2万+
(一)简要介绍   跨站请求伪造(Cross-site request fogery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的WEB应用程序上执行非本意的操作的攻击方法。   举个栗子: 用户小z登录了网站A,同时打开网站B 网站B隐蔽的发送一个请求至网站A 网站A通过session、cookie等身...
SpringBoot 如何CSRF 攻击
leveretz的博客
12-29 630
SpringBoot 如何CSRF 攻击
csrf御】springboot项目如何csrf
run_boy_2022的博客
06-14 1716
CSRF(Cross-Site Request Forgery) ,通过单词简单理解就是跨站点请求伪造,用通俗简单点就是攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的操作1、用户打开浏览器访问受信任网站A,输入用户名和密码请求登录网站A;2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
springboot后端实现御xSRF攻击的策略代码.zip
02-10
本包中,含有2个实现springboot后端实现御xSRF攻击的策略代码,具体使用,还需要看您的具体场景,进行区分使用!CSRFInterceptor.java、XSRFHandlerInterceptor.java
Spring Security(学习笔记)--漏洞保护(csrf攻击御以及源码分析)!
TONGZHOUGONGDU的博客
04-29 669
CSRF是什么 ,跨站请求伪造,简单解释一下,就是用户登录某个界面,如银行界面,进行转账,完了之后并没有注销登录,而是打开一新的页面,在页面上点击了某个攻击者设下的链接,那么这个链接,就可以带着浏览器存储的cookie,发送给银行服务器,由于已经认证过了,所以银行服务器以为是用户自己的操作,就达成了攻击者的目的。我们登录第一个项目,然后点击转账,后台会出现模拟转账的打印,然后,进入第二个项目的界面,直接点那张具备诱惑力的图片,然后,就会发现,项目一,依然打印了转账的操作日志,这个就是跨站请求伪造。
Spring Boot中的CSRF攻击及预
Java徐师兄的博客
07-06 2221
CSRF攻击是一种常见的网络攻击方式,可以通过欺骗用户来执行恶意操作。在Spring Boot应用程序中,我们可以采取多种措施来预CSRF攻击,如添加CSRF令牌、验证请求来源、使用HTTPS协议和定期更改密钥等。这些措施可以有效地保护应用程序的安全,攻击者利用CSRF漏洞进行攻击。在实际开发中,我们可以根据实际需求选择适当的预措施。例如,如果应用程序只对内部用户开放,可以限制请求来源为内部网络;如果应用程序需要对外开放,可以使用HTTPS协议来加密数据传输。
Spring Boot | Spring Boot “CSRF 护功能“ 、Security “管理前端页面“
m0_70720417的博客
05-19 2008
目录: 一、SpringBoot 中 自定义 "用户授权管理" ( 总体内容介绍 ) 二、实现 "CSRF" 护功能 ( 通过 "HttpSecurity类" 的 csrf( )方法来实现 "CSRF" 功能 ) : 1. "关闭" CSRF 护功能 : ① 创建好 "基本的项目" ② 创建数据修改页面 ③ 编写后台控制层方法 ④ CSRF 默认护效果测试 ⑤ 关闭 Security 的 " CSRF 御功能" ......
spring boot实战之CSRF(跨站请求伪造)
热门推荐
思与学的博客
10-06 2万+
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片
springboot scurity 开启csrf 后 支付宝通知无法访问的解决办法
wjybokee的博客
12-06 1865
springboot scurity 开启csrf 后 支付宝通知无法访问的解决办法
在 Spring Boot 应用程序中实现 CSRF 安全
Eddie_920的博客
05-08 870
跨站请求伪造(CSRF)是一种常见的 Web 安全漏洞,允许攻击者代表用户执行未经授权的操作。在Spring Boot 中通过使用 Spring Security来保护应用程序免受 CSRF 攻击。在本文中,我们将演示如何在 Spring Boot 应用程序中使用Security的 Java 代码示例实现 CSRF 保护。
Springboot集成CSRF攻击
hao_kkkkk的专栏
10-20 2731
springboot CSRF攻击
Spring Boot 处理CORS以及CSRF
qq_33807380的博客
03-03 1218
CORS 是一种机制,允许浏览器向不同域(协议、域名或端口)的服务器发起请求。在 Spring Boot 中,处理跨域请求(CORS,Cross-Origin Resource Sharing)可以通过以下几种方式实现。CSRF 是一种攻击方式,攻击者诱导用户在已认证的 Web 应用中执行非预期的操作。Spring Security 提供了内置的 CSRF 护机制。使用 Spring Security 配置 CORS。使用 @CrossOrigin 注解。
Springboot实现csrf拦截器
初学者乐园的博客
03-10 6583
Springboot实现csrf拦截器,仅供参考: /** * csrf拦截器 * */ @Component(&amp;quot;csrfInterceptor&amp;quot;) public class CsrfInterceptor extends HandlerInterceptorAdapter { @Autowired private Configuration configuration; ...
Spring Boot项目CSRF (跨站请求伪造)攻击演示与
oscar999的专栏
07-17 1781
CSRF ,Cross-site request forgery,跨站请求伪造。是常见的网络攻击的方式之一,2007年曾被列为互联网20大安全隐患之一。攻击过程是攻击者伪造用户的浏览器请求,访问一个用户曾经访问过的网站, 使目标网站误以为是用户的操作而执行命令。 本篇j基于Spring Boot创建项目,用来演示CSRF攻击过程。...
Spring Boot Security - 启用 CSRF 保护
allway2的博客
02-04 2415
在上一篇文章中,我们实现了Spring Boot Security - Password Encoding Using Bcrypt。 但到目前为止,在我们所有的示例中,我们都禁用了 CSRFCSRF 代表跨站点请求伪造。这是一种强制最终用户在当前对其进行身份验证的 Web 应用程序上执行不需要的操作的攻击CSRF 攻击专门针对状态更改请求,而不是窃取数据,因为攻击者无法查看对伪造请求的响应。 Spring Boot 安全性 - 目录 Spring Boot + 简单的安全配置 Spr...
springboot csrf护原理图
04-09
### Spring Boot 中 CSRF 护的工作原理 Spring Boot 提供了内置的支持来御跨站请求伪造(CSRF攻击。其核心机制基于令牌验证的方式,具体来说,在每次 HTTP 请求中都会附加一个唯一的 CSRF Token,服务器端会校验该 Token 是否合法。 #### 工作流程描述 1. **Token 生成**: 当客户端首次访问受保护的资源时,`CsrfTokenRepository` 负责生成一个随机的 CSRF Token[^4]。 2. **Token 存储**: 生成后的 Token 将被存储到特定位置,默认情况下是保存在用户的会话(Session)中[^4]。 3. **Token 发送至前端**: 同时,此 Token 还会被嵌入到 HTML 表单或者作为响应头的一部分发送给浏览器。 4. **Token 校验**: 对于涉及状态变更的操作(如 POST、PUT 或 DELETE 方法),服务器会在处理请求前检查提交的数据中是否包含有效的 CSRF Token,并确认它与存储在 Session 中的一致[^4]。 以下是更详细的实现细节: - `CsrfFilter`: 此过滤器拦截所有传入的请求,提取其中携带的 CSRF Token 并调用相应的逻辑完成匹配操作。 - 如果检测失败,则抛出异常阻止进一步执行;如果成功则允许继续后续业务逻辑处理过程。 #### 流程图示例 下面是一个简单的 CSRF 护流程图表示法: ```plaintext +-------------------+ | User Request | +---------+--------+ | v +---------v----------+ | Check for Cookie | <-- If no cookie exists yet... +--------------------+ | Yes (Cookie Exists)? | v +---------v----------+ | Validate CSRF | <-- Compare incoming token vs stored one. | Token Against | | Stored Value | +--------------------+ | Valid? | v +-------+------+ | Proceed to Next Step| +---------------------+ ``` 以上伪代码形式展示了如何利用 Spring Security 自动化功能构建起一道线抵御潜在恶意行为者发起未经许可的动作尝试。 ### 实现中的关键接口与类 - **CsrfTokenRepository**: 接口定义了用于管理 CSRF Tokens 的三个主要方法——生成、保存以及加载 Token。 ```java @Bean public CsrfTokenRepository csrfTokenRepository() { return new HttpSessionCsrfTokenRepository(); } ``` 上述代码片段展示了一个典型的配置方式,即通过声明一个新的 Bean 来定制化我们的 CsrfTokenRepository 实现方案[^4]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值