Spring常用过滤器（Filter）-CsrfFilter

CsrfFilter：跨站请求伪造（CSRF）防护过滤器。

1.1 功能概述：
1.1.1 CSRF（Cross-Site Request Forgery）跨站请求伪造是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击者通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站并运行一些操作（如发邮件、发消息，甚至财产操作如转账和购买商品）。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去运行。
1.2 工作原理：
1.2.1 CsrfFilter的工作原理基于同步令牌模式（Synchronizer Token Pattern，STP）。在STP中，服务器会为每个用户会话生成一个唯一的CSRF令牌，并将其与用户的会话信息相关联。然后，服务器会在发送给用户的每个表单或链接中包含这个令牌。当用户提交表单或点击链接时，浏览器会将令牌作为请求的一部分发送回服务器。服务器会验证令牌的有效性，如果令牌与会话中的令牌不匹配，则拒绝请求，从而防止CSRF攻击。
1.2.2 在Spring Security中，CsrfFilter会针对PATCH、POST、PUT和DELETE等具有副作用的HTTP方法进行防护。当用户访问受保护的资源时，CsrfFilter会检查请求中是否包含有效的CSRF令牌。如果请求中缺少令牌或令牌无效，CsrfFilter将拒绝该请求并返回相应的错误响应。

1.3 CsrfFilter的配置与使用：
1.3.1 默认配置：从Spring Security 4.0开始，默认情况下会启用CSRF保护。这意味着Spring Security会自动为应用程序添加CsrfFilter，并对具有副作用的HTTP方法进行防护。
1.3.2 关闭CSRF保护：在某些情况下，可能需要关闭CSRF保护。例如，在开发过程中或在使用某些第三方库时，可能需要禁用CSRF保护。可以通过在Spring Security配置类中调用http.csrf().disable()方法来关闭CSRF保护。
1.3.3 自定义CSRF令牌：默认情况下，Spring Security会使用HttpSessionCsrfTokenRepository来存储和检索CSRF令牌。如果需要自定义CSRF令牌的生成、存储和检索逻辑，可以实现CsrfTokenRepository接口并重写其中的方法。然后，在Spring Security配置类中通过csrfTokenRepository()方法注册自定义的CsrfTokenRepository实现。
1.3.4 忽略特定请求：有时，可能需要忽略某些特定请求的CSRF保护。例如，对于某些API端点或公共页面，可能不需要进行CSRF保护。可以通过在Spring Security配置类中调用ignoringAntMatchers()或ignoringRequestMatchers()方法来指定要忽略的请求模式。

1.4 注意事项：
1.4.1 确保令牌的安全性：CSRF令牌应该具有足够的随机性和唯一性，以确保攻击者无法猜测或预测令牌的值。
1.4.2 在表单和链接中包含令牌：确保在发送给用户的每个表单和链接中都包含CSRF令牌。这可以通过在表单字段或链接参数中添加令牌来实现。
1.4.3 验证令牌的有效性：在服务器端验证令牌的有效性是防止CSRF攻击的关键步骤。确保在处理请求之前验证令牌的值，并拒绝与会话中的令牌不匹配的请求。