spring security 集成csrf与会话更新

最新推荐文章于 2025-03-03 09:12:50 发布
最新推荐文章于 2025-03-03 09:12:50 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: 会话更新 spring security csrf sessionid
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/starrrr2/article/details/50067795
版权
本文介绍了在Spring Security中集成CSRF保护后,如何处理会话更新问题。当使用Servlet 3.1+,可以直接调用request的changeSessionId()方法。对于旧版本Servlet,文中提供了解决方案,防止在切换会话时丢失其他属性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

配置完spring security的csrf功能后,用APP SCAN扫描,发现登录页面没有进行会话更新(changeSessionId),如果使用servlet3.1+,可以直接在request中调用changeSessionId()方法。如果使用的是旧版本的servlet,则可以使用如下方法:


/*spring security csrf token reinvoke*/
		Object obj = null;
		obj = 
		req.getAttribute(CsrfToken.class.getName());
		req.getSession().invalidate();
		req.getSession();
		if(obj!=null){
			req.getSession().setAttribute(HttpSessionCsrfTokenRepository.class
					.getName().concat(".CSRF_TOKEN"), obj);
		}



上述方法只是将csrf的Token保存到新session中去,如果session中还有其他属性,则会丢失,那么可以参考以下方法:

/**
	 * update session id
	 * req.changeSessionId()
	 * @param req
	 * @param resp
	 */
	protected void changeSessionId(HttpServletRequest req,
			HttpServletResponse resp) {
		HashMap<Str
最低0.47元/天 解锁文章
Spring SecurityCSRF攻击
xkshihaoren的博客
12-05 651
1.CSRF攻击简介 SRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,其攻击原理如下: 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2. 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前...
Spring Security--CSRF防护
我和井盖都笑了博客
04-05 372
    Spring SecurityCSRF 从刚开始学习 Spring Security 时,在配置类中一直存在这样一行 代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这 行代码的含义是:关闭 csrf 防护。     1 什么是 CSRF CSRF(Cross-sit...
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1361
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
Spring Boot 处理CORS以及CSRF
最新发布
qq_33807380的博客
03-03 1015
CORS 是一种机制,允许浏览器向不同域(协议、域名或端口)的服务器发起请求。在 Spring Boot 中,处理跨域请求(CORS,Cross-Origin Resource Sharing)可以通过以下几种方式实现。CSRF 是一种攻击方式,攻击者诱导用户在已认证的 Web 应用中执行非预期的操作。Spring Security 提供了内置的 CSRF 防护机制。使用 Spring Security 配置 CORS。使用 @CrossOrigin 注解。
一分钟理解post和put(安全幂等角度)
小胖的博客
11-22 7068
HTTP方法的安全性和幂等性 可以认为安全的方法都是只读的方法(GET, HEAD, OPTIONS),不会改变资源状态,显然,这三个方法也是幂等的。 DELETE方法的语义表示删除服务器上的一个资源,第一次删除成功后该资源就不存在了,资源状态改变了,所以DELETE方法不具备安全特性。然而HTTP协议规定DELETE方法是幂等的,每次删除该资源都要返回状态码200 OK,服务器端要实现幂等的DE...
Spring Security(六) —— CSRF
eyes++的博客
07-26 4589
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
SpringSecurity中的CSRF解读
-
04-11 606
SpringSecurity中的CSRF解读 从刚开始学习SpringSecurity时,在配置类中一直存在这样一行代码:http.csrfo.disable() 如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 什么是CSRF CSRF (Cross-site request forgery) 跨站请求伪造,也被称为"OneClick Attack” 或者 Sess...
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring SecurityCsrf 攻击实现代码解析 Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证...
SpringSecurity笔记,编程不良人笔记
10-28
在本笔记中,我们将深入探讨SpringSecurity的核心概念、配置以及如何SpringBoot结合使用。 1. **SpringSecurity核心概念** - **Filter Chain**: SpringSecurity通过一系列过滤器实现其安全功能,这些过滤器构成...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity(十)【CSRF 漏洞保护】
Vinjcent
12-25 1701
具体的操作方式就是在每一个 HTTP 请求中,除了默认自动携带的 Cookie 参数之外,再提供一个安全的、随机生成的字符串,我们称之为 CSRF 令牌。可以发现,当用户在8080正常认证身份之后,假如另外一台服务知道8080服务的转账接口,那么就会根据这个接口去操作用户的信息,这回给我们用户带来数据泄露的问题,因为都是在当前网站的 Cookie 信息识别用户。获取服务端令牌方式如下。说明:模拟场景,用户A给用户B转账,在用户A未注销之前,有人通过用户A已经认证的信息,对其进行转账给用户C的操作。
SpringSecurityCSRF漏洞保护
Littewood的博客
07-24 1726
SpringSecurityCSRF漏洞保护
SpringSecurity原理解析(八):CSRF防御解析
liang8999的博客
09-16 1756
在自定义SpringSecurity配置文件中的configure方法中,通过 HttpSecurity 先调用csrf()从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用程序,2)请求到来时,程序会从请求中获取提交的csrfToken,同时会从HttpSession中获取。之前存储的csrfToken进行比较,如果相同则认为是合法的请求,继续后面的操作,这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验,来检查 Referer字段。
spring securityCSRF的支持
GitChat
05-18 208
安全是一个企业的底裤,其中一个很常见的网络攻击就是CSRF,本次chat将使用spring security搭建一个支持CSRF的应用,所有代码放到github上,文字作为讲解帮助大家理解,希望大家认真学习CSRF,做好网络的防护。适合所有开发java web的小伙伴学习。...
spring security 处理CSRF
singkingcho的专栏
12-18 1081
csrf概念 英文全称叫做: cross-site request forgery,翻译过来叫做跨站请求伪造。spring security默认情况下是开启了csrf保护的。所谓的CSRF一般会在用户做了某个动作之后附加了一些额外动作。 csrf工作机制 往往是利用用户在某个系统中已经登录过,其具有一些服务器操作资源的权限,攻击者利用伪造的链接或其它骗用户完成某个操作,而这个操作会偷偷和该用户可操作的系统交互。 一个简单的示例图 如何解决 根本问题在于,我们必须要确定这个行为是不是由本身客户端发出的,而
Spring CSRF防护
YOUTH_TFG的博客
02-16 867
Spring CSRF
Spring (33)CSRF(跨站请求伪造)保护
qq_43012298的博客
06-02 689
跨站请求伪造(CSRF)是一种常见的网络攻击手段,它允许攻击者在不知情的用户浏览器中发起恶意请求。这种攻击利用了网站对用户浏览器的信任。如果用户在浏览器中已经登录了一个网站,攻击者就可以构造一个请求,这个请求能够利用用户的登录状态在该网站上执行未授权的操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值