spring security 集成csrf与会话更新

最新推荐文章于 2024-09-16 16:45:51 发布
原创 最新推荐文章于 2024-09-16 16:45:51 发布 · 2.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在Spring Security中集成CSRF保护后,如何处理会话更新问题。当使用Servlet 3.1+,可以直接调用request的changeSessionId()方法。对于旧版本Servlet,文中提供了解决方案,防止在切换会话时丢失其他属性。

配置完spring security的csrf功能后,用APP SCAN扫描,发现登录页面没有进行会话更新(changeSessionId),如果使用servlet3.1+,可以直接在request中调用changeSessionId()方法。如果使用的是旧版本的servlet,则可以使用如下方法:


/*spring security csrf token reinvoke*/
		Object obj = null;
		obj = 
		req.getAttribute(CsrfToken.class.getName());
		req.getSession().invalidate();
		req.getSession();
		if(obj!=null){
			req.getSession().setAttribute(HttpSessionCsrfTokenRepository.class
					.getName().concat(".CSRF_TOKEN"), obj);
		}



上述方法只是将csrf的Token保存到新session中去,如果session中还有其他属性,则会丢失,那么可以参考以下方法:

/**
	 * update session id
	 * req.changeSessionId()
	 * @param req
	 * @param resp
	 */
	protected void changeSessionId(HttpServletRequest req,
			HttpServletResponse resp) {
		HashMap<String, Object> attributesToMigrate = new HashMap<String, Object>();;
		Enumeration enumer = req.getSession().getAttributeNames();
最低0.47元/天 解锁文章
Spring Security的“CSRF漏洞”:如何防御跨站请求伪造?
墨夶的博客
10-09 1787
摘要: 本文深入解析Spring SecurityCSRF防御机制,剖析其核心原理(如Token生成/校验流程)及实战配置方法。通过真实漏洞案例(如CVE-2024-38821)揭示风险,结合代码演示如何通过表单/AJAX传递Token,并对比Session/Cookie/数据库等存储方案。文章还探讨高阶防御策略,包括自定义Token存储和严格校验规则,帮助开发者构建强健的CSRF防护体系。
什么是CSRF攻击,SpringSecurity如何防御?
java永无止境!
06-20 1115
CSRF(跨站请求伪造,Cross-Site Request Forgery)是一种常见的网络攻击方式。在这种攻击中,攻击者诱导已经登录的用户在不知情的情况下发送请求到一个应用程序,从而在没有用户意识并且使用用户自身权限的情况下执行攻击者预定义的操作。
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1436
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
一分钟理解post和put(安全幂等角度)
小胖的博客
11-22 7214
HTTP方法的安全性和幂等性 可以认为安全的方法都是只读的方法(GET, HEAD, OPTIONS),不会改变资源状态,显然,这三个方法也是幂等的。 DELETE方法的语义表示删除服务器上的一个资源,第一次删除成功后该资源就不存在了,资源状态改变了,所以DELETE方法不具备安全特性。然而HTTP协议规定DELETE方法是幂等的,每次删除该资源都要返回状态码200 OK,服务器端要实现幂等的DE...
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security(六) —— CSRF
eyes++的博客
07-26 4856
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
SpringSecurity中的CSRF解读
-
04-11 651
SpringSecurity中的CSRF解读 从刚开始学习SpringSecurity时,在配置类中一直存在这样一行代码:http.csrfo.disable() 如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 什么是CSRF CSRF (Cross-site request forgery) 跨站请求伪造,也被称为"OneClick Attack” 或者 Sess...
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring SecurityCsrf 攻击实现代码解析 Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证...
SpringBoot集成Spring security 2024.10(Spring Security 6.3.3)
最新发布
10-22
在实际的开发中,SpringBootSpring Security集成还需要考虑到会话管理、密码存储、记住我功能、CSRF保护等多个方面。开发者需要根据自己的业务需求进行相应的配置。 对于使用SpringBoot和Spring Security构建的...
spring security中的csrf防御原理(跨域请求伪造)
08-25
Spring Security中,CSRF防御主要依赖于生成和验证一个称为CSRF Token的随机值。这个令牌在用户会话开始时生成,并存储在用户的会话和HTTP响应头中。当用户发起POST、PUT、DELETE等可能导致状态改变的请求时,需要...
Spring Security--CSRF防护
我和井盖都笑了博客
04-05 424
    Spring SecurityCSRF 从刚开始学习 Spring Security 时,在配置类中一直存在这样一行 代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这 行代码的含义是:关闭 csrf 防护。     1 什么是 CSRF CSRF(Cross-sit...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security CSRF防御&源码分析
Charge8的博客
01-14 3975
Spring Security CSRF防御&源码分析
SpringSecurity(十)【CSRF 漏洞保护】
Vinjcent
12-25 1788
具体的操作方式就是在每一个 HTTP 请求中,除了默认自动携带的 Cookie 参数之外,再提供一个安全的、随机生成的字符串,我们称之为 CSRF 令牌。可以发现,当用户在8080正常认证身份之后,假如另外一台服务知道8080服务的转账接口,那么就会根据这个接口去操作用户的信息,这回给我们用户带来数据泄露的问题,因为都是在当前网站的 Cookie 信息识别用户。获取服务端令牌方式如下。说明:模拟场景,用户A给用户B转账,在用户A未注销之前,有人通过用户A已经认证的信息,对其进行转账给用户C的操作。
SpringSecurityCSRF漏洞保护
Littewood的博客
07-24 1806
SpringSecurityCSRF漏洞保护
SpringSecurity原理解析(八):CSRF防御解析
liang8999的博客
09-16 2052
在自定义SpringSecurity配置文件中的configure方法中,通过 HttpSecurity 先调用csrf()从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用程序,2)请求到来时,程序会从请求中获取提交的csrfToken,同时会从HttpSession中获取。之前存储的csrfToken进行比较,如果相同则认为是合法的请求,继续后面的操作,这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验,来检查 Referer字段。
spring securityCSRF的支持
GitChat
05-18 327
安全是一个企业的底裤,其中一个很常见的网络攻击就是CSRF,本次chat将使用spring security搭建一个支持CSRF的应用,所有代码放到github上,文字作为讲解帮助大家理解,希望大家认真学习CSRF,做好网络的防护。适合所有开发java web的小伙伴学习。...
spring security 处理CSRF
singkingcho的专栏
12-18 1165
csrf概念 英文全称叫做: cross-site request forgery,翻译过来叫做跨站请求伪造。spring security默认情况下是开启了csrf保护的。所谓的CSRF一般会在用户做了某个动作之后附加了一些额外动作。 csrf工作机制 往往是利用用户在某个系统中已经登录过,其具有一些服务器操作资源的权限,攻击者利用伪造的链接或其它骗用户完成某个操作,而这个操作会偷偷和该用户可操作的系统交互。 一个简单的示例图 如何解决 根本问题在于,我们必须要确定这个行为是不是由本身客户端发出的,而
Spring CSRF防护
YOUTH_TFG的博客
02-16 899
Spring CSRF
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值