spring boot项目怎么预防CSRF攻击

最新推荐文章于 2025-11-07 09:00:00 发布
原创 最新推荐文章于 2025-11-07 09:00:00 发布 · 1.4k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #csrf #后端

本文详细介绍了如何在SpringBoot项目中启用并配置SpringSecurity以防止CSRF攻击,包括启用CSRF保护、在表单和AJAX请求中使用CSRFToken,以及对RESTAPIs的特殊处理和安全维护建议。

在Spring Boot项目中预防CSRF攻击通常涉及利用Spring Security框架提供的内置支持。Spring Security已经为CSRF提供了默认的防护措施,但根据应用的特定需求,可能需要进行一些配置调整或扩展。下面是一系列步骤和建议,用于在Spring Boot项目中防御CSRF攻击:

1. 启用Spring Security的CSRF保护

在Spring Boot中,默认情况下,如果你添加了spring-boot-starter-security依赖,CSRF保护是启用的。确保你没有在配置中显式禁用它。

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()  // 确保这一行被注释掉或删除
            .authorizeRequests()
            .antMatchers("/", "/home").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/login")
            .permitAll()
            .and()
            .logout()
            .permitAll();
    }
}

2. 在表单中使用CSRF Token

确保你的前端表单包含由Spring Security生成的CSRF token。在Thymeleaf中,例如,你可以这样添加CSRF:

<form action="#" method="post">
    <input type="hidden" name="_csrf" value="${_csrf.token}"/>
    <!-- 表单内容 -->
</form>

对于非Thymeleaf的HTML表单,确保从模型中传递CSRF token并在表单中手动包含它。

3. 对于AJAX请求,发送CSRF Token

如果你的应用使用AJAX请求,需要在JavaScript中将CSRF token包含在请求的头部。你可以在页面加载时将CSRF token存储在HTML的meta标签中,并通过JavaScript读取它。

<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>

然后,在AJAX请求中设置请求头:

var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");

$(function() {
    $(document).ajaxSend(function(e, xhr, options) {
        xhr.setRequestHeader(header, token);
    });
});

4. 考虑REST APIs的CSRF保护

对于REST APIs,你可能会选择禁用CSRF保护,因为它们通常使用如Bearer Token等不容易受到CSRF攻击的身份验证机制。如果你的API同时被浏览器和服务器访问,考虑保持CSRF保护启用或使用其他认证方式。

http
    .csrf().ignoringAntMatchers("/api/**") // 禁用对API路由的CSRF保护
    .and()
    .authorizeRequests()
    .antMatchers("/api/**").authenticated()
    .and()
    .httpBasic(); // 或使用其他认证机制

5. 定期更新和审查安全配置

  • 保持依赖更新:定期更新Spring Boot和Spring Security以及其他依赖,确保包括安全修复在内的所有更新都被应用。
  • 安全审计:定期对安全配置进行审计,检查潜在的安全问题或新的安全最佳实践。

通过上述步骤,可以有效地在Spring Boot应用中预防CSRF攻击,增强应用的安全性。适当配置Spring Security并在前端妥善处理CSRF token是防御CSRF攻击的关键。

Spring Boot项目CSRF (跨站请求伪造)攻击演示与防御
oscar999的专栏
07-17 1941
CSRF ,Cross-site request forgery,跨站请求伪造。是常见的网络攻击的方式之一,2007年曾被列为互联网20大安全隐患之一。攻击过程是攻击者伪造用户的浏览器请求,访问一个用户曾经访问过的网站, 使目标网站误以为是用户的操作而执行命令。 本篇j基于Spring Boot创建项目,用来演示CSRF攻击过程。...
csrf防御】springboot项目如何防御csrf
run_boy_2022的博客
06-14 1793
CSRF(Cross-Site Request Forgery) ,通过单词简单理解就是跨站点请求伪造,用通俗简单点就是攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的操作1、用户打开浏览器访问受信任网站A,输入用户名和密码请求登录网站A;2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
深入理解 Spring Boot 中的权限控制:Spring Security 集成与最佳实践
最新发布
刘一说的IT专栏
11-07 1021
摘要 Spring Security为Spring Boot应用提供全面的安全防护。本文系统讲解其核心架构与实战应用,包括: 认证授权机制:表单登录、角色权限控制、密码加密策略(BCrypt) 安全配置:基于Lambda DSL的细粒度URL访问控制 高级特性:方法级安全注解(@PreAuthorize)、JWT无状态认证集成 防护措施:CSRF/XSS防护、安全头配置 通过清晰的代码示例(如自定义UserDetailsService、PasswordEncoder)展示企业级安全实践,帮助开发者构建健壮的
一、Springboot安全之防CSRF攻击
热门推荐
panchang199266的博客
10-18 2万+
(一)简要介绍   跨站请求伪造(Cross-site request fogery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的WEB应用程序上执行非本意的操作的攻击方法。   举个栗子: 用户小z登录了网站A,同时打开网站B 网站B隐蔽的发送一个请求至网站A 网站A通过session、cookie等身...
SpringbootCSRF攻击
qq_40005100的博客
03-31 2585
下面展示一些 内联代码片。 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet....
Spring Boot中的CSRF攻击预防
Java徐师兄的博客
07-06 2314
CSRF攻击是一种常见的网络攻击方式,可以通过欺骗用户来执行恶意操作。在Spring Boot应用程序中,我们可以采取多种措施来预防CSRF攻击,如添加CSRF令牌、验证请求来源、使用HTTPS协议和定期更改密钥等。这些措施可以有效地保护应用程序的安全,防止攻击者利用CSRF漏洞进行攻击。在实际开发中,我们可以根据实际需求选择适当的预防措施。例如,如果应用程序只对内部用户开放,可以限制请求来源为内部网络;如果应用程序需要对外开放,可以使用HTTPS协议来加密数据传输。
Spring Security(学习笔记)--漏洞保护(csrf攻击与防御以及源码分析)!
TONGZHOUGONGDU的博客
04-29 754
CSRF是什么 ,跨站请求伪造,简单解释一下,就是用户登录某个界面,如银行界面,进行转账,完了之后并没有注销登录,而是打开一新的页面,在页面上点击了某个攻击者设下的链接,那么这个链接,就可以带着浏览器存储的cookie,发送给银行服务器,由于已经认证过了,所以银行服务器以为是用户自己的操作,就达成了攻击者的目的。我们登录第一个项目,然后点击转账,后台会出现模拟转账的打印,然后,进入第二个项目的界面,直接点那张具备诱惑力的图片,然后,就会发现,项目一,依然打印了转账的操作日志,这个就是跨站请求伪造。
什么是CSRF攻击SpringSecurity如何防御?
java永无止境!
06-20 1069
CSRF(跨站请求伪造,Cross-Site Request Forgery)是一种常见的网络攻击方式。在这种攻击中,攻击者诱导已经登录的用户在不知情的情况下发送请求到一个应用程序,从而在没有用户意识并且使用用户自身权限的情况下执行攻击者预定义的操作。
2-SpringSecurity:CSRF攻击
afsdfrsg的博客
04-22 384
当然这个POST接口无法直接在浏览器中发起请求,我们需要借助PostMan来实现POST请求的发送。把浏览器中的Cookie复制到PostMan中。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?其实默认就开启了CSRF防护,这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。并且默认忽略"GET", “HEAD”, “TRACE”, "OPTIONS"等请求,源码如下:/**requests.*//*@see*/
再谈Spring MVC中对于CSRF攻击的防御
05-19 2969
Spring MVC应用中实施CSRF防御,一般会采用EYAL LUPU的方案,该方案的基本思路是在生成表单时在其中插入一个随机数作为签名,在表单提交后对其中的签名进行验证,根据验证的结果区分该表单是否是经由应用签署的合法表单。如果签名不正确或不存在签名,则说明请求可能已被劫持。 EYAL LUPU方案的巧妙之处在于,通过使用HandlerInterceptorAdapter和Sp
SpringBoot 如何防御 CSRF 攻击
mry6的博客
04-29 1924
接下来,用户首先访问 csrf-simulate-web 项目中的接口,在访问的时候需要登录,用户就执行了登录操作,访问完整后,用户并没有执行登出操作,然后用户访问 csrf-loophole-web 中的页面,看到了超链接,好奇这美女到底长啥样,一点击,结果钱就被人转走了。因为在 CSRF 攻击中,黑客网站其实是不知道用户的 Cookie 具体是什么的,他是让用户自己发送请求到网上银行这个网站的,因为这个过程会自动携带上 Cookie 中的信息。在登录成功后回调的详细解释。
csrf攻击 java_spring boot中使用spring security的filter防止CSRF攻击
weixin_35346761的博客
02-21 529
在一个spring boot项目中,需要防止CSRF攻击,按理说应该集成spring security才对。但是不想使工程变得太复杂,这时可以只把spring security中的相关filter引入来进行。在pom中添加相关依赖org.springframework.bootspring-boot-starter-freemarkerorg.springframework.securityspr...
锱铢必较:在spring boot中使用神器防止CSRF***
weixin_33970449的博客
04-16 231
在一个spring boot项目中,需要防止CSRF***,按理说应该集成spring security才对。 但是不想使工程变得太复杂,这时可以只把spring security中的相关filter引入来进行。 在pom中添加相关依赖 <dependencies><dependency><groupId>org.springframework.boot&lt...
Springboot和Angular的CSRF防御
木木
09-07 1561
CSRF 是什么 跨站请求伪造 知乎解答搬运: csrf是什么. Springboot CSRF Angular CSRF Angular官方文档: cross-site-request-forgery. 在跨站请求伪造(XSRF 或 CSFR)中,攻击者欺骗用户,让他们访问一个假冒页面(例如 evil.com), 该页面带有恶意代码,秘密的向你的应用程序服务器发送恶意请求(例如 example-bank.com)。 假设用户已经在 example-bank.com 登录。用户打开一个邮件,点击里面的链接,
Springboot集成CSRF攻击
hao_kkkkk的专栏
10-20 2795
springboot CSRF攻击防护
Spring Boot | Spring BootCSRF 防护功能“ 、Security “管理前端页面“
m0_70720417的博客
05-19 2180
目录: 一、SpringBoot 中 自定义 "用户授权管理" ( 总体内容介绍 ) 二、实现 "CSRF" 防护功能 ( 通过 "HttpSecurity类" 的 csrf( )方法来实现 "CSRF" 功能 ) : 1. "关闭" CSRF 防护功能 : ① 创建好 "基本的项目" ② 创建数据修改页面 ③ 编写后台控制层方法 ④ CSRF 默认防护效果测试 ⑤ 关闭 Security 的 " CSRF 防御功能" ......
Spring Boot 中的 CSRF 保护配置
stormjun的博客
09-26 2406
CSRF 攻击是一种利用用户已经在网站上进行了身份验证的情况下,以用户不知情的方式发送恶意请求的攻击攻击者会诱导受害者点击包含恶意请求的链接或打开恶意网页,从而执行某些操作,例如更改密码、发送资金或执行其他敏感操作,而用户可能毫不知情。CSRF 攻击之所以有效,是因为浏览器会自动发送已认证用户的凭据(如 cookies)到目标网站。攻击者可以伪造请求,利用用户的身份来执行操作。CSRF 攻击是一种严重的网络安全威胁,可以通过伪造已认证用户的请求来执行未经授权的操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MonkeyKing.sun

对你有帮助的话,可以打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值