4-SpringSecurity:CSRF防护

最新推荐文章于 2025-09-13 03:49:41 发布
原创 最新推荐文章于 2025-09-13 03:49:41 发布 · 307 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #servlet #前端

本文详细介绍了SpringSecurity中CSRF(跨站请求伪造)防护的原理与实践,包括登录、POST接口、退出时的防护措施,并探讨了前后端分离项目的CSRF解决方案。实验展示了如何在模板和JavaScript中处理CSRF令牌,以及如何配置Cookie存储类型。强调了涉及浏览器操作的安全请求应启用CSRF防护。

背景

本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验SpringSecurity的各项Feature。

依赖不变,核心依赖为WebSpringSecurityThymeleaf

<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-devtools</artifactId><scope>runtime</scope><optional>true</optional></dependency><dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId><optional>true</optional></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope></dependency>
</dependencies>

从官网中可以知道,CSRF防护的关键在于我们发请求时附带一个随机数(CSRF token),而这个随机数不会被浏览器自动携带(eg: Cookie就会被浏览器自动带上)。

实验0:登录时的CSRF防护

显然,我们这里的登录请求是个POST方法(SpringSecurity默认忽略"GET", “HEAD”, “TRACE”, "OPTIONS"等幂等请求的CSRF拦截)。登录时必须携带_csrf参数,与认证信息一并提交,否则报403。

  • 后端安全配置(默认开启CSRF
@Override
protected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/user/add").hasAuthority("p1").antMatchers("/user/query").hasAuthority("p2").antMatchers("/user/**").authenticated().anyRequest().permitAll() // Let other request pass.and()// .csrf().disable() // turn off csrf, or will be 403 forbidden.formLogin() // Support form and HTTPBasic.loginPage("/login").failureHandler(new AuthenticationFailureHandler(){@Overridepublic void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {exception.printStackTrace();request.getRequestDispatcher(request.getRequestURL().toString()).forward(request, response);}});}
  • 前端模板(新增了_csrf参数):
<form action="login" method="post"><span>用户名</span><input type="text" name="username" /> <br><span>密码</span><input type="password" name="password" /> <br><span>csrf token</span><input type="text" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/> <br><input type="submit" value="登录">
</form>

Note:

1.当然,实际中可以将新增的_csrf参数作为一个隐藏域进行提交:<input type="text" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" hidden/>
2.其实,如果我们使用默认的登录页面,可以在页面元素中看到同样有个隐藏域:

实验1:POST接口CSRF防护

通过form表单是一种发送POST请求的方式,但我们其他的请求不可能都通过form表单来提交。下面通过原生的JavaScript发起Ajax的POST请求。

  • 后端接口
@Controller
public class HelloController {@RequestMapping("/")public String hello(){return "index";}@PostMapping(value = "/ok")@ResponseBodypublic String ok() {return "ok post";}}
  • 前端模板(新增index.html)
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><meta http-equiv="X-UA-Compatible" content="ie=edge"><meta name="csrf" th:content="${_csrf.token}"><meta name="_csrf_header" th:content="${_csrf.headerName}" /><title>SpringSecurity</title>
</head>

<body><a href="/user/add">添加用户</a><a href="/user/query">查询用户</a><a href="/logout">退出</a><script language="JavaScript"> // let token = document.getElementsByTagName('meta')['csrf'].content;let token = document.querySelector('meta[name="csrf"]').getAttribute('content');let header = document.getElementsByTagName('meta')['_csrf_header'].content;console.log("token: ", token);console.log("header: ", header);function click() {let xhr = new XMLHttpRequest();xhr.open("POST", "http://localhost:8080/ok", true);xhr.setRequestHeader(header, token);xhr.onload = function (e) {console.log("response: ", e.target.responseText);}xhr.onerror = function (e) {console.log("error: ", e)}xhr.send(null);}click(); </script>
</body>

Note: 前面这两个实验中用到了一些参数:_csrf.parameterName_csrf.token_csrf_header等,这些可以从源码中获悉:

public final class HttpSessionCsrfTokenRepository implements CsrfTokenRepository {
	private static final String DEFAULT_CSRF_PARAMETER_NAME = "_csrf";

	private static final String DEFAULT_CSRF_HEADER_NAME = "X-CSRF-TOKEN";

	private static final String DEFAULT_CSRF_TOKEN_ATTR_NAME = HttpSessionCsrfTokenRepository.class
			.getName().concat(".CSRF_TOKEN");

	private String parameterName = DEFAULT_CSRF_PARAMETER_NAME;

	private String headerName = DEFAULT_CSRF_HEADER_NAME;private String sessionAttributeName = DEFAULT_CSRF_TOKEN_ATTR_NAME;
}

实验2:退出时的CSRF防护

退出url在开启CSRF之后,直接以a标签形式请求/logout(即GET方式)会报404;此时logout必须以POST方式才可以正常退出。

public final class LogoutConfigurer<H extends HttpSecurityBuilder<H>> extends
		AbstractHttpConfigurer<LogoutConfigurer<H>, H> {
	private List<LogoutHandler> logoutHandlers = new ArrayList<>();
	private SecurityContextLogoutHandler contextLogoutHandler = new SecurityContextLogoutHandler();
	private String logoutSuccessUrl = "/login?logout";
	private LogoutSuccessHandler logoutSuccessHandler;
	private String logoutUrl = "/logout";
	private RequestMatcher logoutRequestMatcher;
	private boolean permitAll;private boolean customLogoutSuccess;...

	/**
	 * The URL that triggers log out to occur (default is "/logout"). If CSRF protection
	 * is enabled (default), then the request must also be a POST. This means that by
	 * default POST "/logout" is required to trigger a log out. If CSRF protection is
	 * disabled, then any HTTP method is allowed.
	 *
	 * <p>
	 * It is considered best practice to use an HTTP POST on any action that changes state
	 * (i.e. log out) to protect against <a
	 * href="https://en.wikipedia.org/wiki/Cross-site_request_forgery">CSRF attacks</a>. If
	 * you really want to use an HTTP GET, you can use
	 * <code>logoutRequestMatcher(new AntPathRequestMatcher(logoutUrl, "GET"));</code>
	 * </p>
	 *
	 * @see #logoutRequestMatcher(RequestMatcher)
	 * @see HttpSecurity#csrf()
	 *
	 * @param logoutUrl the URL that will invoke logout.
	 * @return the {@link LogoutConfigurer} for further customization
	 */
	public LogoutConfigurer<H> logoutUrl(String logoutUrl) {
		this.logoutRequestMatcher = null;
		this.logoutUrl = logoutUrl;
		return this;
	}}

可采用form表单或者Ajax的形式发送POST请求,携带_csrf参数,这里以form表单为例,点击POST logout按钮,可成功退出:

<form action="logout" method="post"><input type="text" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" hidden/> <br><input type="submit" value="POST logout">
</form>

实验3:前后端分离时的CSRF防护

前面是通过在模板引擎中接收后端传回的_csrf,这里演示下前后端分离项目如何实现CSRF防护下的安全请求。

A CsrfTokenRepository that persists the CSRF token in a cookie named “XSRF-TOKEN” and reads from the header “X-XSRF-TOKEN” following the conventions of AngularJS. When using with AngularJS be sure to use withHttpOnlyFalse().

  • 后端安全配置(修改CSRF存储类型:CookieCsrfTokenRepository)
@Override
protected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/user/add").hasAuthority("p1").antMatchers("/user/query").hasAuthority("p2").antMatchers("/user/**").authenticated().anyRequest().permitAll() // Let other request pass.and().csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()).and()// .csrf().disable() // turn off csrf, or will be 403 forbidden.formLogin() // Support form and HTTPBasic.loginPage("/login").failureHandler(new AuthenticationFailureHandler(){@Overridepublic void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {exception.printStackTrace();request.getRequestDispatcher(request.getRequestURL().toString()).forward(request, response);}});}
  • 前端脚本
</body><script> function getCookie(name) {let arr = document.cookie.split("; ");for (let i = 0; i < arr.length; i++) {let arr2 = arr[i].split("=");if (arr2[0] == name) {return arr2[1];}}return "";}console.log("XSRF-TOKEN: ", getCookie("XSRF-TOKEN"));// 之后就可以拿着前面获取到的"XSRF-TOKEN"去请求后端POST等接口了 </script>
</body>

Note: 这里大部分同学有个问题:Cookie都被自动带到请求中了,那攻击者不就又可以拿到了吗?

由于Cookie中的信息对于攻击者来说是不可见的,无法伪造的,虽然Cookie被浏览器自动携带了,但攻击者能做的仅仅是用一下Cookie,而Cookie里面到底放了什么内容,攻击者是不知道的,所以将CSRF-TOKEN写在Cookie中是可以防御CSRF的,相比默认的存放在Session中,CSRF-TOKEN写在Cookie中仅仅是换了一个存储位置。

什么时候需要开启CSRF?

官方文档建议,但凡涉及到浏览器用户操作,均应启用CSRF防护。

SpringSecurityCSRF攻击
2201_75856701的博客
01-13 583
一些网站比如知乎、简书中的外部链接,点击之后会有提示(免责声明),此操作有风险是否继续,这便与CSRF密切相关。当然这个POST接口无法直接在浏览器中发起请求,我们需要借助PostMan来实现POST请求的发送。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?防护,这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。建好项目后,创建一个简单的HelloController.java,包含一个。项目中模拟一个按钮操作,发起。,模拟一个钓鱼网站。
SpringSecurity(10)——Csrf防护
peng_gx的博客
01-20 2714
SpringSecurity Csrf防护
Spring Security API参考:HttpSecurity配置详解
最新发布
gitblog_00301的博客
09-13 1104
在现代Web应用开发中,安全防护是不可或缺的一环。Spring Security作为Spring生态系统中处理认证和授权的核心框架,其`HttpSecurity`配置类是构建安全Web应用的基础。然而,面对众多的配置选项和复杂的方法链,开发者常常陷入"配置迷宫"——不知道如何正确设置CSRF防护、如何细粒度控制URL权限、如何配置OAuth2登录流程。本文将系统解析`HttpSecurity`的核...
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Security:CSRF
思维小刀
04-28 964
定义 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流...
2-SpringSecurityCSRF攻击
afsdfrsg的博客
04-22 379
当然这个POST接口无法直接在浏览器中发起请求,我们需要借助PostMan来实现POST请求的发送。把浏览器中的Cookie复制到PostMan中。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?其实默认就开启了CSRF防护,这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。并且默认忽略"GET", “HEAD”, “TRACE”, "OPTIONS"等请求,源码如下:/**requests.*//*@see*/
SpringSecurityCSRF防护
2201_75856701的博客
01-14 382
继续演示开启CSRF防护的场景(当时关闭了CSRF.csrf().disable())。依赖不变,核心依赖为Web与Thymeleaf从官网中可以知道,CSRF防护的关键在于我们发请求时附带一个随机数(CSRF token),而这个随机数不会被浏览器自动携带(eg: Cookie就会被浏览器自动带上)。
tut-spring-security-and-angular-js:Spring Security 和 Angular JS
06-14
2. **CSRF防护**: Spring Security提供CSRF防护,Angular应用需要配置以正确处理CSRF令牌。 3. **认证流程**: 设计安全的登录流程,如使用Angular向Spring Security发送认证请求,获取认证令牌,并在后续请求中携带...
security CSRF漏洞保护
程序员一博
08-01 1074
跨站请求伪造或者一键式攻击通常缩写为csrf或者xsrf,通过挟持当前浏览器已经登录用户发送恶意请求的攻击烦方法xss利用用户对网站的信任csrf利用网站对用户浏览器的信任举例。
一分钟理解post和put(安全与幂等角度)
小胖的博客
11-22 7195
HTTP方法的安全性和幂等性 可以认为安全的方法都是只读的方法(GET, HEAD, OPTIONS),不会改变资源状态,显然,这三个方法也是幂等的。 DELETE方法的语义表示删除服务器上的一个资源,第一次删除成功后该资源就不存在了,资源状态改变了,所以DELETE方法不具备安全特性。然而HTTP协议规定DELETE方法是幂等的,每次删除该资源都要返回状态码200 OK,服务器端要实现幂等的DE...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF跨站攻击防御,需要的朋友可以参考下
Spring Security Config : HttpSecurity安全配置器 CsrfConfigurer
Details Inside Spring
06-09 2838
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,CsrfConfigurer的配置任务如下 : 配置如下安全过滤器Filter CsrfFilter 对应#requireCsrfProtectionMatcher方法指定的RequestMatcher会应用CSRF保护,如果#requireCsrfProtectionMatcher没有被使用者调用,使用...
Spinrg Security() CSRF
RainSun
02-11 338
目录1.什么是CSRF攻击2. 同步器令牌模式3.如何利用spring security防止csrf攻击3.1 采用正确的http动词3.2 配置CSRF3.3 包括CSRF令牌3.4 CookieCsrfTokenRepository4 注意事项4.1 超时4.2 登录问题 ?4.3 Logout ??4.4 文件上传 1.什么是CSRF攻击 下面我们以一个具体的例子来说明这种常见的攻击模式 1...
Spring Security(六) —— CSRF
eyes++的博客
07-26 4839
CSRF(Cross-siterequestforgery)跨站请求伪造,也叫一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。=...
HttpSecurity
weixin_45822542的博客
06-12 1516
防御CSRF攻击的方法包括使用CSRF token , Referer验证 ,双重提交Cookie和设置SameSite Cookie;Spring Security 提供了内置的CSRF保护机制 ,通过简单配置启用和定制这个功能,以确保应用程序的安全性;这是Spring Security提供的配置类, 用户保护基于HTTP的请求 ,通过。,通过诱导用户在不知情的情况下执行恶意操作;
Security关闭CSRF
热门推荐
doStruggle的博客
06-06 1万+
问题 在项目中添加了Security模块后,在发送post请求时会失败,出现以下日志: Invalid CSRF token found for ... 原因 在Security的默认拦截器里,默认会开启CSRF处理,判断请求是否携带了token,如果没有就拒绝访问。并且,在请求为(GET|HEAD|TRACE|OPTIONS)时,则不会开启,可参考如下源码: // 先从tokenRep...
SpringSecurity(十)【CSRF 漏洞保护】
Vinjcent
12-25 1776
具体的操作方式就是在每一个 HTTP 请求中,除了默认自动携带的 Cookie 参数之外,再提供一个安全的、随机生成的字符串,我们称之为 CSRF 令牌。可以发现,当用户在8080正常认证身份之后,假如另外一台服务知道8080服务的转账接口,那么就会根据这个接口去操作用户的信息,这回给我们用户带来数据泄露的问题,因为都是在当前网站的 Cookie 信息识别用户。获取服务端令牌方式如下。说明:模拟场景,用户A给用户B转账,在用户A未注销之前,有人通过用户A已经认证的信息,对其进行转账给用户C的操作。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值