spring security4.2 配置CSRF防御

最新推荐文章于 2025-05-13 15:50:05 发布
最新推荐文章于 2025-05-13 15:50:05 发布
阅读量5.6k 收藏 6
点赞数 1
CC 4.0 BY-SA版权
分类专栏: spring-security 文章标签: spring security csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u012832006/article/details/76623150
本文介绍如何在Spring Security中配置CSRF防御,包括基本配置、表单提交、Ajax请求及文件上传场景下的具体实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

spring security4.2 配置CSRF防御

注:源文请参考官方手册

最经项目用到csrf,看了官方文档后,结合实际开发过程,记录下所遇到的问题,其中第1、2、3点都没有什么问题。而是在使用文件上传时遇到问题,查了比较久的时间,从怀疑xhr对象,到跨域访问(用到的插件动态创建了一个iframe),最终发现是当form设置了enctype="multipart/form-data"之后,采用在form中插入标签的方法并不能通过验证,解决方法如4所述。其实这在官方文档,就在使用说明的下方就给出使用csrf的4个警告,当时没留意,想起这一点还是看到 multipart 后才觉得有点“眼熟”,然后再次看了之后,最终解决了上传文件失败的问题。记录下来,共勉之,同时有错的地方,还望浏览的“大虾们”不吝赐教啦

1.首先,确保在springSecurity.xml里没有把csrf关掉,即配置文件中不要出现以下代码:
<security:http>
    <!--如果需要使用csrf,请注释下行配置-->
    <security:csrf disabled="true"/>
</security:http>

尽量将涉及修改资源的请求改为POST

2.一般form表单 –参考这里

提交需要添加token,或者可以使用spring的标签<sec:csrfInput />,页面需要引入(有些ide可以实现自动引入如idea)

<%@ taglib prefix=”sec” uri=”http://www.springframework.org/security/tags” %>
如下所示:

<c:url var="logoutUrl" value="/logout"/>
<form action="${logoutUrl}"
    method="post">
<input type="submit"
    value="Log out" />
<input type="hidden"
    name="${_csrf.parameterName}"
    value="${_csrf.token}"/>
</form>

<!--或者使用标签-->
<form method="post" action="/do/something">
    <sec:csrfInput />
    Name:<br />
    <input type="text" name="name" />
    ...
</form>
3.对于AjaxJSON请求–参考这里

需要在中如下设置,也有相应的spring的标签<sec:csrfMetaTags/>

<html>
<head>
    <meta name="_csrf" content="${_csrf.token}"/>
    <!-- default header name is X-CSRF-TOKEN -->
    <meta name="_csrf_header" content="${_csrf.headerName}"/>
    <!-- ... -->
</head>
<!-- ... -->

<!--或者使用标签-->
<!DOCTYPE html>
<html>
    <head>
        <title>CSRF Protected JavaScript Page</title>
        <meta name="description" content="This is the description for this page" />

        <sec:csrfMetaTags />

        <script type="text/javascript" language="javascript">
        <!--……-->
    </head>
    <!--……-->
</html

同时,需要在js中加入如下代码

$(function () {
    var token = $("meta[name='_csrf']").attr("content");
    var header = $("meta[name='_csrf_header']").attr("content");
    $(document).ajaxSend(function(e, xhr, options) {
        xhr.setRequestHeader(header, token);
    });
});
4.上传文件,Multipart–参考这里

两个可选项来使用csrf:
- 将MultipartFilter放在Spring Security之前

<filter>
    <filter-name>MultipartFilter</filter-name>
    <filter-class>org.springframework.web.multipart.support.MultipartFilter</filter-class>
</filter>
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>MultipartFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
  • 在action中添加CSRF token
<form action="./upload?${_csrf.parameterName}=${_csrf.token}" method="post" enctype="multipart/form-data">
spring security4.2 配置CSRF防御场景
专业的计算机毕业设计指南
03-02 483
文章目录1.首先,确保在springSecurity.xml里没有把csrf关掉,即配置文件中不要出现以下代码:2.一般form表单3.对于Ajax和JSON请求4.上传文件,Multipart 1.首先,确保在springSecurity.xml里没有把csrf关掉,即配置文件中不要出现以下代码: <security:http> <!--如果需要使用csrf,请注释下行配置--> <security:csrf disabled="true"/> <
十七、Spring SecurityCSRF
booker009的博客
03-17 244
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。跨域:只要网络协议,ip地址,端口中任何一个不相同就是跨域请求。客户端与服务进行交互时,由于http协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。
Spring REST 配置CSRF防护
laojiaqi的专栏
09-23 6522
Spring REST 配置CSRF防护内容从以下几个方面展开 什么是CSRF防护 如何运用CSRF进行防御(WEB) 如何将CSRF防御,运用到REST中 1.什么是CSRFCSRF 攻击简单来说,是多Tab页面浏览器的一个安全漏洞,比如你正在访问A网站,此时如果浏览器有你的cookie,并且session没有过期,此时你去访问B网站,那么B网站可以直接调用A网站的接口,而A网站则认为是你本人进行
springsecurity sessionregistry session共享_要学就学透彻!Spring SecurityCSRF 防御源码解析...
weixin_39705018的博客
12-13 319
今日干货刚刚发表查看:66666回复:666公众号后台回复 ssm,免费获取松哥纯手敲的 SSM 框架学习干货。上篇文章松哥和大家聊了什么是 CSRF 攻击,以及 CSRF 攻击要如何防御。主要和大家聊了 Spring Security 中处理该问题的几种办法。今天松哥来和大家简单的看一下 Spring Security 中,CSRF 防御源码。本文是本系列第 19 篇,阅读本系列前面文...
SpringSecurity当中的CSRF防范详解
最新发布
学习记录
05-13 1016
文章摘要: CSRF(跨站请求伪造)攻击通过利用用户已登录的会话,诱导浏览器自动发送恶意请求,从而在用户不知情的情况下执行敏感操作。攻击成功的关键在于用户已登录受信任网站、网站未启用CSRF防护以及请求参数可预测。防御措施包括使用CSRF Token验证、设置SameSite Cookie属性以及检查Referer来源。Spring Security默认启用CSRF防护,通过生成和验证CSRF Token来阻断攻击。未启用CSRF防护可能导致数据泄露、资金损失等严重后果。开发者应根据业务场景选择合适的防护策
SpringSecurityCSRF、环境配置、授权、认证功能、记住我功能实现
m0_73976305的博客
06-08 1095
SpringSecurity CSRF跨站请求伪造攻击 开发环境搭建 认证 直接认证 使用数据库认证 自定义登录界面 授权 基于角色的授权 基于权限的授权 使用注解判断权限 记住我 SecurityContext
spring3 升级4 spring security4.2.x配置
princeLLM的博客
06-15 3346
为了体验一下java8,只好把spring3升级到了4,因为Spring3对java8不能完全支持。工程采用了maven,因此简单的更改了pom.xml,这个没什么好解释的了,至于spring.xml,spring-mvc.xml,spring-hibernate.xml等文件,只需要把版本改成4.0即可,不贴源码了,改动最大的是spring-security.xml(网上有多种配置方式),如果像
如何在Spring Security 4中通过XML配置仅对特定URL模式禁用CSRF
dpp10683401的博客
05-30 438
如何在Spring Security 4中通过XML配置仅对特定URL模式禁用CSRFSpring安全。xml <security:http auto-config="true" use-expressions="true" pattern="/ext/**"> <csrf disabled="true" /> </security:http> <security:http auto-config="true" use-expressions="
Spring Security中的CSRF攻击防护
第一章 介绍CSRF攻击 CSRF(Cross-site Request Forgery)跨站请求伪造,是一种网络安全漏洞攻击方式。攻击者盗用了你的身份,以你的名义发送恶意请求。 ## 1.1 什么是CSRF攻击 CSRF攻击是一种利用用户身份在...
Spring Security最佳实践:防御CSRF和XSS攻击的7个步骤
[Spring Security最佳实践:防御CSRF和XSS攻击的7个步骤](https://docs.spring.io/spring-security/reference/_images/servlet/exploits/csrf.png) # 1. Spring Security简介与安全威胁概述 在当今数字化时代,网络...
Spring Security中的CSRF攻击与防护
# 章节一:理解CSRF攻击 ## 1.1 什么是CSRF攻击 CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击是一种常见的网络安全攻击方式,它利用用户在已登录的情况下对特定网站发送请求,达到攻击者的恶意目的。攻击...
Spring Boot Security中防止CSRF与XSS攻击
# 第一章:理解Spring Boot Security中的CSRF攻击 ## 1.1 什么是CSRF攻击? CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击是一种利用用户在已登录的情况下,被迫发送恶意请求的攻击方式。攻击者可以构造一...
SpringSecurity——Web权限方案CSRF功能,如何开启CSRF用于防止跨站请求伪造攻击
程序员阿皓的博客
04-30 351
SpringSecurity——Web权限方案CSRF功能
Spring Security 4.2注意事项
海洋之心
10-23 1340
Spring Security 3.2.6.RELEASE 升级到 4.2.3.RELEASE 踩了些坑,记录一下: 1、ifAnyGranted标签取消,使用代替。 2、登录表单字段名修改: j_username -> username j_password -> password _spring_security_remember_me -> remember-me 3、Sprin
Spring Security CSRF 保护指南
allway2的博客
11-05 872
这可以保护我们的应用程序免受 CSRF 攻击,因为攻击者无法从自己的页面获取此令牌。我们的无状态 API 不能像我们的 MVC 配置那样添加 CSRF 令牌,因为它不会生成任何 HTML 视图。现在,如果不包含CSRF令牌,POST请求将失败,这当然意味着早期的攻击不再是一种选择。现在我们了解了CSRF攻击的样子,让我们在Spring应用程序中模拟这些示例。如果我们跟踪来自此攻击者页面的请求,我们将能够发现命中原始应用程序的请求。所解释的,我们需要了解我们的无状态 API 是否需要 CSRF 保护。
详解利用spring-security解决CSRF问题扫码查看CSRF介绍
dpp10683401的博客
05-30 1436
CSRF介绍 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 具体SCRF的介绍和攻击方式请参看百度百科的介绍和一位大牛的分析:CSRF百度百科浅谈CSRF攻击方式 配置步骤 1.依赖jar包 <properties> <spring.security.version>4.2.2.RELEASE</spring.s
18.SpringSecurity-web权限方案-CSRF功能
自能生羽翼,何必仰云梯
05-07 435
CSRF 理解   跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。   跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些
4-SpringSecurityCSRF防护
Heartsuit的博客
12-13 448
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验SpringSecurity的各项Feature。 接着上一篇文章3-SpringSecurity:自定义Form表单中的项目:spring-security-form,继续演示开启CSRF防护的场景(当时关闭了CSRF.csrf().disable())。 依赖不变,核心依赖为Web与Thymeleaf: <dependencies> <dependency> <groupId&
spring-security4.2实现登录退出以及权限配置
还想听你的故事
07-25 4589
最近用到了spring-security框架来实现登录验证。 以前做登录的步骤是: 1、用户输入用户名、密码登录 2、连接数据库对用户名、密码进行验证 3、获取用户信息(角色列表等等) 4、获取相关操作权限 security安全框架有点不同: 1、用户名、密码组合生成一个AuthenticationToken对象。 2、生成的这个token对象会传递给一个Authenticati
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值