前后端分离解决CSRF问题

最新推荐文章于 2025-10-30 19:40:51 发布
原创 最新推荐文章于 2025-10-30 19:40:51 发布 · 3.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #java #前端 #前后端分离

本文介绍了在spring boot + shiro + jwt环境中,如何实现前后端分离的CSRF防护。通过创建CsrfFilter,注册Filter并在ShiroConfig中配置,登录接口生成X-Access-Token,设置Cookie并处理Spring Boot内嵌Tomcat的限制。前端获取Cookie的X-Csrf-Token,加密后在后续请求中携带,后端验证请求头或请求体中的值与Cookie中的值,防止CSRF攻击。

个人记录,如有错误,敬请指出

项目环境:spring boot+shiro+jwt

简单方式直接通过nginx对Referer进行校验拦截即可,本文不做讲解

1、创建CsrfFilter

import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.Collection;
import java.util.List;

public class CsrfFilter extends OncePerRequestFilter {

    private static final String CSRF_TOKEN = "X-Csrf-Token";
    /**
     * 需要排除的接口
     */
    private static final List<String> ignoreCsrfList = new ArrayList<String>();

    private static final List<String> accessRequestList = Arrays.asList(new String[]{"GET", "HEAD", "TRACE", "OPTIONS"});

    private Collection<String> domains;

    static {
        ignoreCsrfList.add("/sys/login");
        ignoreCsrfList.add("/sys/logout");
    }

    public CsrfFilter(Collection<String> domains) {
        this.domains = domains;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        Strin
最低0.47元/天 解锁文章
关于前后端分离项目中CSRF等一系列问题的理解小结
MSB4011的博客
07-06 1053
CSRF和CORS的问题上搞了这么久,一个是因为平时工作忙,学这些东西陆陆续续的,另外也确实是因为这些个问题一环套一环,想要完全解决掉需要理解并处理很多问题同时,自己对于这个问题最终通过服务端允许跨域+前端保持相同ip的解决方式并不满意,后续将尝试使用Node.js代理的方式来解决问题
Java-如何防范CSRF攻击
了解➔熟悉➔掌握➔精通
01-02 4543
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造,也被称为:one click attack / session riding,缩写为:CSRF/XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。 XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 4950
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
服务器跨站请求伪造(CSRF)防护:Token 验证在 Nginx 与应用层的双重实现
最新发布
2501_93879229的博客
10-30 366
跨站请求伪造(CSRF)利用用户已登录的会话状态,诱导用户执行非本意操作。:某电商平台部署后,CSRF 攻击成功率从 3.2% 降至 0.05%,错误请求处理开销减少 62%。
解决django前后端分离csrf验证的问题
09-19
今天小编就为大家分享一篇解决django前后端分离csrf验证的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
前后端分离架构下CSRF防御机制
weixin_34097242的博客
09-19 388
原文: http://feclub.cn/post/content... 背景 1、什么是CSRF攻击? 这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。 不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章: CSRF 攻击的应对之道 浅谈CSRF攻击方式 如果来不及了解CSRF的...
前后端分离使用 CSRF
Leon_Jinhai_Sun的博客
05-23 786
前后端分离开发时,只需要将生成 csrf 放入到cookie 中,并在请求时获取 cookie 中令牌信息进行提交即可。 修改 CSRF 存入 Cookie @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { htt
django前后端分离_CSRF解决方案
sola_酱的博客
06-21 2048
前言 现在都是采用前后端分离的方式,所以并不能采用传统的发送,直接在渲染页面的时间加上csrftoken。 我也看好多网上写的方案,都乱,所以我总结一下: 首先有两张方法,都是直接关掉csrf的,一个是在setting.py里面关掉csrf中间件,另一种是在view视图里面加上装饰器,以达到我们的目的,都是我觉得这样的方式太激进了,不行我们就关掉?我不喜欢这样的方法,所以我在下面没有介绍,如果你们也想这样,可以去看看别人写的,有思路,找起来也不难。 不关闭csrf解决方案 思路 想办法在静态页面生成的
Django前后端分离CSRF的处理方法
MSB4011的博客
05-19 601
具体方式:通过调用middleware.csrf的get_token(request)函数设置csrftoken。
前后端分离 使用spring security的csrf
qq_44989936的博客
09-01 1791
导读:读者可以先看一下CsrfFilter类,token作用于所有post,即使没有登陆 CsrfFilter 逻辑如下: ①熟悉基本类 CsrfToken 保存了token public interface CsrfToken extends Serializable { String getHeaderName(); String getParameterName(); String getToken(); } CsrfTokenRepository 就是一个csrfto
Python开发【Django】:中间件、CSRF
abchhcba2014的博客
02-04 391
CSRF 1、概述   CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。   为了避免上面情况的出现,Djang...
前后端分离的防御csrf攻击的思路
热门推荐
京北游戏官方
12-25 1万+
学习了Spring Security权限框架后,讲到了csrf攻击的东西,前后端分离还好,我直接每次加载页面就发送token,然后我服务端的token存储在redis中就行,每次请求我都更新token,达到安全的访问。 但是前后端分离的时候,难道要前端每次都单独请求一次后端获取token吗?然后带着token再去访问后端? 那么单独的这一次请求后端怎么知道是非攻击呢? 这查了好多都没有有效的方法! 在知乎上一个大佬说: 前端直接加密生成一个token,后端收到token后解密,但是后端怎么知道解密的就是
spring-security 前后分离如何获取csrf-token
n_rts的博客
02-16 4755
spingboot+security 前后端分离支持csrf
java csrf防御_前后端分离架构下CSRF防御机制
weixin_39594312的博客
03-04 599
背景1、什么是CSRF攻击?这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章:如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后,便立刻收到了短信:你的银行里的钱已经转移到这个人的帐户了。2、有哪些防御方案?上面这个例子当然有点危言耸...
React + Axios + Django前后端分离CSRF问题解决方案
05-11 5578
想直接看代码的移步GitHub: https://github.com/769484623/TestWebServer CSRF 403 Forbidden这个问题从我刚开始做这个前端登录界面的时候就遇到了,但为了不耽误学习进度关闭了Django的CSRF验证选项。 现在快要做完了,就抽出了半天时间来解决了这个问题。 并不难其实,就是网上的资料有点不靠谱= = Django的...
laravel框架下 前后端分离开发时 通过AJax请求单独获取加密后的csrf_token
回头是岸
11-10 5525
后端对post的请求都会校验CSRF,(只有在路由的middleware中设置了[csrf]时才会在客户端的cookie中产上一个XSRF-TOKEN),由于前面这个情况 是没有经过含有 csrf的middleware校验 所以在客户端没有XSRF-TOKEN,但是在这个页面提交表单的时候又需要验证csrf,所以必须要单独获取这个token
前后端分离跨域springboot解决方案
Javaer
05-27 452
本文参考自江南一点雨的Spring Boot+Vue系列视频教程第 3 章,详情参加【Spring Boot+Vue系列视频教程】 跨域问题是开发中常见的问题!下面先介绍什么是跨域问题,也是我看一篇好文章学到的。 看看你是怎么给妹子解释跨域的?? 小美:geigei,geigei为什么会有跨域问题? 你: 因为浏览器的同源策略导致了跨域. ------------------------------------------------------------------------- 小美:浏览.
django的前后端分离csrf_token加入
weixin_44854778的博客
03-13 337
1 手动调用 csrf 中的 get_token(request) 或 rotate_token(request) 方法。 from django.middleware.csrf import get_token ,rotate_token def server(request): # 两者选一 get_token(request) # rotate_token(request) // 此方法每次设置新的cookies return render(req
vue+django前后端分离 怎么解决csrf跨域问题
09-09
在使用Vue和Django进行前后端分离时,解决CSRF跨域问题可以采用以下方法: ### Django后端处理 1. **获取CSRF Token接口**:编写视图函数获取CSRF Token并返回给前端。可以使用`get_token(request)`函数来获取CSRF Token。以下是两种不同的视图函数示例: ```python from django.middleware.csrf import get_token from django.http import HttpResponse import json # 示例1 def getToken(request): token = get_token(request) return HttpResponse(json.dumps({'token': token}), content_type="application/json,charset=utf-8") ``` ```python # 示例2 def search(request): result = {'Succeed': True, 'Data': get_token(request)} return HttpResponse(json.dumps(result, ensure_ascii=False), content_type="application/json,charset=utf-8") ``` 2. **Settings设置**:在Django的`settings.py`文件中进行相关设置,需要安装`corsheaders`库,并进行如下配置: ```python INSTALLED_APPS = [ ... 'corsheaders', ... ] # 添加中间件 MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', # 默认 'django.contrib.sessions.middleware.SessionMiddleware', # 默认 'corsheaders.middleware.CorsMiddleware', # 新增 'django.middleware.common.CommonMiddleware', # 新增 'django.middleware.csrf.CsrfViewMiddleware', # 默认 'django.contrib.auth.middleware.AuthenticationMiddleware', # 默认 'django.contrib.messages.middleware.MessageMiddleware', # 默认 'django.middleware.clickjacking.XFrameOptionsMiddleware', # 默认 ] # 跨域增加忽略 CORS_ALLOW_CREDENTIALS = True CORS_ORIGIN_ALLOW_ALL = True CORS_ORIGIN_WHITELIST = ( '*' ) CORS_ALLOW_METHODS = ( 'DELETE', 'GET', 'OPTIONS', 'PATCH', 'POST', 'PUT', 'VIEW', ) CORS_ALLOW_HEADERS = ( 'XMLHttpRequest', 'X_FILENAME', 'accept-encoding', 'authorization', 'content-type', 'dnt', 'origin', 'user-agent', 'x-csrftoken', 'x-requested-with', ) ``` ### Vue前端处理 前端第一次访问要用GET方法请求获取CSRF Token的接口,然后将获取到的CSRF Token在后续的请求中携带。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值