前后端分离解决CSRF问题

于 2021-10-22 10:51:54 发布
阅读量3.5k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: CSRF 文章标签: csrf java 前端 前后端分离
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ws_flying/article/details/120901069
本文介绍了在spring boot + shiro + jwt环境中,如何实现前后端分离的CSRF防护。通过创建CsrfFilter,注册Filter并在ShiroConfig中配置,登录接口生成X-Access-Token,设置Cookie并处理Spring Boot内嵌Tomcat的限制。前端获取Cookie的X-Csrf-Token,加密后在后续请求中携带,后端验证请求头或请求体中的值与Cookie中的值,防止CSRF攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

个人记录,如有错误,敬请指出

项目环境:spring boot+shiro+jwt

简单方式直接通过nginx对Referer进行校验拦截即可,本文不做讲解

1、创建CsrfFilter

import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.Collection;
import java.util.List;

public class CsrfFilter extends OncePerRequestFilter {

    private static final String CSRF_TOKEN = "X-Csrf-Token";
    /**
     * 需要排除的接口
     */
    private static final List<String> ignoreCsrfList = new ArrayList<String>();

    private static final List<String> accessRequestList = Arrays.asList(new String[]{"GET", "HEAD", "TRACE", "OPTIONS"});

    private Collection<String> domains;

    static {
        ignoreCsrfList.add("/sys/login");
        ignoreCsrfList.add("/sys/logout");
    }

    public CsrfFilter(Collection<String> domains) {
        this.domains = domains;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        Strin
最低0.47元/天 解锁文章

200万优质内容无限畅学
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值