• Spring Security跨站请求伪造(CSRF)

    CSRF(Cross Site Request Forgery)

    跨站点请求伪造。是攻击者欺骗用户的浏览器去访问一个自己曾经认证过的网站。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了 web 中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

    Spring Security 中 CRSF实现

    springboot项目集成spring security 5.3.4.RELEASE 后,默认情况crsf是开启的。每次请求会校验请求头中 X-CSRF-TOKEN 的值与内存中保存的的是否一致,如果一致框架则认为当然登录页面是安全的,如果不一致,会报403。

    默认首次登录页面会有一个_csrf的隐藏域

    主要实现CsrfFilter过滤器

    1. 	@Override
    2. 	protected void doFilterInternal(HttpServletRequest request,
    3. 			HttpServletResponse response, FilterChain filterChain)
    4. 					throws ServletException, IOException {
    5. 		request.setAttribute(HttpServletResponse.class.getName(), response);
    6.         
    7.         // 从存储库session获取csrf token
    8. 		CsrfToken csrfToken = this.tokenRepository.loadToken(request);
    9. 		final boolean missingToken = csrfToken == null;
    10. 		if (missingToken) {
    11.             // 如果没有,就生成并保存
    12. 			csrfToken = this.tokenRepository.generateToken(request);
    13. 			this.tokenRepository.saveToken(csrfToken, request, response);
    14. 		}
    15.         
    16.         // 将token设置到request中
    17. 		request.setAttribute(CsrfToken.class.getName(), csrfToken);
    18. 		request.setAttribute(csrfToken.getParameterName(), csrfToken);
    19.         
    20.         // 如果是默认方法(或者自定义的匹配方法),就放过
    21. 		if (!this.requireCsrfProtectionMatcher.matches(request)) {
    22. 			filterChain.doFilter(request, response);
    23. 			return;
    24. 		}
    25.  
    26.         // 从请求中获取浏览器端传递过来的 X-CSRF-TOKEN
    27. 		String actualToken = request.getHeader(csrfToken.getHeaderName());
    28.         // 浏览器没有,从头部取出时使用header name: X-CSRF-TOKEN
    29. 		if (actualToken == null) {
    30. 			actualToken = request.getParameter(csrfToken.getParameterName());
    31. 		}
    32.  
    33.         // 不匹配或者没有token,抛出异常
    34. 		if (!csrfToken.getToken().equals(actualToken)) {
    35. 			if (this.logger.isDebugEnabled()) {
    36. 				this.logger.debug("Invalid CSRF token found for "
    37. 						+ UrlUtils.buildFullRequestUrl(request));
    38. 			}
    39. 			if (missingToken) {
    40. 				this.accessDeniedHandler.handle(request, response,
    41. 						new MissingCsrfTokenException(actualToken));
    42. 			}
    43. 			else {
    44. 				this.accessDeniedHandler.handle(request, response,
    45. 						new InvalidCsrfTokenException(csrfToken, actualToken));
    46. 			}
    47. 			return;
    48. 		}
    49.  
    50. 		filterChain.doFilter(request, response);
    51. 	}

    1. 从存储库session获取csrf token

     HttpSessionCsrfTokenRepository.loadToken实现:

    2. 默认方法放行

    "GET", "HEAD", "TRACE", "OPTIONS"这4类方法会被放行,其它Method的http请求,都要验证_csrf的token是否正确。

    matches方法实现 :

    3.  从请求头获取实际token 

    4.  存储库token和实际token对比

    不一致抛出异常,通过就放行。

    Spirng Security 关闭 CSRF

    1. public class SecurityConfig extends WebSecurityConfigurerAdapter {
    2. 	
    3.     @Override
    4.     protected void configure(HttpSecurity httpSecurity) throws Exception {
    5.         httpSecurity.csrf().disable();
    6. 	}
    7. }

  • 相关阅读:
    跨网段通信实战(支持静态路由表的家用路由)
    Day04JavaWeb第四次笔记---Maven的使用
    重塑科普展厅魅力,以用户体验为核心的策略性规划新探索!
    opencv-图像梯度
    oracle的使用sqlplush
    第七章 树与森林
    pytest的内置插件盘点9. debugging
    java计算机毕业设计web家庭财务管理系统MyBatis+系统+LW文档+源码+调试部署
    nginx(六十八)http_proxy模块 nginx与上游的ssl握手
    “10X 程序员是如何思考的” 阅读总结
  • 原文地址:https://blog.csdn.net/xiha_zhu/article/details/126142270