Spring Security中防护CSRF功能详解

什么是CSRF攻击？

CSRF（Cross-site request forgery）是一种网络攻击方式，也称为“跨站请求伪造”。攻击者在用户不知情的情况下，利用用户已有登录状态或者通过DNS欺骗、恶意软件等方式，向服务器发出伪造请求，从而达到非法操作的目的。

常见的CSRF攻击场景包括：

钓鱼邮件诈骗；
在社交媒体上发放恶意链接；
将恶意程序植入到网站广告中等。

为了防范CSRF攻击，我们一般采用Token验证的方法，即CSRF Token.

CSRF Token

CSRF Token是应对CSRF攻击的一种常用方法。CSRF Token是一个随机字符串，由服务器生成并返回给客户端，客户端在下一次请求时将这个Token带上，服务器收到请求后验证Token的合法性，判断请求的来源是否合法。

CSRF Token的使用方式有两种：

隐藏表单域方式

在表单中增加一个隐藏域，用于存储CSRF Token.

<form action="/" method="POST">
  <input type="hidden" name="csrf_token" value="abcdefg">
  <button type="submit">Submit</button>
</form>

在后端验证时，可以从请求中获取到这个Token并与服务器上生成的Token进行对比。

Http Header方式

将Token存储在Http Header中，请求时在Http Header中携带Token.

POST / HTTP/1.1
Host: example.com
X-CSRF-Token: abcdefg

Spring Security中的CSRF防护

Spring Security提供了一些防范CSRF攻击的功能，以及相应的配置项，常用的选项如下：

http
    // 开启CSRF防护
    .csrf()
        .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
        .and()
    // 禁用CSRF防护
    .csrf().disable()

其中，CookieCsrfTokenRepository是一个默认的Token存储器，可将Token存储在Cookie中。

当CSRF开启时，客户端在向服务器发送请求时，需要携带一个带有Token的参数，可以使用<form>表单或者通过Ajax请求等方式携带。

示例一：使用<form>表单发送请求

<form action="/example" method="POST">
  <!-- CSRF Token -->
  <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}">

  <!-- other form fields -->
  <input type="text" name="field1" value="foo">
  <input type="text" name="field2" value="bar">

  <button type="submit">Submit</button>
</form>

当用户点击<button>时，将自动携带一个名为_csrf的参数，值为随机生成的Token。

示例二：使用Ajax方式发送请求

function sendJson() {
    var token = $("meta[name='_csrf']").attr("content");
    var header = $("meta[name='_csrf_header']").attr("content");

    $.ajax({
        url: '/example',
        data: JSON.stringify({'foo': 'bar'}),
        contentType: 'application/json',
        dataType: 'json',
        type: 'POST',
        // 设置Http Header
        beforeSend: function(xhr) {
            xhr.setRequestHeader(header, token);
        },
        success: function(data) {},
    });
}

在向服务器发送请求时，需要在Http Header中携带一个名为_csrf的参数，值为随机生成的Token。_csrf_header表示Http Header名，可在application.properties配置文件中进行设置，如：

security.csrf.csrfHeaderName=X-CSRF-Token

总结

CSRF攻击是一种隐蔽性较强的网络攻击方式，为了防范这类攻击，我们可以使用CSRF Token防护技术。在Spring Security中，开启CSRF防护功能是一项比较简单的操作，只需配置即可，通过示例我们也可以看到，在使用<form>表单或者Ajax方式发送请求时，需要携带一个带有Token的参数，这也是我们防范CSRF攻击的核心之处。

本站文章如无特殊说明，均为本站原创，如若转载，请注明出处：Spring Security中防护CSRF功能详解 - Python技术站

Spring Security中防护CSRF功能详解

Spring Security中防护CSRF功能详解

什么是CSRF攻击？

CSRF Token

隐藏表单域方式

Http Header方式

Spring Security中的CSRF防护

总结

相关文章