Spring Security中防护CSRF功能详解
什么是CSRF攻击?
CSRF(Cross-site request forgery)是一种网络攻击方式,也称为“跨站请求伪造”。攻击者在用户不知情的情况下,利用用户已有登录状态或者通过DNS欺骗、恶意软件等方式,向服务器发出伪造请求,从而达到非法操作的目的。
常见的CSRF攻击场景包括:
- 钓鱼邮件诈骗;
- 在社交媒体上发放恶意链接;
- 将恶意程序植入到网站广告中等。
为了防范CSRF攻击,我们一般采用Token验证的方法,即CSRF Token.
CSRF Token
CSRF Token是应对CSRF攻击的一种常用方法。CSRF Token是一个随机字符串,由服务器生成并返回给客户端,客户端在下一次请求时将这个Token带上,服务器收到请求后验证Token的合法性,判断请求的来源是否合法。
CSRF Token的使用方式有两种:
隐藏表单域方式
在表单中增加一个隐藏域,用于存储CSRF Token.
<form action="/" method="POST">
<input type="hidden" name="csrf_token" value="abcdefg">
<button type="submit">Submit</button>
</form>
在后端验证时,可以从请求中获取到这个Token并与服务器上生成的Token进行对比。
Http Header方式
将Token存储在Http Header中,请求时在Http Header中携带Token.
POST / HTTP/1.1
Host: example.com
X-CSRF-Token: abcdefg
Spring Security中的CSRF防护
Spring Security提供了一些防范CSRF攻击的功能,以及相应的配置项,常用的选项如下:
http
// 开启CSRF防护
.csrf()
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
.and()
// 禁用CSRF防护
.csrf().disable()
其中,CookieCsrfTokenRepository是一个默认的Token存储器,可将Token存储在Cookie中。
当CSRF开启时,客户端在向服务器发送请求时,需要携带一个带有Token的参数,可以使用<form>表单或者通过Ajax请求等方式携带。
示例一:使用<form>表单发送请求
<form action="/example" method="POST">
<!-- CSRF Token -->
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}">
<!-- other form fields -->
<input type="text" name="field1" value="foo">
<input type="text" name="field2" value="bar">
<button type="submit">Submit</button>
</form>
当用户点击<button>时,将自动携带一个名为_csrf的参数,值为随机生成的Token。
示例二:使用Ajax方式发送请求
function sendJson() {
var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");
$.ajax({
url: '/example',
data: JSON.stringify({'foo': 'bar'}),
contentType: 'application/json',
dataType: 'json',
type: 'POST',
// 设置Http Header
beforeSend: function(xhr) {
xhr.setRequestHeader(header, token);
},
success: function(data) {},
});
}
在向服务器发送请求时,需要在Http Header中携带一个名为_csrf的参数,值为随机生成的Token。_csrf_header表示Http Header名,可在application.properties配置文件中进行设置,如:
security.csrf.csrfHeaderName=X-CSRF-Token
总结
CSRF攻击是一种隐蔽性较强的网络攻击方式,为了防范这类攻击,我们可以使用CSRF Token防护技术。在Spring Security中,开启CSRF防护功能是一项比较简单的操作,只需配置即可,通过示例我们也可以看到,在使用<form>表单或者Ajax方式发送请求时,需要携带一个带有Token的参数,这也是我们防范CSRF攻击的核心之处。
本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:Spring Security中防护CSRF功能详解 - Python技术站
微信扫一扫 
支付宝扫一扫 