Spring Security —漏洞防护—跨站请求伪造(CSRF)

news2024/12/22 21:26:57

在终端用户可以 登录 的应用程序中,必须考虑如何防止 跨站请求伪造(CSRF)。

Spring Security 默认为 不安全的HTTP方法(如POST请求)提供CSRF攻击防护,因此无需额外代码。你可以使用下面的方法明确指定默认配置:

Configure CSRF Protection

  • Java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.csrf(Customizer.withDefaults());
		return http.build();
	}
}

一、了解 CSRF 保护的组件

CSRF 保护由 CsrfFilter 中的几个组件提供:

Figure 1. CsrfFilter Components

CSRF 保护分为两部分:

  1. 通过委托 CsrfTokenRequestHandler,使应用程序可以使用 CsrfToken。
  2. 确定请求是否需要 CSRF 保护,加载并验证 token,处理 handle AccessDeniedException。

Figure 2. CsrfFilter Processing

  • 首先, DeferredCsrfToken 被加载,其中保存了对 CsrfTokenRepository 的引用,以便在稍后加载持久化的 CsrfToken(在第 步)。
  • 其次,Supplier<CsrfToken>(由 DeferredCsrfToken 创建)被提供给 CsrfTokenRequestHandler,CsrfTokenRequestHandler 负责填充请求属性,使 CsrfToken 对应用程序的其他部分可用。
  • 接下来,开始主要的 CSRF 保护处理,并检查当前请求是否需要CSRF保护。如果不需要,则继续 filter chain 并结束处理。
  • 如果需要CSRF保护,则从 DeferredCsrfToken 中加载持久化的 CsrfToken。
  • 继续使用 CsrfTokenRequestHandler 解析客户端提供的实际CSRF token(如有)。
  • 将实际 CSRF token 与持久化的 CsrfToken 进行比较。如果有效,则继续 filter chain 并结束处理。
  • 如果实际的 CSRF token 无效(或缺失),AccessDeniedException 将被传递给 AccessDeniedHandler 并结束处理。

二、迁移到 Spring Security 6

当从 Spring Security 5 迁移到 Spring Security 6 时,有一些变化可能会影响你的应用程序。以下是Spring Security 6 中 CSRF 保护方面变化的概述:

  • CsrfToken 的加载现在 默认为延迟加载,不再要求每次请求都加载 session,从而提高了性能。
  • The CsrfToken now includes randomness on every request by default to protect the CSRF token from a BREACH attack.

CsrfToken 现在默认在 每个请求中包含随机性,以保护 CSRF token 免受 BREACH 攻击。

Spring Security 6 中的变化要求对单页应用程序进行额外的配置,因此你可能会发现 单页应用(SPA) 部分特别有用。

有关迁移 Spring Security 5 应用程序的更多信息,请参见 迁移 一章中的 漏洞利用保护 部分。

三、持久化CsrfToken

CsrfToken 使用 CsrfTokenRepository 持久化。

默认情况下,HttpSessionCsrfTokenRepository 用于在 session 中存储 token。Spring Security 还提供了用于在 cookie 中存储 token 的 CookieCsrfTokenRepository。你也可以 指定自己的实现 来存储 token。

1、使用HttpSessionCsrfTokenRepository

默认情况下,Spring Security 通过使用 HttpSessionCsrfTokenRepository 将预期的 CSRF 令牌存储在 HttpSession 中,因此无需额外代码。

HttpSessionCsrfTokenRepository 从名为 X-CSRF-TOKEN 的 HTTP 请求 header 或默认的请求参数 _csrf 中读取令牌。

你可以使用以下配置明确指定默认配置:

Configure HttpSessionCsrfTokenRepository

  • Java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.csrf((csrf) -> csrf
				.csrfTokenRepository(new HttpSessionCsrfTokenRepository())
			);
		return http.build();
	}
}

2、使用CookieCsrfTokenRepository

你可以使用 CookieCsrfTokenRepository 将 CsrfToken 持久化在 cookie 中,以支持 基于 JavaScript 的应用程序。

CookieCsrfTokenRepository 写入名为 XSRF-TOKEN 的 cookie,并从名为 X-XSRF-TOKEN 的 HTTP 请求头或默认的请求参数 _csrf 中读取。这些默认值来自 Angular 及其前身 AngularJS。

请参阅 跨站请求伪造(XSRF)保护 指南和 HttpClientXsrfModule,了解有关此主题的更多最新信息。

你可以使用以下配置配置 CookieCsrfTokenRepository:

Configure CookieCsrfTokenRepository

  • Java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.csrf((csrf) -> csrf
				.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
			);
		return http.build();
	}
}

该示例明确地将 HttpOnly 设置为 false。这是允许 JavaScript框架(如Angular)读取它的必要条件。如果你不需要直接用 JavaScript 读取 cookie,我们建议你省略 HttpOnly(使用 new CookieCsrfTokenRepository() 代替)以提高安全性。

3、自定义CsrfTokenRepository

在某些情况下,你需要实现一个自定义的 CsrfTokenRepository。

一旦实现了 CsrfTokenRepository 接口,就可以通过以下配置来使用 Spring Security:

Configure Custom CsrfTokenRepository

  • Java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.csrf((csrf) -> csrf
				.csrfTokenRepository(new CustomCsrfTokenRepository())
			);
		return http.build();
	}
}

四、处理 theCsrfToken

CsrfToken 通过 CsrfTokenRequestHandler 提供给应用程序。该组件还负责从 HTTP header 或请求参数中解析 CsrfToken。

默认情况下,XorCsrfTokenRequestAttributeHandler 用于提供 CsrfToken 的 BREACH 保护。Spring Security 还提供了 CsrfTokenRequestAttributeHandler 用于选择退出 BREACH 保护。你也可以指定 自己的实现 来定制处理和解析 token 的策略。

1、使用XorCsrfTokenRequestAttributeHandler(BREACH)

XorCsrfTokenRequestAttributeHandler 使 CsrfToken 作为名为 _csrf 的 HttpServletRequest attribute 可用,并提供额外的 BREACH 保护。

CsrfToken 也可作为 request attribute 使用,名称为 CsrfToken.class.getName()。该名称不可配置,但可以使用 XorCsrfTokenRequestAttributeHandler#setCsrfRequestAttributeName 更改名称 _csrf。

该实现还将来自请求的 token 值解析为请求头(默认为 X-CSRF-TOKEN 或 X-XSRF-TOKEN 之一)或请求参数(默认为 _csrf)。

通过将随机性编码到 CSRF token 值中,以确保每次请求时返回的 CsrfToken 都会发生变化,从而提供 BREACH 保护。当 token 随后被解析为 header 值或请求参数时,将对其进行解码以获得原始 token,然后将其与持久化的 CsrfToken 进行比较。

Spring Security 默认保护 CSRF token 免受 BREACH 攻击,因此无需额外代码。你可以使用以下配置明确指定默认配置:

Configure BREACH protection

  • Java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.csrf((csrf) -> csrf
				.csrfTokenRequestHandler(new XorCsrfTokenRequestAttributeHandler())
			);
		return http.build();
	}
}

2、使用CsrfTokenRequestAttributeHandler

CsrfTokenRequestAttributeHandler 使 CsrfToken 作为名为 _csrf 的 HttpServletRequest attribute 可用。

CsrfToken 也可作为 request attribute 使用,名称为 CsrfToken.class.getName()。该名称不可配置,但可使用 CsrfTokenRequestAttributeHandler#setCsrfRequestAttributeName 更改名称 _csrf。

该实现还将来自请求的 token 值解析为请求头(默认为 X-CSRF-TOKEN 或 X-XSRF-TOKEN 之一)或请求参数(默认为 _csrf)。

CsrfTokenRequestAttributeHandler 的主要用途是选择退出 CsrfToken 的 BREACH 保护,可通过以下配置进行配置:

Opt-out of BREACH protection

  • Java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.csrf((csrf) -> csrf
				.csrfTokenRequestHandler(new CsrfTokenRequestAttributeHandler())
			);
		return http.build();
	}
}

3、自定义CsrfTokenRequestHandler

你可以实现 CsrfTokenRequestHandler 接口来定制处理和解析 token 的策略。

CsrfTokenRequestHandler 接口是一个 @FunctionalInterface 接口,可以使用 lambda 表达式实现,以自定义请求处理。你需要实现完整的接口来定制如何从请求中解析 token。请参阅 Configure CSRF for Single-Page Application,以了解使用委托实现自定义策略来处理和解析 token 的示例。

一旦你实现了 CsrfTokenRequestHandler 接口,你就可以通过以下配置来使用 Spring Security:

Configure Custom CsrfTokenRequestHandler

  • Java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.csrf((csrf) -> csrf
				.csrfTokenRequestHandler(new CustomCsrfTokenRequestHandler())
			);
		return http.build();
	}
}

五、延迟加载CsrfToken

默认情况下,Spring Security 会推迟加载 CsrfToken,直到需要时才加载。

在使用 不安全 HTTP 方法(如 POST)进行请求时,都需要使用 CsrfToken。此外,任何将 token 呈现在响应中的请求都需要该 token,例如带有 <form> 标签的网页,该标签包含一个用于 CSRF token 的隐藏 <input>。

由于 Spring Security 默认将 CsrfToken 存储在 HttpSession 中,因此延迟 CSRF token 无需在每个请求中加载 session,从而提高了性能。

如果你不希望使用延迟 token,而希望在每次请求时加载 CsrfToken,可以通过以下配置实现:

Opt-out of Deferred CSRF Tokens

  • Java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		XorCsrfTokenRequestAttributeHandler requestHandler = new XorCsrfTokenRequestAttributeHandler();
		// set the name of the attribute the CsrfToken will be populated on
		requestHandler.setCsrfRequestAttributeName(null);
		http
			// ...
			.csrf((csrf) -> csrf
				.csrfTokenRequestHandler(requestHandler)
			);
		return http.build();
	}
}

通过将 csrfRequestAttributeName 设置为 null,必须首先加载 CsrfToken 以确定使用什么属性名。这将导致每次请求都加载 CsrfToken。

六、与 CSRF 保护整合

为了使 同步 token 模式 能够抵御 CSRF 攻击,我们必须在HTTP请求中包含实际的 CSRF 令牌。这必须包含在请求的某个部分(表单参数、HTTP头或其他部分)中,浏览器不会自动将其包含在 HTTP 请求中。

以下章节介绍了前端或客户端应用程序与受 CSRF 保护的后端应用程序集成的各种方式:

  • HTML 表单
  • JavaScript 应用
  • 移动端应用

1、HTML 表单

要提交 HTML 表单,CSRF 令牌必须作为 hidden input 包含在表单中。例如,渲染的 HTML 可能如下所示:

CSRF Token in HTML Form

<input type="hidden"
	name="_csrf"
	value="4bfd1575-3ad1-4d21-96c7-4ef2d9f86721"/>

以下视图技术会自动在具有不安全 HTTP 方法(如 POST)的表单中包含实际的 CSRF token:

  • Spring 的表单标签库
  • Thymeleaf
  • 与 RequestDataValueProcessor 集成的任何其他视图技术(通过 CsrfRequestDataValueProcessor)。
  • 你也可以通过 csrfInput 标签自行包含 token。

如果没有这些选项,你可以利用 CsrfToken 作为 名为 _csrf 的 HttpServletRequest 属性 这一事实。下面的示例通过JSP实现了这一点:

CSRF Token in HTML Form with Request Attribute

<c:url var="logoutUrl" value="/logout"/>
<form action="${logoutUrl}"
	method="post">
<input type="submit"
	value="Log out" />
<input type="hidden"
	name="${_csrf.parameterName}"
	value="${_csrf.token}"/>
</form>

2、JavaScript 应用

JavaScript 应用程序通常使用 JSON 而不是 HTML。如果使用 JSON,则可以在 HTTP 请求头而不是请求参数中提交 CSRF token。

为了获取CSRF token,你可以配置 Spring Security 将预期的 CSRF token 存储在cookie中。通过在 cookie 中存储预期 token, Angular 等 JavaScript 框架可以自动将实际的 CSRF token 作为 HTTP 请求头。

在将单页面应用程序(SPA)与 Spring Security 的 CSRF 保护集成时,需要特别考虑 BREACH 保护和延迟 token。下一节 将提供完整的配置示例。

你可以在下面的章节中了解不同类型的 JavaScript 应用程序:

  • 单页应用(SPA)
  • 多页应用
  • 其他 JavaScript 应用

单页应用(SPA)

将单页应用程序(SPA)与 Spring Security 的 CSRF 保护集成在一起有一些特殊的注意事项。

回想一下,Spring Security 默认为 CsrfToken 提供 BREACH 保护。当 在 cookie 中 存储预期的 CSRF token 时,JavaScript 应用程序将只能访问纯 token 值,而无法访问编码值。需要提供 自定义的 request handler 来解析实际 token 值。

此外,存储 CSRF token 的 cookie 将在验证成功和注销成功时被清除。默认情况下,Spring Security会延迟加载新的 CSRF token,返回一个新的 cookie 需要额外的工作。

认证成功和注销成功后需要刷新令牌,因为 CsrfAuthenticationStrategy 和 CsrfLogoutHandler 会清除之前的令牌。在未获得新令牌的情况下,客户端应用程序将无法执行不安全的 HTTP 请求,如 POST。

为了轻松地将单页应用程序与 Spring Security 集成,可以使用以下配置:

Configure CSRF for Single-Page Application

  • Java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.csrf((csrf) -> csrf
				.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())   
				.csrfTokenRequestHandler(new SpaCsrfTokenRequestHandler())            
			)
			.addFilterAfter(new CsrfCookieFilter(), BasicAuthenticationFilter.class); 
		return http.build();
	}
}

final class SpaCsrfTokenRequestHandler extends CsrfTokenRequestAttributeHandler {
	private final CsrfTokenRequestHandler delegate = new XorCsrfTokenRequestAttributeHandler();

	@Override
	public void handle(HttpServletRequest request, HttpServletResponse response, Supplier<CsrfToken> csrfToken) {
		/*
		 * Always use XorCsrfTokenRequestAttributeHandler to provide BREACH protection of
		 * the CsrfToken when it is rendered in the response body.
		 */
		this.delegate.handle(request, response, csrfToken);
	}

	@Override
	public String resolveCsrfTokenValue(HttpServletRequest request, CsrfToken csrfToken) {
		/*
		 * If the request contains a request header, use CsrfTokenRequestAttributeHandler
		 * to resolve the CsrfToken. This applies when a single-page application includes
		 * the header value automatically, which was obtained via a cookie containing the
		 * raw CsrfToken.
		 */
		if (StringUtils.hasText(request.getHeader(csrfToken.getHeaderName()))) {
			return super.resolveCsrfTokenValue(request, csrfToken);
		}
		/*
		 * In all other cases (e.g. if the request contains a request parameter), use
		 * XorCsrfTokenRequestAttributeHandler to resolve the CsrfToken. This applies
		 * when a server-side rendered form includes the _csrf request parameter as a
		 * hidden input.
		 */
		return this.delegate.resolveCsrfTokenValue(request, csrfToken);
	}
}

final class CsrfCookieFilter extends OncePerRequestFilter {

	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		CsrfToken csrfToken = (CsrfToken) request.getAttribute("_csrf");
		// Render the token value to a cookie by causing the deferred token to be loaded
		csrfToken.getToken();

		filterChain.doFilter(request, response);
	}
}

配置 CookieCsrfTokenRepository 时,将 HttpOnly 设置为 false,这样 JavaScript 应用程序就可以读取 Cookie。

配置自定义的 CsrfTokenRequestHandler,根据 CSRF token 是 HTTP 请求头(X-XSRF-TOKEN)还是请求参数(_csrf)来解析 CSRF token。

配置一个自定义 Filter,在每次请求时加载 CsrfToken,如果需要,将返回一个新的 cookie。

多页应用

对于在每个页面上加载 JavaScript 的多页面应用程序,除了 在 cookie 中 公开 CSRF token 外,还可以在 meta 标签中包含 CSRF token。HTML可能如下所示

CSRF Token in HTML Meta Tag

<html>
<head>
	<meta name="_csrf" content="4bfd1575-3ad1-4d21-96c7-4ef2d9f86721"/>
	<meta name="_csrf_header" content="X-CSRF-TOKEN"/>
	<!-- ... -->
</head>
<!-- ... -->
</html>

为了在请求中包含 CSRF token,可以利用 CsrfToken 作为 名为 _csrf 的 HttpServletRequest 属性 的事实。下面的示例通过JSP实现了这一点:

CSRF Token in HTML Meta Tag with Request Attribute

<html>
<head>
	<meta name="_csrf" content="${_csrf.token}"/>
	<!-- default header name is X-CSRF-TOKEN -->
	<meta name="_csrf_header" content="${_csrf.headerName}"/>
	<!-- ... -->
</head>
<!-- ... -->
</html>

一旦 meta 标签包含 CSRF token,JavaScript 代码就可以读取 meta 标签,并将 CSRF token 作为 header 包含在内。如果你使用 jQuery,你可以通过以下代码来实现:

Include CSRF Token in AJAX Request

$(function () {
	var token = $("meta[name='_csrf']").attr("content");
	var header = $("meta[name='_csrf_header']").attr("content");
	$(document).ajaxSend(function(e, xhr, options) {
		xhr.setRequestHeader(header, token);
	});
});

其他 JavaScript 应用

JavaScript 应用程序的另一种选择是在 HTTP 响应头中包含 CSRF 令牌。

实现这一点的方法之一是通过使用 CsrfTokenArgumentResolver 的 @ControllerAdvice。下面是一个 @ControllerAdvice 的示例,它适用于应用程序中的所有 controller 端点:

CSRF Token in HTTP Response Header

  • Java
@ControllerAdvice
public class CsrfControllerAdvice {

	@ModelAttribute
	public void getCsrfToken(HttpServletResponse response, CsrfToken csrfToken) {
		response.setHeader(csrfToken.getHeaderName(), csrfToken.getToken());
	}

}

由于该 @ControllerAdvice 适用于应用程序中的所有端点,它将导致 CSRF token 在每个请求中加载,这可能会抵消使用 HttpSessionCsrfTokenRepository 时 延迟 token 的好处。然而,在使用 CookieCsrfTokenRepository 时,这通常不是问题。

重要的是要记住,controller 端点和 controller advice 是在 Spring Security filter chain 之后调用的。这意味着只有当请求通过 filter chain 到达你的应用程序时,才会应用 @ControllerAdvice。请参阅 单页应用程序的配置,了解向 filter chain 添加 filter 以更早访问 HttpServletResponse 的示例。

对于 controller advice 适用的任何自定义端点,CSRF token 现在可以在响应头(默认为X-CSRF-TOKEN 或X-XSRF-TOKEN)中获得。对后端的任何请求都可用于从响应中获取 token,后续请求可将 token 包含在具有相同名称的请求头中。

3、移动端应用

与 JavaScript 应用程序 一样,移动应用程序通常使用 JSON 而不是HTML。不提供浏览器流量的后端应用程序可以选择 禁用 CSRF。在这种情况下,无需额外工作。

但是,如果后端应用程序也提供浏览器流量,因此仍然需要 CSRF 保护,则可以继续将 CsrfToken 存储在 session 中,而不是 cookie 中。

在这种情况下,与后端集成的典型模式是暴露 /csrf 端点,允许前端(移动或浏览器客户端)按需请求 CSRF token。使用这种模式的好处是,CSRF token 可以继续延迟,只有在请求需要 CSRF 保护时才需要从会话中加载。使用自定义端点还意味着客户端应用程序可以通过发出显式请求,要求按需生成新 token(如有必要)。

这种模式可用于需要 CSRF 保护的任何类型的应用程序,而不仅仅是移动应用程序。虽然在这些情况下通常不需要这种方法,但它是与受 CSRF 保护的后端集成的另一种选择。

下面是一个使用 CsrfTokenArgumentResolver 的 /csrf 端点示例:

The /csrf endpoint

  • Java
@RestController
public class CsrfController {

    @GetMapping("/csrf")
    public CsrfToken csrf(CsrfToken csrfToken) {
        return csrfToken;
    }

}

如果上述端点需要与服务器进行身份验证,你可以考虑添加 .requestMatchers("/csrf").permitAll()。

在应用程序启动或初始化时(如加载时),以及在身份验证成功和注销成功后,应调用该端点以获取 CSRF token。

认证成功和注销成功后需要刷新 token,因为 CsrfAuthenticationStrategy 和 CsrfLogoutHandler 会清除之前的 token。在未获得新 token 的情况下,客户端应用程序将无法执行不安全的 HTTP 请求,如 POST。

获得CSRF令牌后,你需要将其作为 HTTP 请求头(默认为 X-CSRF-TOKEN 或 X-XSRF-TOKEN 之一)。

七、处理AccessDeniedException

要处理诸如 InvalidCsrfTokenException 之类的 AccessDeniedException,可以配置 Spring Security 以任何方式处理这些异常。例如,你可以使用以下配置配置自定义拒绝访问页面:

Configure AccessDeniedHandler

  • Java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.exceptionHandling((exceptionHandling) -> exceptionHandling
				.accessDeniedPage("/access-denied")
			);
		return http.build();
	}
}

八、CSRF 测试

你可以使用 Spring Security 的 测试支持 和 CsrfRequestPostProcessor 来测试 CSRF 保护,就像这样:

Test CSRF Protection

  • Java
import static org.springframework.security.test.web.servlet.request.SecurityMockMvcRequestPostProcessors.*;
import static org.springframework.security.test.web.servlet.setup.SecurityMockMvcConfigurers.*;
import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.*;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.*;

@ExtendWith(SpringExtension.class)
@ContextConfiguration(classes = SecurityConfig.class)
@WebAppConfiguration
public class CsrfTests {

	private MockMvc mockMvc;

	@BeforeEach
	public void setUp(WebApplicationContext applicationContext) {
		this.mockMvc = MockMvcBuilders.webAppContextSetup(applicationContext)
			.apply(springSecurity())
			.build();
	}

	@Test
	public void loginWhenValidCsrfTokenThenSuccess() throws Exception {
		this.mockMvc.perform(post("/login").with(csrf())
				.accept(MediaType.TEXT_HTML)
				.param("username", "user")
				.param("password", "password"))
			.andExpect(status().is3xxRedirection())
			.andExpect(header().string(HttpHeaders.LOCATION, "/"));
	}

	@Test
	@WithMockUser
	public void logoutWhenValidCsrfTokenThenSuccess() throws Exception {
		this.mockMvc.perform(post("/logout").with(csrf())
				.accept(MediaType.TEXT_HTML))
			.andExpect(status().is3xxRedirection())
			.andExpect(header().string(HttpHeaders.LOCATION, "/login?logout"));
	}
}

九、禁用 CSRF 保护

默认情况下,CSRF 保护是启用的,这会影响 与后台的集成 和应用程序的 测试。在禁用 CSRF 保护之前,请考虑这 对你的应用程序是否有意义。

你还可以考虑是否只有某些端点不需要 CSRF 保护,并配置忽略规则,如下例所示:

Ignoring Requests

  • Java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            // ...
            .csrf((csrf) -> csrf
                .ignoringRequestMatchers("/api/*")
            );
        return http.build();
    }
}

如果需要禁用 CSRF 保护,可以使用以下配置:

Disable CSRF

  • Java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.csrf((csrf) -> csrf.disable());
		return http.build();
	}
}

十、CSRF 注意事项

在实施 CSRF 攻击防护时,有一些特殊的注意事项。本节将讨论与 servlet 环境相关的注意事项。有关更一般性的讨论,请参阅 CSRF 注意事项。

1、登录

对 登录请求要求 CSRF 以防止伪造登录尝试是很重要的。Spring Security 的 Servlet 支持就能做到这一点。

2、注销

对 注销请求要求 CSRF 以防止伪造注销尝试是很重要的。如果启用了CSRF保护(默认),Spring Security 的 LogoutFilter 将只处理 HTTP POST 请求。这将确保注销需要 CSRF token,恶意用户无法强行注销用户。

最简单的方法是使用表单注销用户。如果你真的需要一个链接,你可以使用 JavaScript 让链接执行 POST(也许在一个 hidden 表单上)。对于禁用 JavaScript 的浏览器,你可以选择让链接将用户带到一个执行 POST 的注销确认页面。

如果你真的想在注销时使用 HTTP GET,你可以这样做。但请记住,一般不建议这样做。例如,当使用任何 HTTP 方法请求 /logout URL时,将执行以下操作进行注销:

Log Out with Any HTTP Method

  • Java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.logout((logout) -> logout
				.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
			);
		return http.build();
	}
}

更多信息请参阅 注销 章节。

3、CSRF 和 session 超时

默认情况下,Spring Security 使用 HttpSessionCsrfTokenRepository 将 CSRF token 存储在 HttpSession 中。这可能会导致 session 过期,从而没有 CSRF token 进行验证。

我们已经讨论了 session 超时的 一般解决方案。本节将讨论与 servlet 支持相关的 CSRF 超时的具体问题。

你可以将 CSRF token 存储在 cookie 中。详情请参阅 使用 CookieCsrfTokenRepository 部分。

如果 token 过期,你可能希望通过指定 自定义的 AccessDeniedHandler 来自定义处理方式。自定义的 AccessDeniedHandler 可以任意处理 InvalidCsrfTokenException。

4、Multipart(文件上传)

我们 已经讨论过 保护 multipart 请求(文件上传)免受CSRF攻击如何导致 鸡和蛋 的问题。当 JavaScript 可用时,我们建议 将 CSRF token 包含在 HTTP 请求头中,以避免这一问题。

如果 JavaScript 不可用,下面将讨论在 servlet 应用程序的 body 和 url 中放置 CSRF token 的选项。

你可以在 Spring 参考文档的 Multipart Resolver 部分和 MultipartFilter javadoc 中找到更多关于在 Spring 中使用 multipart 表单的信息。

把 CSRF Token 放到 body 中

我们 已经讨论了 将 CSRF token 放在 body 中的利弊。在本节中,我们将讨论如何配置 Spring Security 以从 body 中读取 CSRF。

为了从 body 中读取 CSRF token,在 Spring Security filter 之前指定了 MultipartFilter。在 Spring Security filter 之前指定 MultipartFilter 意味着调用 MultipartFilter 没有授权,这意味着任何人都可以在服务器上放置临时文件。然而,只有经过授权的用户才能提交由应用程序处理的文件。一般来说,这是推荐的方法,因为临时文件上传对大多数服务器的影响可以忽略不计。

Configure MultipartFilter

  • Java
public class SecurityApplicationInitializer extends AbstractSecurityWebApplicationInitializer {

	@Override
	protected void beforeSpringSecurityFilterChain(ServletContext servletContext) {
		insertFilters(servletContext, new MultipartFilter());
	}
}

为了确保 MultipartFilter 在 Spring Security filter 之前通过 XML 配置指定,可以确保 MultipartFilter 的 <filter-mapping> 元素放在 web.xml 文件中的 springSecurityFilterChain 之前。

在 ULR 中包含 CSRF Token

如果不能接受让未经授权的用户上传临时文件,另一种方法是将 MultipartFilter 放在 Spring Security filter 之后,并将 CSRF 作为查询参数包含在表单的 action 属性中。由于 CsrfToken 是作为 名为 _csrf 的 HttpServletRequest 属性 公开的,因此我们可以使用它来创建一个包含 CSRF token 的 action 。下面的示例通过 JSP 实现了这一点:

CSRF Token in Action

<form method="post"
	action="./upload?${_csrf.parameterName}=${_csrf.token}"
	enctype="multipart/form-data">

5、HiddenHttpMethodFilter

在 Spring 的 Servlet 支持中,覆盖 HTTP 方法是通过使用 HiddenHttpMethodFilter 来实现的。

REST的一个关键原则是使用“统一接口”。这意味着可以使用相同的四个HTTP方法来操作所有资源(URL):GET、PUT、POST和DELETE。对于每个方法,HTTP规范都定义了确切的语义。例如,GET应该始终是安全操作,这意味着它没有副作用,PUT或DELETE应该是幂等的,这意味着您可以反复重复这些操作,但最终结果应该相同。虽然HTTP定义了这四种方法,但HTML仅支持两种:GET和POST。幸运的是,有两种可能的解决方法:您可以使用JavaScript来执行PUT或DELETE,或者您可以使用“real”方法作为附加参数(建模为HTML表单中的隐藏输入字段)来执行POST。Spring的HiddenHttpMethodFilter使用了后一种技巧。该过滤器是一个普通的Servlet过滤器,因此,它可以与任何web框架(不仅仅是SpringMVC)结合使用。将此筛选器添加到web.xml中,具有隐藏方法参数的POST将转换为相应的HTTP方法请求。
为了支持HTTP方法转换,SpringMVC表单标记被更新为支持设置HTTP方法。例如,以下片段来自Pet Clinic示例:

<form:form method="delete">
	<p class="submit"><input type="submit" value="Delete Pet"/></p>
</form:form>

前面的示例执行HTTP POST,将“真实”DELETE方法隐藏在请求参数后面。它由HiddenHttpMethodFilter拾取,该过滤器在web.xml中定义,如下例所示:

<filter>
	<filter-name>httpMethodFilter</filter-name>
	<filter-class>org.springframework.web.filter.HiddenHttpMethodFilter</filter-class>
</filter>

<filter-mapping>
	<filter-name>httpMethodFilter</filter-name>
	<servlet-name>petclinic</servlet-name>
</filter-mapping>

下面的示例显示了相应的@Controller方法:

@RequestMapping(method = RequestMethod.DELETE)
public String deletePet(@PathVariable int ownerId, @PathVariable int petId) {
	this.clinic.deletePet(petId);
	return "redirect:/owners/" + ownerId;
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1138822.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

今年天猫双11,打响电商AI时代第一枪

自阿里提出双11以来&#xff0c;今年已是第15个年头。在这15年间&#xff0c;双11见证了中国电商的发展轨迹&#xff0c;从野蛮生长、完善体验到重质重效。如今&#xff0c;在双11的见证下&#xff0c;中国电商的进化正悄然发生。 一些新的变化值得关注。“最值得买的电视”&a…

系列六、FactoryBean vs ApplicationContext

一、FactoryBean vs ApplicationContext 1.1、概述 BeanFactory是一个工厂类&#xff0c;负责生产和管理bean&#xff0c;在Spring中BeanFactory是IOC容器的核心接口&#xff0c;它的主要职责就是生产bean及建立各个bean之间的依赖。applicationContext是BeanFactory的一个子接…

Go 的连接池、重试和超时

这是一个来自 API 的间歇性 500 个内部服务器错误的故事&#xff0c;这些错误最终是由 Go 包中的硬编码常量引起的database/sql。我将主要为您省去冗长的故事&#xff0c;并直接讨论问题以及我们发现的原因。我们注意到来自特定 API 端点的 500 错误数量有所增加&#xff0c;并…

网络协议--BOOTP:引导程序协议

16.1 引言 在第5章我们介绍了一个无盘系统&#xff0c;它在不知道自身IP地址的情况下&#xff0c;在进行系统引导时能够通过RARP来获取它的IP地址。然而使用RARP有两个问题&#xff1a;&#xff08;1&#xff09;IP地址是返回的唯一结果&#xff1b;&#xff08;2&#xff09;…

目前最优的非蒸馏、可商用的开源大模型!MIT-IBM 提出鲑鱼模型!

作者 | 谢年年、ZenMoore 今年上半年&#xff0c;IBM 加入大模型战局&#xff0c;提出了一种使用原则(Principle)驱动的、基于 LLM Self-Instruct 的全新方法&#xff1a;SELF-ALIGN &#xff08;自对齐&#xff09;&#xff0c;并以开源LLaMA为基础&#xff0c;用不到300行&am…

el-table(vue2中)滚动条被固定列盖住

一、项目场景&#xff1a; vue2 el-table 二、问题描述 1、现场图片&#xff1a; 2、全局css环境配置了滚动条高度为6px /* 全局滚动条配置 */ ::-webkit-scrollbar {width: 6px;height: 6px; }::-webkit-scrollbar-track {background-color: #f1f1f1; }::-webkit-scrollbar-…

机器学习2(Numpy)

1、numpy ndarray 案例演示 可以在创建的时候就指定元素类型 生成0/1数组 从现有数组中生成 生成固定数组 生成随机数组

软考系统架构之案例篇(架构设计相关概念)

案例篇-架构设计相关概念 1. 架构风格的概念2. 五大架构风格有哪些3. MVC架构含义4. 云计算架构5. 云原生架构设计原则6. ESB的主要功能包括7. 质量属性的含义及其设计策略8. EJB中的 Bean 分三种类型9. 风险点、敏感点、权衡点的含义10. REST 的5个原则 1. 架构风格的概念 软…

GO 语言的函数

函数是什么&#xff1f; 学过编程的 xdm 对于函数自然不会陌生&#xff0c;那么函数是什么呢&#xff1f; 函数是一段可以重用的代码块&#xff0c;可以被多次调用&#xff0c;我们可以通过使用函数&#xff0c;提高咱们代码代码的模块化&#xff0c;提高程序的可读性和可维护性…

vite vue3 ts 全局封装自定义svg组件,全局引入

1.安装vite-plugin-svg-icons插件 yarn add vite-plugin-svg-icons -D 2.配置vite.config.ts文件&#xff0c;配置插件 import path from path import { createSvgIconsPlugin } from vite-plugin-svg-iconsplugins: [vue(),// 配置svg createSvgIconsPlugin({// 指定需要缓…

如何在Microsoft Visual Studio 中使用Cpp代码调用python代码

Microsoft Visual Studio中Cpp调用Python代码 本文介绍如何在Microsoft Visual Studio中&#xff0c;开发cpp项目时&#xff0c;调用python代码。 文章目录 Microsoft Visual Studio中Cpp调用Python代码前言一、Cpp生成exe文件1.1 安装python环境1.2 配置Microsoft Visual Stu…

vue ant DatePicker 日期选择器 限制日期可控范围

场景 限制当前日期之前不能选择 限制只能选择日期区间内 Ant Design Vue 效果 <a-date-picker :disabledDate"disabledDate"></a-date-picker>method // 限制日期选择disabledDate(current) {return current && current > moment().endOf(&…

JSON parse error: Cannot deserialize instance of `xxx` out of START_ARRAY token

报错原因 前端传参类型是数组&#xff0c;后端接收参数类型是字符串。 解决办法 前端传参类型改为字符串即可。 如下图 【修改前】 【修改后】

【Linux】安装与配置虚拟机及虚拟机服务器坏境配置与连接

目录 操作系统介绍 什么是操作系统 常见操作系统 UNIX操作系统 linux操作系统 mac操作系统 嵌入式操作系统 个人版本和服务器版本的区别 安装VMWare虚拟机 VMWare虚拟网卡 ​编辑 配置虚拟网络编辑器 ​编辑 安装配置Windows Server 2012 R2 安装Windows Server 2…

如何解决电脑中缺失kernel32.dll文件的问题,四种常见的解决方法

在使用电脑过程中&#xff0c;有时我们可能会遇到一些错误提示&#xff0c;例如“找不到或缺少kernel32.dll文件”。遇到这种情况下&#xff0c;我们可以采取哪些措施来解决这个问题呢&#xff1f;本文将介绍关于kernel32.dll文件的作用&#xff0c;并提供四种常见的解决方法。…

拍摄花絮丨《巴渝小将》走进四川·五华山旅游区拍摄圆满成功!

巴渝小将&#xff0c;乘风破浪 本期节目孩子们离开父母&#xff0c;来到五华山旅游区&#xff0c;开启了两天一夜的录制挑战&#xff0c;他们究竟有着怎样的精彩表现呢&#xff0c;让我们一起往下看吧! 五华山旅游区 五华山旅游区是国家4A级旅游景区&#xff0c;位于四川邻水县…

【哈士奇赠书活动 - 44期】- 〖从零基础到精通Flutter开发〗

文章目录 ⭐️ 赠书 - 《从零基础到精通Flutter开发》⭐️ 内容简介⭐️ 作者简介⭐️ 编辑推荐⭐️ 赠书活动 → 获奖名单 ⭐️ 赠书 - 《从零基础到精通Flutter开发》 ⭐️ 内容简介 本书由浅入深地带领读者进入Flutter开发的世界&#xff0c;从Flutter的起源讲起&#xff0c…

Vue前端学习记录

目录 1 基础语法 v-text v-html v-on v-show v-if v-bind 2 简单应用 2.1 计数器 2.1.1所用知识 2.1.2代码及结果展示 2.2图片切换 2.2.1所用知识 2.2.2代码及结果展示 1 基础语法 v-text 设置标签的内容&#xff08;要替换部分字符用差值表达式{{}}&#xff09…

【RTOS学习】软件定时器 | 中断处理

&#x1f431;作者&#xff1a;一只大喵咪1201 &#x1f431;专栏&#xff1a;《RTOS学习》 &#x1f525;格言&#xff1a;你只管努力&#xff0c;剩下的交给时间&#xff01; 软件定时器 | 中断处理 &#x1f3c0;软件定时器⚽守护任务守护任务的调度 ⚽使用软件定时器的函数…

如何配置微信小程序id

使用uni-app开发微信小程序项目&#xff0c;配置好微信小程序id是必不可少的。 一、如何找微信小程序id 二、如何配置微信小程序id