首页 > 其他分享 >CSRF

CSRF

时间:2023-01-18 15:14:59浏览次数:29  
标签:http 请求 token showLogin CSRF 服务端

1.CSRF (Cross site request forgery)

跨站请求伪造,也被称为"OneClick Attack"或者Session Riding
通过伪造用户请求访问受信任站点的非法请求访问。
跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。
客户端与服务进行交互时,由于http协议本身是无状态协议,所以引入了cookie进行记录客户端身份
在cookie中会存放sessionid用来识别客户端身份的。
在跨域的情况下,sessionid可能被第三方恶意劫持,通过这个sessionid向服务端发起请求时,服务端会认为这个请求是合法的,可能发生很多意想不到的事情。
从Spring Security4开始CSRF防护默认开启。默认会拦截清求。进行CSRF处理。
CSRF为了保证不是其他第三方网站访问,要求访问时携带参数名为csrf 值为token(token在服务端产生)的内容,如果token和服务端的token匹配
成功,则正常访问。

2.简单使用

<form action="/login" method="post">
    <input type="hidden" name="_csrf" th:value="${_csrf.token}" th:if="${_csrf.token}">
    Username : <input type="text" name="username"><br>
    Password : <input type="password" name="password"><br>
    <input type="submit" value="login">
</form>
  • controller层方法
@GetMapping("/showLogin")
public String showLogin(){
    return "login";
}
  • 配置类
@Override
protected void configure(HttpSecurity http) throws Exception {

    http.formLogin()
            .loginPage("/showLogin")
            .loginProcessingUrl("/login")
            .successForwardUrl("/toIndex")
            .failureForwardUrl("/toError");

    http.authorizeRequests()
            .antMatchers("/css/**","js/**","**/*.png").permitAll()
            .antMatchers("/showLogin").permitAll()
            .antMatchers("/error.html").permitAll()
            .anyRequest().authenticated();

    //异常处理
    http.exceptionHandling()
                    .accessDeniedHandler(myAccessDeniedHandler);

//        http.csrf().disable();
}

标签:http,请求,token,showLogin,CSRF,服务端
From: https://www.cnblogs.com/lwx11111/p/17059831.html

相关文章