跨站请求伪造(CSRF)是一种常见的网络攻击手段,它允许攻击者在不知情的用户浏览器中发起恶意请求。这种攻击利用了网站对用户浏览器的信任。如果用户在浏览器中已经登录了一个网站,攻击者就可以构造一个请求,这个请求能够利用用户的登录状态在该网站上执行未授权的操作。
CSRF保护机制
为了防御CSRF攻击,网站需要确保它们只接受那些明确意图发起的请求。一种常见的防御手段是使用CSRF令牌(也称为CSRF令牌)。这个令牌是一个随机值,服务器在渲染表单时生成并包含在表单中,随后,任何对服务器的请求都需要包含这个令牌。由于攻击者无法访问这个令牌,他们构造的恶意请求将会失败。
Spring Security中的CSRF保护
Spring Security 提供了内置的CSRF保护机制。默认情况下,它会为所有的POST、PUT、PATCH和DELETE请求启用CSRF保护。它通过CsrfFilter
过滤器实现这一功能。
CsrfFilter工作原理
当CsrfFilter
激活时,它会在每个请求上执行以下操作:
- 检查CSRF令牌:如果请求是一个需要被保护的HTTP方法(例如POST),它会检查请求中是否含有有效的CSRF令牌。
- 生成和存储CSRF令牌:对于每个新的会话,
CsrfFilter
会生成一个新的CSRF令牌,并在服务器端存储这个令牌。令牌也会被发送到客户端,通常是作为一个表单的隐藏字段。 - 验证CSRF令牌:当用户提交一个表单时,客户端发送的令牌必须与服务器端存储的令牌匹配。如果令牌不匹配,请求将被拒绝。
CSRF保护的配置
在Spring Security配置中,默认已经启用了CSRF保护。但是,你可以按需修改或禁用这一功能。以下是一个示例,展示如何在Spring Security配置中自定义CSRF保护:
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
// 其他配置...
.csrf(csrf ->
csrf.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
);
// 此配置使用了基于Cookie的CSRF令牌存储策略,并将CSRF令牌作为一个JavaScript可访问的cookie发送给客户端。
}
}
生成和验证CSRF令牌的源码解析
CsrfFilter
类是Spring Security中处理CSRF保护逻辑的关键。在源码层面,CsrfFilter
会使用一个CsrfTokenRepository
来存储CSRF令牌。默认情况下,使用的是HttpSessionCsrfTokenRepository
,但你可以通过配置改变这一行为。
当处理请求时,CsrfFilter
会调用CsrfTokenRepository
来加载当前的CSRF令牌,检查请求中的令牌是否与之匹配。匹配逻辑主要在CsrfFilter
的doFilterInternal
方法中实现:
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
CsrfToken csrfToken = this.tokenRepository.loadToken(request);
final boolean missingToken = csrfToken == null;
if (missingToken) {
csrfToken = this.tokenRepository.generateToken(request);
this.tokenRepository.saveToken(csrfToken, request, response);
}
request.setAttribute(CsrfToken.class.getName(), csrfToken);
request.setAttribute(csrfToken.getParameterName(), csrfToken);
if (!this.requireCsrfProtectionMatcher.matches(request)) {
filterChain.doFilter(request, response);
return;
}
String actualToken = request.getHeader(csrfToken.getHeaderName());
if (!csrfToken.getToken().equals(actualToken)) {
if (this.logger.isDebugEnabled()) {
this.logger.debug("Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request));
}
if (missingToken) {
this.accessDeniedHandler.handle(request, response, new MissingCsrfTokenException(actualToken));
}
else {
this.accessDeniedHandler.handle(request, response, new InvalidCsrfTokenException(csrfToken, actualToken));
}
return;
}
filterChain.doFilter(request, response);
}
从上面的代码可以看出,CsrfFilter
首先尝试从存储中加载CSRF令牌。如果没有找到,它会生成一个新的令牌。然后,它检查如果请求需要CSRF保护,请求中的令牌必须与存储中的令牌匹配。
通过这种机制,Spring Security提供了一种强大的方式来自动防御CSRF攻击,同时也提供了足够的灵活性,以适应不同应用的需求。
标签:令牌,跨站,请求,33,Spring,CsrfFilter,request,CSRF,csrfToken From: https://blog.csdn.net/qq_43012298/article/details/136941150