Spring （33）CSRF（跨站请求伪造）保护

跨站请求伪造（CSRF）是一种常见的网络攻击手段，它允许攻击者在不知情的用户浏览器中发起恶意请求。这种攻击利用了网站对用户浏览器的信任。如果用户在浏览器中已经登录了一个网站，攻击者就可以构造一个请求，这个请求能够利用用户的登录状态在该网站上执行未授权的操作。

CSRF保护机制

为了防御CSRF攻击，网站需要确保它们只接受那些明确意图发起的请求。一种常见的防御手段是使用CSRF令牌（也称为CSRF令牌）。这个令牌是一个随机值，服务器在渲染表单时生成并包含在表单中，随后，任何对服务器的请求都需要包含这个令牌。由于攻击者无法访问这个令牌，他们构造的恶意请求将会失败。

Spring Security中的CSRF保护

Spring Security 提供了内置的CSRF保护机制。默认情况下，它会为所有的POST、PUT、PATCH和DELETE请求启用CSRF保护。它通过CsrfFilter过滤器实现这一功能。

CsrfFilter工作原理

当CsrfFilter激活时，它会在每个请求上执行以下操作：

1. 检查CSRF令牌：如果请求是一个需要被保护的HTTP方法（例如POST），它会检查请求中是否含有有效的CSRF令牌。
2. 生成和存储CSRF令牌：对于每个新的会话，CsrfFilter会生成一个新的CSRF令牌，并在服务器端存储这个令牌。令牌也会被发送到客户端，通常是作为一个表单的隐藏字段。
3. 验证CSRF令牌：当用户提交一个表单时，客户端发送的令牌必须与服务器端存储的令牌匹配。如果令牌不匹配，请求将被拒绝。

CSRF保护的配置

在Spring Security配置中，默认已经启用了CSRF保护。但是，你可以按需修改或禁用这一功能。以下是一个示例，展示如何在Spring Security配置中自定义CSRF保护：

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // 其他配置...
            .csrf(csrf -> 
                csrf.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
            );
            // 此配置使用了基于Cookie的CSRF令牌存储策略，并将CSRF令牌作为一个JavaScript可访问的cookie发送给客户端。
    }
}

生成和验证CSRF令牌的源码解析

CsrfFilter类是Spring Security中处理CSRF保护逻辑的关键。在源码层面，CsrfFilter会使用一个CsrfTokenRepository来存储CSRF令牌。默认情况下，使用的是HttpSessionCsrfTokenRepository，但你可以通过配置改变这一行为。

当处理请求时，CsrfFilter会调用CsrfTokenRepository来加载当前的CSRF令牌，检查请求中的令牌是否与之匹配。匹配逻辑主要在CsrfFilter的doFilterInternal方法中实现：

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
        throws ServletException, IOException {
    CsrfToken csrfToken = this.tokenRepository.loadToken(request);
    final boolean missingToken = csrfToken == null;
    if (missingToken) {
        csrfToken = this.tokenRepository.generateToken(request);
        this.tokenRepository.saveToken(csrfToken, request, response);
    }
    request.setAttribute(CsrfToken.class.getName(), csrfToken);
    request.setAttribute(csrfToken.getParameterName(), csrfToken);

    if (!this.requireCsrfProtectionMatcher.matches(request)) {
        filterChain.doFilter(request, response);
        return;
    }

    String actualToken = request.getHeader(csrfToken.getHeaderName());
    if (!csrfToken.getToken().equals(actualToken)) {
        if (this.logger.isDebugEnabled()) {
            this.logger.debug("Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request));
        }
        if (missingToken) {
            this.accessDeniedHandler.handle(request, response, new MissingCsrfTokenException(actualToken));
        }
        else {
            this.accessDeniedHandler.handle(request, response, new InvalidCsrfTokenException(csrfToken, actualToken));
        }
        return;
    }

    filterChain.doFilter(request, response);
}

从上面的代码可以看出，CsrfFilter首先尝试从存储中加载CSRF令牌。如果没有找到，它会生成一个新的令牌。然后，它检查如果请求需要CSRF保护，请求中的令牌必须与存储中的令牌匹配。

通过这种机制，Spring Security提供了一种强大的方式来自动防御CSRF攻击，同时也提供了足够的灵活性，以适应不同应用的需求。