詳解如何在spring boot中使用spring security防止CSRF攻擊

更新時間：2018年05月07日 09:38:15 作者：大神帶我來搬磚

這篇文章主要介紹了詳解如何在spring boot中使用spring security防止CSRF攻擊，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧

CSRF是什么？

CSRF（Cross-site request forgery），中文名稱：跨站請求偽造，也被稱為：one click attack/session riding，縮寫為：CSRF/XSRF。

CSRF可以做什么？

你這可以這么理解CSRF攻擊：攻擊者盜用了你的身份，以你的名義發(fā)送惡意請求。CSRF能夠做的事情包括：以你名義發(fā)送郵件，發(fā)消息，盜取你的賬號，甚至于購買商品，虛擬貨幣轉賬......造成的問題包括：個人隱私泄露以及財產(chǎn)安全。

CSRF漏洞現(xiàn)狀

CSRF這種攻擊方式在2000年已經(jīng)被國外的安全人員提出，但在國內(nèi)，直到06年才開始被關注，08年，國內(nèi)外的多個大型社區(qū)和交互網(wǎng)站分別爆出CSRF漏洞，如：NYTimes.com（紐約時報）、Metafilter（一個大型的BLOG網(wǎng)站），YouTube和百度HI......而現(xiàn)在，互聯(lián)網(wǎng)上的許多站點仍對此毫無防備，以至于安全業(yè)界稱CSRF為“沉睡的巨人”。

在一個spring boot項目中,需要防止CSRF攻擊,可以只把spring security中的相關filter引入來進行.

在pom中添加相關依賴

  <dependencies>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-freemarker</artifactId>
    </dependency>
    <!-- Security (used for CSRF protection only) -->
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-web</artifactId>
    </dependency>
  </dependencies>

在app啟動時,添加CsrfFilter

@SpringBootApplication
public class Application extends WebMvcConfigurerAdapter {

  @Bean
  public FilterRegistrationBean csrfFilter() {
    FilterRegistrationBean registration = new FilterRegistrationBean();
    registration.setFilter(new CsrfFilter(new HttpSessionCsrfTokenRepository()));
    registration.addUrlPatterns("/*");
    return registration;
  }

  public static void main(String[] args) {
    SpringApplication.run(Application.class, args);
  }
}

form中添加CSRF的hidden字段

<input name="${(_csrf.parameterName)!}" value="${(_csrf.token)!}" type="hidden">

ajax中添加CSRF的頭

xhr.setRequestHeader("${_csrf.headerName}", "${_csrf.token}");

github地址是https://github.com/kabike/spring-boot-csrf

以上就是本文的全部內(nèi)容，希望對大家的學習有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章:

SpringBoot 防御 CSRF 攻擊的流程及原理解析

Java?JDBC使用入門講解
JDBC是指Java數(shù)據(jù)庫連接，是一種標準Java應用編程接口（?JAVA?API），用來連接?Java?編程語言和廣泛的數(shù)據(jù)庫。從根本上來說，JDBC?是一種規(guī)范，它提供了一套完整的接口，允許便攜式訪問到底層數(shù)據(jù)庫，本篇文章我們來了解MySQL連接JDBC的流程方法
2022-12-12
Quarkus改造Pmml模型項目異常記錄及解決處理
這篇文章主要為大家介紹了Quarkus改造Pmml模型項目是遇到的異常記錄以及解決方法，有需要的同學可以借鑒參考下，希望能夠有所幫助，祝大家多多進步
2022-02-02
SpringBoot父子線程數(shù)據(jù)傳遞的五種方案介紹
在實際開發(fā)過程中我們需要父子之間傳遞一些數(shù)據(jù)，比如用戶信息等。該文章從5種解決方案解決父子之間數(shù)據(jù)傳遞困擾，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習吧
2022-09-09
SpringBoot默認包掃描機制及@ComponentScan指定掃描路徑詳解
這篇文章主要介紹了SpringBoot默認包掃描機制及@ComponentScan指定掃描路徑詳解，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2021-11-11
Java設計模式之迭代器模式
這篇文章介紹了Java設計模式之迭代器模式，文中通過示例代碼介紹的非常詳細。對大家的學習或工作具有一定的參考借鑒價值，需要的朋友可以參考下
2022-10-10
SpringCloud微服務多應用腳手架的搭建與部署方式
這篇文章主要介紹了SpringCloud微服務多應用腳手架的搭建與部署方式,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
2024-07-07
Java基礎之MapReduce框架總結與擴展知識點
本章,是MapReduce的最終章,我在寫本章的時候,發(fā)現(xiàn)前面忘記介紹MpaTask與ReduceTask了,所以本章補上哈,另外還有兩個擴展的知識點,講完這些,我會對整個MapReduce進行總結一下,讓大家再次了解MapReduce的工作流程,更加清晰地認識MapReduce ,需要的朋友可以參考下
2021-05-05
淺談Java的LinkedHashSet源碼
這篇文章主要介紹了淺談Java的LinkedHashSet源碼,底層是鏈表實現(xiàn)的,是set集合中唯一一個能保證怎么存就怎么取的集合對象
因為是HashSet的子類,所以也是保證元素唯一的,與HashSet的原理一樣,需要的朋友可以參考下
2023-09-09
JAVA使用HtmlUnit爬蟲工具模擬登陸CSDN案例
今天小編就為大家分享一篇關于JAVA使用HtmlUnit爬蟲工具模擬登陸CSDN案例，小編覺得內(nèi)容挺不錯的，現(xiàn)在分享給大家，具有很好的參考價值，需要的朋友一起跟隨小編來看看吧
2018-12-12
springMVC獲取請求參數(shù)的幾種方式匯總
在日常使用SpringMVC進行開發(fā)的時候,有可能遇到前端各種類型的請求參數(shù),這里做一次相對全面的總結,下面這篇文章主要給大家介紹了關于springMVC獲取請求參數(shù)的幾種方式,需要的朋友可以參考下
2022-04-04