使用SpringSecurity處理CSRF攻擊的方法步驟

更新時(shí)間：2019年03月06日 10:27:22 作者：BBFBBF

這篇文章主要介紹了使用SpringSecurity處理CSRF攻擊的方法步驟，小編覺得挺不錯(cuò)的，現(xiàn)在分享給大家，也給大家做個(gè)參考。一起跟隨小編過來看看吧

CSRF漏洞現(xiàn)狀

CSRF（Cross-site request forgery）跨站請(qǐng)求偽造，也被稱為One Click Attack或者Session Riding，通?？s寫為CSRF或XSRF，是一種對(duì)網(wǎng)站的惡意利用。盡管聽起來像跨站腳本（XSS），但它與XSS非常不同，XSS利用站點(diǎn)內(nèi)的信任用戶，而CSRF則通過偽裝成受信任用戶的請(qǐng)求來利用受信任的網(wǎng)站。與XSS攻擊相比，CSRF攻擊往往不大流行（因此對(duì)其進(jìn)行防范的資源也相當(dāng)稀少）和難以防范，所以被認(rèn)為比XSS更具危險(xiǎn)性。

CSRF是一種依賴web瀏覽器的、被混淆過的代理人攻擊（deputy attack）。

POM依賴

<!-- 模板引擎 freemarker -->
<dependency>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-freemarker</artifactId>
</dependency>
<!-- Security (只使用CSRF部分) -->
<dependency>
 <groupId>org.springframework.security</groupId>
 <artifactId>spring-security-web</artifactId>
</dependency>

配置過濾器

@SpringBootApplication
public class Application {

 public static void main(String[] args) {
  SpringApplication.run(Application.class, args);
 }
 
 /**
  * 配置CSRF過濾器
  *
  * @return {@link org.springframework.boot.web.servlet.FilterRegistrationBean}
  */
 @Bean
 public FilterRegistrationBean<CsrfFilter> csrfFilter() {
  FilterRegistrationBean<CsrfFilter> registration = new FilterRegistrationBean<>();
  registration.setFilter(new CsrfFilter(new HttpSessionCsrfTokenRepository()));
  registration.addUrlPatterns("/*");
  registration.setName("csrfFilter");
  return registration;
 }
}

在form請(qǐng)求中添加CSRF的隱藏字段

<input name="${(_csrf.parameterName)!}" value="${(_csrf.token)!}" type="hidden" />

在AJAX請(qǐng)求中添加header頭

xhr.setRequestHeader("${_csrf.headerName}", "${_csrf.token}");

jQuery的Ajax全局配置

jQuery.ajaxSetup({
 "beforeSend": function (request) {
  request.setRequestHeader("${_csrf.headerName}", "${_csrf.token}");
 }
});

以上就是本文的全部內(nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章:

相關(guān)文章

maven繼承父工程統(tǒng)一版本號(hào)的實(shí)現(xiàn)
這篇文章主要介紹了maven繼承父工程統(tǒng)一版本號(hào)的實(shí)現(xiàn)，文中通過示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
2020-08-08
使用@Value值注入及配置文件組件掃描
這篇文章主要介紹了使用@Value值注入及配置文件組件掃描方式，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方，望不吝賜教
2021-07-07
JavaEE idea的smart tomcat插件使用
這篇文章主要介紹了JavaEE idea的smart tomcat插件使用,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
2024-09-09
SpringBoot 分布式驗(yàn)證碼登錄方案示例詳解
為了防止驗(yàn)證系統(tǒng)被暴力破解,很多系統(tǒng)都增加了驗(yàn)證碼效驗(yàn),比較常見的就是圖片二維碼,業(yè)內(nèi)比較安全的是短信驗(yàn)證碼,當(dāng)然還有一些拼圖驗(yàn)證碼,加入人工智能的二維碼等等,我們今天的主題就是前后端分離的圖片二維碼登錄方案,感興趣的朋友一起看看吧
2023-10-10
java使用poi讀取doc和docx文件的實(shí)現(xiàn)示例
這篇文章主要介紹了java使用poi讀取doc和docx文件的實(shí)現(xiàn)示例，文中通過示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
2020-03-03
java中List接口與實(shí)現(xiàn)類介紹
大家好，本篇文章主要講的是java中List接口與實(shí)現(xiàn)類介紹，感興趣的同學(xué)趕快來看一看吧，對(duì)你有幫助的話記得收藏一下，方便下次瀏覽
2021-12-12
打包部署若依(RuoYi)SpringBoot后端和Vue前端圖文教程
若依是一個(gè)使用Spring Boot作為后端和Vue.js作為前端的全棧應(yīng)用開發(fā)平臺(tái),下面這篇文章主要給大家介紹了關(guān)于打包部署若依(RuoYi)SpringBoot后端和Vue前端的相關(guān)資料,需要的朋友可以參考下
2024-05-05
詳解Java中如何正確書寫單例模式
一般單例都是五種寫法：懶漢，餓漢，雙重校驗(yàn)鎖，靜態(tài)內(nèi)部類和枚舉。本文整理了幾種常見的單例寫法，下面跟著小編一起來看下吧
2017-01-01
@WebFilter在SpringBoot無效的原因分析和解決方案
使用Ruoyi的demo部署成功后,發(fā)現(xiàn)js、css等靜態(tài)文件都進(jìn)入了過濾器,但是發(fā)現(xiàn)靜態(tài)文件沒有使用瀏覽器緩存,新建BrowserCacheFilter.java并增加@WebFilter處理,應(yīng)用自動(dòng)重啟后發(fā)現(xiàn)@WebFilter無效,所以本文給大家介紹了@WebFilter在SpringBoot無效的原因分析和解決方案
2024-03-03
支付寶開發(fā)平臺(tái)之第三方授權(quán)登錄與獲取用戶信息
本文主要介紹了第三方授權(quán)登錄與獲取用戶信息的實(shí)例方法，具有很好的參考價(jià)值。下面跟著小編一起來看下吧
2017-03-03