什么是csrf?

csrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。
举个例子,用户通过表单发送请求到银行网站,银行网站获取请求参数后对用户账户做出更改。在用户没有退出银行网站情况下,访问了攻击网站,攻击网站中有一段跨域访问的代码,可能自动触发也可能点击提交按钮,访问的url正是银行网站接受表单的url。因为都来自于用户的浏览器端,银行将请求看作是用户发起的,所以对请求进行了处理,造成的结果就是用户的银行账户被攻击网站修改。
解决方法基本上都是增加攻击网站无法获取到的一些表单信息,比如增加图片验证码,可以杜绝csrf攻击,但是除了登陆注册之外,其他的地方都不适合放验证码,因为降低了网站易用性
相关介绍:
http://baike.baidu.com/view/1609487.htm?fr=aladdin

spring-servlet中配置csrf

 <!-- Spring csrf 拦截器 -->

    <mvc:interceptors>

        <mvc:interceptor>

            <mvc:mapping path="/login" />

            <bean class="com.wangzhixuan.commons.csrf.CsrfInterceptor" />

        </mvc:interceptor>

    </mvc:interceptors>

在类中声明Csrf拦截器,用来生成或去除CsrfToken

import java.io.IOException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.apache.logging.log4j.LogManager;

import org.apache.logging.log4j.Logger;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.web.method.HandlerMethod;

import org.springframework.web.servlet.ModelAndView;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.wangzhixuan.commons.scan.ExceptionResolver;

import com.wangzhixuan.commons.utils.WebUtils;

/**

 * Csrf拦截器,用来生成或去除CsrfToken

 *

 * @author L.cm

 */

public class CsrfInterceptor extends HandlerInterceptorAdapter {

    private static final Logger logger = LogManager.getLogger(ExceptionResolver.class);

    @Autowired

    private CsrfTokenRepository csrfTokenRepository;

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        HandlerMethod handlerMethod = (HandlerMethod) handler;

        // 非控制器请求直接跳出

        if (!(handler instanceof HandlerMethod)) {

            return true;

        }

        CsrfToken csrfToken = handlerMethod.getMethodAnnotation(CsrfToken.class);

        // 判断是否含有@CsrfToken注解

        if (null == csrfToken) {

            return true;

        }

        // create、remove同时为true时异常

        if (csrfToken.create() && csrfToken.remove()) {

            logger.error("CsrfToken attr create and remove can Not at the same time to true!");

            return renderError(request, response, Boolean.FALSE, "CsrfToken attr create and remove can Not at the same time to true!");

        }

        // 创建

        if (csrfToken.create()) {

            CsrfTokenBean token = csrfTokenRepository.generateToken(request);

            csrfTokenRepository.saveToken(token, request, response);

            // 缓存一个表单页面地址的url

            csrfTokenRepository.cacheUrl(request, response);

            request.setAttribute(token.getParameterName(), token);

            return true;

        }

        // 判断是否ajax请求

        boolean isAjax = WebUtils.isAjax(handlerMethod);

        // 校验,并且清除

        CsrfTokenBean tokenBean = csrfTokenRepository.loadToken(request);

        if (tokenBean == null) {

            return renderError(request, response, isAjax, "CsrfToken is null!");

        }

        String actualToken = request.getHeader(tokenBean.getHeaderName());

        if (actualToken == null) {

            actualToken = request.getParameter(tokenBean.getParameterName());

        }

        if (!tokenBean.getToken().equals(actualToken)) {

            return renderError(request, response, isAjax, "CsrfToken not eq!");

        }

        return true;

    }

    private boolean renderError(HttpServletRequest request, HttpServletResponse response,

            boolean isAjax, String message) throws IOException {

        // 获取缓存的cacheUrl

        String cachedUrl = csrfTokenRepository.getRemoveCacheUrl(request, response);

        // ajax请求直接抛出异常,因为{@link ExceptionResolver}会去处理

        if (isAjax) {

            throw new RuntimeException(message);

        }

        // 非ajax CsrfToken校验异常,先清理token

        csrfTokenRepository.saveToken(null, request, response);

        logger.info("Csrf[redirectUrl]:\t" + cachedUrl);

        response.sendRedirect(cachedUrl);

        return false;

    }

    /**

     * 用于清理@CsrfToken保证只能请求成功一次

     */

    @Override

    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,

            ModelAndView modelAndView) throws Exception {

        HandlerMethod handlerMethod = (HandlerMethod) handler;

        // 非控制器请求直接跳出

        if (!(handler instanceof HandlerMethod)) {

            return;

        }

        CsrfToken csrfToken = handlerMethod.getMethodAnnotation(CsrfToken.class);

        if (csrfToken == null || !csrfToken.remove()) {

            return;

        }

        csrfTokenRepository.getRemoveCacheUrl(request, response);

        csrfTokenRepository.saveToken(null, request, response);

    }

}

声明Csrf过滤注解,通过标注来过滤对应的请求

import java.lang.annotation.ElementType;

import java.lang.annotation.Retention;

import java.lang.annotation.RetentionPolicy;

import java.lang.annotation.Target;

/**

 * Csrf过滤注解

 * @author L.cm

 */

@Target(ElementType.METHOD)

@Retention(RetentionPolicy.RUNTIME)

public @interface CsrfToken {

    boolean create() default false;

    boolean remove() default false;

}

建立实例对象(操作对象)

import java.io.Serializable;

import org.springframework.util.Assert;

public class CsrfTokenBean implements Serializable {

    private static final long serialVersionUID = -6865031901744243607L;

    private final String token;

    private final String parameterName;

    private final String headerName;

    /**

     * Creates a new instance

     * @param headerName the HTTP header name to use

     * @param parameterName the HTTP parameter name to use

     * @param token the value of the token (i.e. expected value of the HTTP parameter of

     * parametername).

     */

    public CsrfTokenBean(String headerName, String parameterName, String token) {

        Assert.hasLength(headerName, "headerName cannot be null or empty");

        Assert.hasLength(parameterName, "parameterName cannot be null or empty");

        Assert.hasLength(token, "token cannot be null or empty");

        this.headerName = headerName;

        this.parameterName = parameterName;

        this.token = token;

    }

    public String getHeaderName() {

        return this.headerName;

    }

    public String getParameterName() {

        return this.parameterName;

    }

    public String getToken() {

        return this.token;

    }

}

过滤过程中需要的仓库

package com.wangzhixuan.commons.csrf;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

public interface CsrfTokenRepository {

    /**

     * Generates a {@link CsrfTokenBean}

     *

     * @param request the {@link HttpServletRequest} to use

     * @return the {@link CsrfTokenBean} that was generated. Cannot be null.

     */

    CsrfTokenBean generateToken(HttpServletRequest request);

    /**

     * Saves the {@link CsrfTokenBean} using the {@link HttpServletRequest} and

     * {@link HttpServletResponse}. If the {@link CsrfTokenBean} is null, it is the same as

     * deleting it.

     *

     * @param token the {@link CsrfTokenBean} to save or null to delete

     * @param request the {@link HttpServletRequest} to use

     * @param response the {@link HttpServletResponse} to use

     */

    void saveToken(CsrfTokenBean token, HttpServletRequest request,

            HttpServletResponse response);

    /**

     * Loads the expected {@link CsrfTokenBean} from the {@link HttpServletRequest}

     *

     * @param request the {@link HttpServletRequest} to use

     * @return the {@link CsrfTokenBean} or null if none exists

     */

    CsrfTokenBean loadToken(HttpServletRequest request);

    /**

     * 缓存来源的url

     * @param request request the {@link HttpServletRequest} to use

     * @param response the {@link HttpServletResponse} to use

     */

    void cacheUrl(HttpServletRequest request, HttpServletResponse response);

    /**

     * 获取并清理来源的url

     * @param request the {@link HttpServletRequest} to use

     * @param response the {@link HttpServletResponse} to use

     * @return 来源url

     */

    String getRemoveCacheUrl(HttpServletRequest request, HttpServletResponse response);

}

HttpSessionCsrfTokenRepository

package com.wangzhixuan.commons.csrf;

import java.util.UUID;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

import com.wangzhixuan.commons.utils.StringUtils;

public final class HttpSessionCsrfTokenRepository implements CsrfTokenRepository {

    private static final String DEFAULT_CSRF_PARAMETER_NAME = "_csrf";

    private static final String DEFAULT_CSRF_HEADER_NAME = "X-CSRF-TOKEN";

    private static final String DEFAULT_CSRF_TOKEN_ATTR_NAME = HttpSessionCsrfTokenRepository.class

            .getName().concat(".CSRF_TOKEN");

    private static final String DEFAULT_CACHE_URL_ATTR_NAME = HttpSessionCsrfTokenRepository.class

            .getName().concat(".CACHE_URL");

    private String parameterName = DEFAULT_CSRF_PARAMETER_NAME;

    private String headerName = DEFAULT_CSRF_HEADER_NAME;

    private String sessionAttributeName = DEFAULT_CSRF_TOKEN_ATTR_NAME;

    private String cacheUrlAttributeName = DEFAULT_CACHE_URL_ATTR_NAME;

    /*

     * (non-Javadoc)

     *

     * @see org.springframework.security.web.csrf.CsrfTokenRepository#saveToken(org.

     * springframework .security.web.csrf.CsrfToken,

     * javax.servlet.http.HttpServletRequest, javax.servlet.http.HttpServletResponse)

     */

    public void saveToken(CsrfTokenBean token, HttpServletRequest request,

            HttpServletResponse response) {

        if (token == null) {

            HttpSession session = request.getSession(false);

            if (session != null) {

                session.removeAttribute(this.sessionAttributeName);

            }

        }

        else {

            HttpSession session = request.getSession();

            session.setAttribute(this.sessionAttributeName, token);

        }

    }

    /*

     * (non-Javadoc)

     *

     * @see

     * org.springframework.security.web.csrf.CsrfTokenRepository#loadToken(javax.servlet

     * .http.HttpServletRequest)

     */

    public CsrfTokenBean loadToken(HttpServletRequest request) {

        HttpSession session = request.getSession(false);

        if (session == null) {

            return null;

        }

        return (CsrfTokenBean) session.getAttribute(this.sessionAttributeName);

    }

    /*

     * (non-Javadoc)

     *

     * @see org.springframework.security.web.csrf.CsrfTokenRepository#generateToken(javax.

     * servlet .http.HttpServletRequest)

     */

    public CsrfTokenBean generateToken(HttpServletRequest request) {

        return new CsrfTokenBean(this.headerName, this.parameterName,

                createNewToken());

    }

    private String createNewToken() {

        return UUID.randomUUID().toString();

    }

    @Override

    public void cacheUrl(HttpServletRequest request, HttpServletResponse response) {

        String queryString = request.getQueryString();

        // 被拦截前的请求URL

        String redirectUrl = request.getRequestURI();

        if (StringUtils.isNotBlank(queryString)) {

            redirectUrl = redirectUrl.concat("?").concat(queryString);

        }

        HttpSession session = request.getSession();

        session.setAttribute(this.cacheUrlAttributeName, redirectUrl);

    }

    @Override

    public String getRemoveCacheUrl(HttpServletRequest request, HttpServletResponse response) {

        HttpSession session = request.getSession(false);

        if (session == null) {

            return null;

        }

        String redirectUrl = (String) session.getAttribute(this.cacheUrlAttributeName);

        if (StringUtils.isBlank(redirectUrl)) {

            return null;

        }

        session.removeAttribute(this.cacheUrlAttributeName);

        return redirectUrl;

    }

}
 

spring-security中的csrf防御机制(跨域请求伪造)的更多相关文章

  1. spring boot 中 2.X 的跨域请求

    解决跨域: @Configuration @EnableAutoConfiguration public class ZooConfiguration { @Bean public FilterReg ...

  2. Spring Boot Web应用开发 CORS 跨域请求支持:

    Spring Boot Web应用开发 CORS 跨域请求支持: 一.Web开发经常会遇到跨域问题,解决方案有:jsonp,iframe,CORS等等CORS与JSONP相比 1. JSONP只能实现 ...

  3. js中ajax如何解决跨域请求

    js中ajax如何解决跨域请求,在讲这个问题之前先解释几个名词 1.跨域请求 所有的浏览器都是同源策略,这个策略能保证页面脚本资源和cookie安全 ,浏览器隔离了来自不同源的请求,防上跨域不安全的操 ...

  4. Django框架 之 跨域请求伪造

    Django框架 之 跨域请求伪造 浏览目录 同源策略与Jsonp 同源策略 Jsonp jQuery对JSONP的实现 CORS 简介 两种请求 同源策略与Jsonp 同源策略 同源策略(Same ...

  5. CSRF/XSRF 跨站请求伪造

    CSRF/XSRF 跨站请求伪造 CSRF(Cross Site Request Forgery, 跨站域请求伪造)也称 XSRF, 是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安 ...

  6. web 安全 & web 攻防: XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)

    web 安全 & web 攻防: XSS(跨站脚本攻击)和 CSRF(跨站请求伪造) XSS(跨站脚本攻击)和CSRF(跨站请求伪造) Cross-site Scripting (XSS) h ...

  7. ValidateAntiForgeryToken 防止CSRF(跨网站请求伪造)

    用途:防止CSRF(跨网站请求伪造). 用法:在View->Form表单中:<%:Html.AntiForgeryToken()%> 在Controller->Action动作 ...

  8. revel框架教程之CSRF(跨站请求伪造)保护

    revel框架教程之CSRF(跨站请求伪造)保护 CSRF是什么?请看这篇博文“浅谈CSRF攻击方式”,说的非常清楚. 现在做网站敢不防CSRF的我猜只有两种情况,一是没什么人访问,二是局域网应用.山 ...

  9. CSRF(跨站请求伪造)攻击

    CSRF(跨站请求伪造)攻击 CSRF(Cross Site Request Forgery,跨站请求伪造)是一种近年来才逐渐被大众了解的网络攻击方式,又被称为One-Click Attack或Ses ...

随机推荐

  1. SqlServer规则

    定义:规则时单独的SQLServer对象,可以关联到一个或几个表中的一列或几列.它可以使用多种方式来完成对数据值的校验,可以使用函数返回验证信息,也可以使用关键字BETWEEN,LIKE和IN完成对输 ...

  2. (Android)截图批处理

    新建一个批处理文件 输入下面的内容 @echo off rem set name=%,%%,%%,%%,%%,%%,% //设置截图文件名称 set screenShotName=%,%%,%%,% ...

  3. 算法学习--Day7

    今天多做一些杂题练习一下. 第一题: 题目描述 在情报传递过程中,为了防止情报被截获,往往需要对情报用一定的方式加密,简单的加密算法虽然不足以完全避免情报被破译,但仍然能防止情报被轻易的识别.我们给出 ...

  4. 萌新学习图的强连通(Tarjan算法)笔记

    --主要摘自北京大学暑期课<ACM/ICPC竞赛训练> 在有向图G中,如果任意两个不同顶点相互可达,则称该有向图是强连通的: 有向图G的极大强连通子图称为G的强连通分支: Tarjan算法 ...

  5. opencv3.1 压缩并拼图

    必须有重叠才能拼,压缩越多,拼接越快 #include <opencv2\opencv.hpp> #include <opencv2\stitching.hpp> using ...

  6. Unity3D命令行Build

    转自:http://www.cnblogs.com/gameprogram/archive/2012/05/11/2496303.html 本来是没想用这个命令行Build方式,可惜电脑不知道怎么的就 ...

  7. 2014-5-10 NOIP模拟赛 by coolyangzc

    Problem 1 机器人(robot.cpp/c/pas) [题目描述] 早苗入手了最新的Gundam模型.最新款自然有着与以往不同的功能,那就是它能够自动行走,厉害吧. 早苗的新模型可以按照输入的 ...

  8. [Xcode 实际操作]一、博主领进门-(5)检测运行中的模拟器在各个方向上的切换

    目录:[Swift]Xcode实际操作 本文将演示Xcode的设备模拟器在各个方向上的切换和检测. 在项目导航区,打开视图控制器的代码文件[ViewController.swift] 检测运行中的模拟 ...

  9. APP上传

    原文网址: http://blog.csdn.net/ayangcool 前言:作为一名IOS开发者,把开发出来的App上传到App Store是必须的.下面就来详细介绍下具体流程. 1.打开苹果开发 ...

  10. adb server version (39) doesn't match this client (40); killing...

    在启动RN项目的时候也报错,上面的错误是在adb的环境变量中的位置和android studio的sdk不是一个位置.adb是在sdk中的,所以他们应该是一致的位置 android studio的sd ...