从刚开始学习SpringSecurity时,在配置类中一直存在这样一行代码:http.csrfo.disable()
如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。
什么是CSRF
CSRF (Cross-site request forgery) 跨站请求伪造,也被称为”OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。
跨域:只要 网络协议,ip 地址,端口中任何—个不相同就是跨域请求。
客户端与服务进行交互时,由于 http 协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie中会存放session 用来识别客户端身份的。
在跨域的情况下,session id 可能被第三方恶意劫持,通过这个session id 向服务端发起请求时,服务端会认为这个请求是合法的,可能发生很多意想不到的事情。
那么,究竟什么是跨站请求伪造,面对这个问题我们又该如何应对呢?
从安全的角度来讲,你可以将 CSRF 理解为一种攻击手段,即攻击者盗用了你的身份,然后以你的名义向第三方网站发送恶意请求。我们可以使用如下所示的流程图来描述 CSRF:
具体的流程如下:
- 用户浏览并登录信任的网站 A,通过用户认证后,会在浏览器中生成针对 A 网站的 Cookie(session id);
- 用户在没有退出网站 A 的情况下访问网站 B,然后网站 B 向网站 A 发起一个请求;
- 用户浏览器根据网站 B 的请求,携带 Cookie 访问网站 A;
- *由于浏览器会自动带上用户的 Cookie,所以网站 A 接收到请求之后会根据用户具备的权限进行访问控制,这样相当于用户本身在访问网站 A,从而网站 B 就达到了模拟用户访问网站 A 的操作过程。
显然,从应用程序开发的角度来讲,CSRF 就是系统的一个安全漏洞,这种安全漏洞也在 Web 开发中广泛存在。
基于 CSRF 的工作流程,进行 CSRF 保护的基本思想就是为系统中的每一个连接请求加上一个随机值,我们称之为 csrf_token。这样,当用户向网站 A 发送请求时,网站 A 在生成的 Cookie 中就会设置一个 csrf_token 值。而在浏览器发送请求时,提交的表单数据中也有一个隐藏的 csrf_token 值,这样网站 A 接收到请求后,一方面从 Cookie 中提取出 csrf_token,另一方面也从表单提交的数据中获取隐藏的 csrf_token,将两者进行比对,如果不一致就代表这就是一个伪造的请求。
Spring Security中的CSRF
从Spring Security4开始CSRF防护默认开启。默认会拦截请求。进行CSRF处理,CSRF为了保证不是其他第三方网站访问,要求访问时携带参数名为 _csrf 值为 token(token 在服务端产生) 的内容,如果token和服务端的token匹配成功,则正常访问。
编写控制器方法
编写控制器方法,跳转到 templates 中login.html 页面。
Original: https://www.cnblogs.com/bearbrick0/p/16130738.html
Author: BearBrick0
Title: SpringSecurity中的CSRF解读
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/684943/
转载文章受原作者版权保护。转载请注明原作者出处!