一、什么是CSRF
CSRF(Cross-site request forgery)跨站请求伪造,是黑客利用受害者已经登录了网站的身份凭证,通过伪造请求的方式,以受害者的名义对服务器发起非法操作请求的攻击方式。
常见攻击场景包括:在网站中隐藏恶意脚本,在用户登录网站的时候让用户自动执行,或者是通过诱导用户点击特定链接进行攻击等等。
如不进行防护措施,CSRF攻击将会导致服务器误认为是受害者主动发起的操作,从而对服务器及用户造成很高的风险。
二、为什么需要进行CSRF防护
在Spring Security中,它内置了对CSRF(跨站点请求伪造)的保护机制。 这个保护机制建立在cookie上,它是一种伪随机生成令牌(CSRF-Token)和服务器端生成的令牌(Synchronizer Token)。 该令牌与session ID一起工作,用于在服务器端验证发出的请求是否来自该用户。
如果我们把CSRF攻击称为 “带着浏览器上的Cookie发起攻击” ,那么我们可以对Spring Boot进行必要的CSRF防护。
三、Spring Boot中如何开启CSRF防护
实现CSRF防护的唯一方法是发送包含正确令牌的请求。使用SPRING_SECURITY_CSRF_TOKEN的字段是本文中一个意义重大的参数。
CSRF防护的关键是:在表单或AJAX请求中需要添加CSRF令牌。这要求表单以某种方式从服务获取令牌。 Spring Security支持两种方式:cookie方式和表单向服务请求(token方式)。
我们下面分别介绍两种实现方式。
四、方式一:cookie方式
在Spring中,通过在CSRF令牌中添加Cookies来实现一种机制来防止CSRF攻击。 在默认情况下, cookie方式为Spring Boot的CSRF防护机制。
@Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); } }
在过程中,只有设置appropriate CsrfTokenRepository后, Spring Security 才会自动包含一个名为_XSRF-TOKEN的cookie。当客户端作为下一步访问服务器时,将从cookie和自定义的HTTP头中提取和验证CSRF令牌。 此外,在使用JavaScript库jQuery或AngularJS时,需要一些额外的工作,以便在发出POST请求时自动添加名称为X-XSRF-TOKEN的请求头,并引用前面从cookie中获取的值。
五、方式二:token方式
Spring Security 还支持直接将CSRF令牌放入请求(表单以及 AJAX 请求)中以进行Token方式更具体,它需要在服务端生成csrf令牌,将其放置在input hidden或者请求header中,在客户端发送ajax请求或者表单请求时带上csrf token,这样服务器校验到服务器csrf令牌后才允许请求访问。
@Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); } @Bean public CsrfTokenRepository csrfTokenRepository() { HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository(); repository.setHeaderName("X-XSRF-TOKEN"); return repository; } }
前端需要获取XSRF-TOKEN,并将其放入Http请求中。示例代码如下:
// 获取XSRF-TOKEN var csrfToken = $("meta[name='_csrf']").attr("content"); $.ajax({ type: "GET", url: "your-url", beforeSend: function (request) { request.setRequestHeader("X-XSRF-TOKEN", csrfToken); }, data: formData, success: function (result) { //do something }, error: function (error) { //do something }, });
六、综合示例
下面是一个Spring Boot项目中完整的CSRF防护示例代码:
@Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll() .and() .csrf() .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); } @Bean public CsrfTokenRepository csrfTokenRepository() { HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository(); repository.setHeaderName("X-XSRF-TOKEN"); return repository; } }
七、小结
CSRF攻击具有很高的风险,因此在开发Web应用程序时,必须采取适当的安全措施来保护自己的应用程序。 在Spring Boot中,您可以使用默认的Cookie方式或在cookie和请求header中添加CSRF令牌,以增强应用程序的安全性。