您的位置:

Spring Boot CSRF详解指南

一、什么是CSRF

CSRF(Cross-site request forgery)跨站请求伪造,是黑客利用受害者已经登录了网站的身份凭证,通过伪造请求的方式,以受害者的名义对服务器发起非法操作请求的攻击方式。

常见攻击场景包括:在网站中隐藏恶意脚本,在用户登录网站的时候让用户自动执行,或者是通过诱导用户点击特定链接进行攻击等等。

如不进行防护措施,CSRF攻击将会导致服务器误认为是受害者主动发起的操作,从而对服务器及用户造成很高的风险。

二、为什么需要进行CSRF防护

在Spring Security中,它内置了对CSRF(跨站点请求伪造)的保护机制。 这个保护机制建立在cookie上,它是一种伪随机生成令牌(CSRF-Token)和服务器端生成的令牌(Synchronizer Token)。 该令牌与session ID一起工作,用于在服务器端验证发出的请求是否来自该用户。

如果我们把CSRF攻击称为 “带着浏览器上的Cookie发起攻击” ,那么我们可以对Spring Boot进行必要的CSRF防护。

三、Spring Boot中如何开启CSRF防护

实现CSRF防护的唯一方法是发送包含正确令牌的请求。使用SPRING_SECURITY_CSRF_TOKEN的字段是本文中一个意义重大的参数。

CSRF防护的关键是:在表单或AJAX请求中需要添加CSRF令牌。这要求表单以某种方式从服务获取令牌。 Spring Security支持两种方式:cookie方式和表单向服务请求(token方式)。

我们下面分别介绍两种实现方式。

四、方式一:cookie方式

在Spring中,通过在CSRF令牌中添加Cookies来实现一种机制来防止CSRF攻击。 在默认情况下, cookie方式为Spring Boot的CSRF防护机制。

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf()
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    }
}

在过程中,只有设置appropriate CsrfTokenRepository后, Spring Security 才会自动包含一个名为_XSRF-TOKEN的cookie。当客户端作为下一步访问服务器时,将从cookie和自定义的HTTP头中提取和验证CSRF令牌。 此外,在使用JavaScript库jQuery或AngularJS时,需要一些额外的工作,以便在发出POST请求时自动添加名称为X-XSRF-TOKEN的请求头,并引用前面从cookie中获取的值。

五、方式二:token方式

Spring Security 还支持直接将CSRF令牌放入请求(表单以及 AJAX 请求)中以进行Token方式更具体,它需要在服务端生成csrf令牌,将其放置在input hidden或者请求header中,在客户端发送ajax请求或者表单请求时带上csrf token,这样服务器校验到服务器csrf令牌后才允许请求访问。

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf()
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    }

    @Bean
    public CsrfTokenRepository csrfTokenRepository() {
        HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
        repository.setHeaderName("X-XSRF-TOKEN");
        return repository;
    }
}

前端需要获取XSRF-TOKEN,并将其放入Http请求中。示例代码如下:

// 获取XSRF-TOKEN
var csrfToken = $("meta[name='_csrf']").attr("content");

$.ajax({
    type: "GET",
    url: "your-url",
    beforeSend: function (request) {
        request.setRequestHeader("X-XSRF-TOKEN", csrfToken);
    },
    data: formData,
    success: function (result) {
        //do something
    },
    error: function (error) {
        //do something
    },
});

六、综合示例

下面是一个Spring Boot项目中完整的CSRF防护示例代码:

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll()
                .and()
            .csrf()
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    }

    @Bean
    public CsrfTokenRepository csrfTokenRepository() {
        HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
        repository.setHeaderName("X-XSRF-TOKEN");
        return repository;
    }
}

七、小结

CSRF攻击具有很高的风险,因此在开发Web应用程序时,必须采取适当的安全措施来保护自己的应用程序。 在Spring Boot中,您可以使用默认的Cookie方式或在cookie和请求header中添加CSRF令牌,以增强应用程序的安全性。