详解如何在spring boot中使用spring security防止CSRF攻击

更新时间：2018年05月07日 09:38:15 作者：大神带我来搬砖

这篇文章主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧

CSRF是什么？

CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

CSRF可以做什么？

你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......造成的问题包括：个人隐私泄露以及财产安全。

CSRF漏洞现状

CSRF这种攻击方式在2000年已经被国外的安全人员提出，但在国内，直到06年才开始被关注，08年，国内外的多个大型社区和交互网站分别爆出CSRF漏洞，如：NYTimes.com（纽约时报）、Metafilter（一个大型的BLOG网站），YouTube和百度HI......而现在，互联网上的许多站点仍对此毫无防备，以至于安全业界称CSRF为“沉睡的巨人”。

在一个spring boot项目中,需要防止CSRF攻击,可以只把spring security中的相关filter引入来进行.

在pom中添加相关依赖

  <dependencies>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-freemarker</artifactId>
    </dependency>
    <!-- Security (used for CSRF protection only) -->
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-web</artifactId>
    </dependency>
  </dependencies>

在app启动时,添加CsrfFilter

@SpringBootApplication
public class Application extends WebMvcConfigurerAdapter {

  @Bean
  public FilterRegistrationBean csrfFilter() {
    FilterRegistrationBean registration = new FilterRegistrationBean();
    registration.setFilter(new CsrfFilter(new HttpSessionCsrfTokenRepository()));
    registration.addUrlPatterns("/*");
    return registration;
  }

  public static void main(String[] args) {
    SpringApplication.run(Application.class, args);
  }
}

form中添加CSRF的hidden字段

<input name="${(_csrf.parameterName)!}" value="${(_csrf.token)!}" type="hidden">

ajax中添加CSRF的头

xhr.setRequestHeader("${_csrf.headerName}", "${_csrf.token}");

github地址是https://github.com/kabike/spring-boot-csrf

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

SpringBoot 防御 CSRF 攻击的流程及原理解析

Java将Object转换为数组的代码
这篇文章主要介绍了Java将Object转换为数组的情况,今天在使用一个别人写的工具类，这个工具类，主要是判空操作，包括集合、数组、Map等对象是否为空的操作，需要的朋友可以参考下
2022-09-09
Java的内存分配与回收策略详解
这篇文章主要介绍了Java的内存分配与回收策略详解,对象的内存分配，就是在堆上分配,对象主要分配在新生代的 Eden 区上，少数情况下可能直接分配在老年代，分配规则不固定，取决于当前使用的垃圾收集器组合以及相关的参数配置,需要的朋友可以参考下
2023-08-08
一文详解如何使用Java分割PDF文件
PDF是一种用于显示和打印文档的文件格式,它非常广泛地应用于电子书籍、报告、合同等文件的传递和共享,这篇文章主要给大家介绍了关于如何使用Java分割PDF文件的相关资料,需要的朋友可以参考下
2024-01-01
spring data jpa @Query注解中delete语句报错的解决
这篇文章主要介绍了spring data jpa @Query注解中delete语句报错的解决，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-12-12
java中instanceof和getClass()的区别分析
本篇文章介绍了，在java中instanceof和getClass()的区别分析。需要的朋友参考下
2013-04-04
Java通过切面实现统一处理Token设置用户信息
这篇文章主要介绍了Java切面统一处理Token设置用户信息,常见的后端开发中,接口请求中一般前端都是先通过用户登录获取token,每次接口请求都需要在头信息中携带token信息,后端每次都需要手动处理token信息,从token信息中解析获取用户信息,需要的朋友可以参考下
2023-10-10
Mac M1安装JDK的实战避坑指南
这篇文章主要给大家介绍了关于Mac M1安装JDK避坑的相关资料,文中通过图文介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2023-02-02
Spring的DI依赖注入详解
这篇文章主要为大家介绍了Spring的DI依赖注入，具有一定的参考价值，感兴趣的小伙伴们可以参考一下，希望能够给你带来帮助
2022-01-01
springboot封装响应实体的实例代码
这篇文章主要介绍了springboot封装响应实体,本文通过实例代码给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2023-07-07
详解Java如何在业务代码中优雅的使用策略模式
这篇文章主要为大家介绍了Java如何在业务代码中优雅的使用策略模式,文中的示例代码讲解详细,具有一定的学习价值,感兴趣的可以了解下
2023-08-08