spring

防止跨站请求伪造(CSRF)

跨站请求伪造(cross-site request forgery,CSRF)

如果一个站点欺骗用户提交请求到其他服务器的话,就会发生 CSRF 攻击。

从 Spring Security 3.2 开始,默认就会启用 CSRF 防护。

Spring Security 通过一个同步 token 的方式来实现 CSRF 防护的功能:

  • 它将会拦截状态变化的请求(例如,非 GET、HEAD、OPTIONS 和 TRACE 的请求)并检查 CSRF token。

  • 如果请求中不包含 CSRF token 的 话,或者 token 不能与服务器端的 token 相匹配,请求将会失败,并抛出 CsrfException 异常。

这意味着在你的应用中,所有的表单必须在一个 “_csrf” 域中提交 token,而且这个 token 必须要与服务器端计算并存储的 token 一致,这样的话当表单提交的时候,才能进行匹配。

如果使用 Thymeleaf 作为页面模板的话,只要 <form> 标签的 action 属性添加了 Thymeleaf 命名空间前缀,那么就会自动生成一 个 “_csrf” 隐藏域:

<form method="POST" th:action="@{/spittles}">
  ...
</form>

如果使用 JSP 作为页面模板的话,要做的事情非常类似:

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />

处理 CSRF 的另外一种方式就是根本不去处理它。我们可以在配置中通过调用 csrf().disable() 禁用 Spring Security 的 CSRF 防护功能, 如下所示:

@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    ...
    .csrf()
    .disable();
}
Previous强制通道的安全性(https)Next认证用户

Last updated