[置顶] spring boot实战之CSRF(跨站请求伪造)
2017-10-06 17:03
309 查看
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,并将此链接作为图片src。如果Bob的银行在cookie中保存他的授权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了这次事务。
下面是CSRF的常见特性:
1. 依靠用户标识危害网站
2. 利用网站对用户标识的信任
3. 欺骗用户的浏览器发送HTTP请求给目标站点
4. 可以通过IMG标签会触发一个GET请求,可以利用它来实现CSRF攻击
一个简单的例子:
* 用户小z登录了网站A,同时打开网站B
* 网站B隐蔽的发送一个请求至网站A
* 网站A通过session、cookie等身份标记判断是用户小z,执行对应操作
这样网站B内的非法代码就盗用了用户小z的身份,在小z不知情的情况下执行了攻击者需要的操作,这就是跨站请求伪造。
防御CSRF可以通过动态token验证的方式来实现,每次请求生成一个动态token给前端,前端在后续的请求中附加该token,如果token不存在或不正确说明不是正常请求,予以屏蔽,从而达到解决CSRF问题的目的,以下是具体实现。
前后端分离架构,登录成功后将token传递给前端,由前端进行保存。
除登录之外,post方式提交的请求都需要携带token,用于验证。
具体实现:
1. 登录成功,返回token给前端(前后端分离架构);
2. 创建CsrfFilter,对非登录的post请求,验证其token是否正确;
3. 注册CSRFFilter
4. 如有需要,可在token使用后刷新或前端控制使用旧token换取新token。
本人搭建好的spring boot web后端开发框架已上传至GitHub,包含本文内的全部代码示例。
https://github.com/q7322068/rest-base,
下面是CSRF的常见特性:
1. 依靠用户标识危害网站
2. 利用网站对用户标识的信任
3. 欺骗用户的浏览器发送HTTP请求给目标站点
4. 可以通过IMG标签会触发一个GET请求,可以利用它来实现CSRF攻击
一个简单的例子:
* 用户小z登录了网站A,同时打开网站B
* 网站B隐蔽的发送一个请求至网站A
* 网站A通过session、cookie等身份标记判断是用户小z,执行对应操作
这样网站B内的非法代码就盗用了用户小z的身份,在小z不知情的情况下执行了攻击者需要的操作,这就是跨站请求伪造。
防御CSRF可以通过动态token验证的方式来实现,每次请求生成一个动态token给前端,前端在后续的请求中附加该token,如果token不存在或不正确说明不是正常请求,予以屏蔽,从而达到解决CSRF问题的目的,以下是具体实现。
1、登录成功设置token
String uuidToken = UUID.randomUUID().toString(); map.put("token", uuidToken); currentUser.getSession().setTimeout(NumberUtils.toLong(serverSessionTimeout, 1800)*1000); request.getSession().setAttribute("token",uuidToken ); return map;
前后端分离架构,登录成功后将token传递给前端,由前端进行保存。
2、创建CSRFFilter
/** * CSRF跨域请求伪造拦截 * 除登录以外的post方法,都需要携带token,如果token为空或token错误,则返回异常提示 * 注意在filter初始化参数内配置排除的url * @author yangwk */ public class CsrfFilter implements Filter { private static Logger logger = LoggerFactory.getLogger(CsrfFilter.class); public List<String> excludes = new ArrayList<String>(); private boolean isOpen = false;//是否开启该filter pub 4000 lic void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,ServletException { if(!isOpen){ filterChain.doFilter(request, response); return ; } if(logger.isDebugEnabled()){ logger.debug("csrf filter is running"); } HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse resp = (HttpServletResponse) response; HttpSession session = req.getSession(); Object token = session.getAttribute("token"); if(!"post".equalsIgnoreCase(req.getMethod()) || handleExcludeURL(req, resp) || token == null){ filterChain.doFilter(request, response); return; } String requestToken = req.getParameter("token"); if(StringUtils.isBlank(requestToken) || !requestToken.equals(token)){ AjaxResponseWriter.write(req, resp, ServiceStatusEnum.ILLEGAL_TOKEN, "非法的token"); return; } filterChain.doFilter(request, response); } private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) { if (excludes == null || excludes.isEmpty()) { return false; } String url = request.getServletPath(); for (String pattern : excludes) { Pattern p = Pattern.compile("^" + pattern); Matcher m = p.matcher(url); if (m.find()) { return true; } } return false; } @Override public void init(FilterConfig filterConfig) throws ServletException { if(logger.isDebugEnabled()){ logger.debug("csrf filter init~~~~~~~~~~~~"); } String temp = filterConfig.getInitParameter("excludes"); if (temp != null) { String[] url = temp.split(","); for (int i = 0; url != null && i < url.length; i++) { excludes.add(url[i]); } } temp = filterConfig.getInitParameter("isOpen"); if(StringUtils.isNotBlank(temp) && "true".equals(isOpen)){ isOpen = true; } } @Override public void destroy() {} }
除登录之外,post方式提交的请求都需要携带token,用于验证。
3、注册CSRFFilter
/** * csrf过滤拦截器 */ @Bean public FilterRegistrationBean csrfFilterRegistrationBean() { FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean(); filterRegistrationBean.setFilter(new CsrfFilter()); filterRegistrationBean.setOrder(2); filterRegistrationBean.setEnabled(true); filterRegistrationBean.addUrlPatterns("/*"); Map<String, String> initParameters = Maps.newHashMap(); initParameters.put("excludes", "/login/*"); initParameters.put("isOpen", isCsrfFilterOpen); filterRegistrationBean.setInitParameters(initParameters); return filterRegistrationBean; }
小结
防御CSRF攻击可以通过在表单内添加随机token来实现,本例内未提供token刷新机制,可根据具体情况调整,如使用一次后刷新或用旧的token获取新的token等,不能提供一个刷新接口,让前端直接调用而不验证旧有token,那样该接口本身就是不安全的,会被伪用户调用。具体实现:
1. 登录成功,返回token给前端(前后端分离架构);
2. 创建CsrfFilter,对非登录的post请求,验证其token是否正确;
3. 注册CSRFFilter
4. 如有需要,可在token使用后刷新或前端控制使用旧token换取新token。
本人搭建好的spring boot web后端开发框架已上传至GitHub,包含本文内的全部代码示例。
https://github.com/q7322068/rest-base,
相关文章推荐
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之日期处理
- [置顶] spring boot实战之本地jar包引用