Spring-Security對(duì)HTTP相應(yīng)頭的安全支持方式

更新時(shí)間：2022年10月27日 08:55:12 作者：盲目的拾荒者

這篇文章主要介紹了Spring-Security對(duì)HTTP相應(yīng)頭的安全支持方式，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方，望不吝賜教

Spring Security支持在響應(yīng)中添加各種安全頭

默認(rèn)相應(yīng)安全頭：

Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block

雖然這些頭文件都被認(rèn)為是最佳實(shí)踐，但應(yīng)該注意的是，并不是所有的客戶機(jī)都使用了header。

X-Frame-Options運(yùn)行同一個(gè)域名中的任何請(qǐng)求
HTTP Strict Transport Security (HSTS) 將不會(huì)增加到響應(yīng)中

基于Java的配置如下：

@EnableWebSecurity
public class WebSecurityConfig extends
?? ??? ?WebSecurityConfigurerAdapter {
?
?? ?@Override
?? ?protected void configure(HttpSecurity http) throws Exception {
?? ??? ?http
?? ??? ??? ?// ...
?? ??? ??? ?.headers()
?? ??? ??? ??? ?.frameOptions().sameOrigin()
?? ??? ??? ??? ?.httpStrictTransportSecurity().disable();
?? ?}
}

public class WebSecurityConfig extends
?? ??? ?WebSecurityConfigurerAdapter {

?? ?@Override
?? ?protected void configure(HttpSecurity http) throws Exception {
?? ??? ?http
?? ??? ??? ?// ...
?? ??? ??? ?.headers()
?? ??? ??? ??? ?.frameOptions().sameOrigin()
?? ??? ??? ??? ?.httpStrictTransportSecurity().disable();
?? ?}
}

如果不想用默認(rèn)值可禁用，添加顯示要用的響應(yīng)安全頭

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {
?
@Override
protected void configure(HttpSecurity http) throws Exception {
?? ?http
?? ?// ...
?? ?.headers()
?? ??? ?//除非明確列出，否則不要使用任何默認(rèn)標(biāo)題。
?? ??? ?.defaultsDisabled()
?? ??? ?.cacheControl();
}
}

public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
?? ?http
?? ?// ...
?? ?.headers()
?? ??? ?//除非明確列出，否則不要使用任何默認(rèn)標(biāo)題。
?? ??? ?.defaultsDisabled()
?? ??? ?.cacheControl();
}
}

如果有必要,你可以禁用所有的HTTP安全響應(yīng)頭

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {
?
@Override
protected void configure(HttpSecurity http) throws Exception {
?? ?http
?? ?// ...
?? ?.headers().disable();
}
}

public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
?? ?http
?? ?// ...
?? ?.headers().disable();
}
}

在過(guò)去的Spring Security中，您需要為您的web應(yīng)用程序提供自己的緩存控制。這在當(dāng)時(shí)似乎是合理的，但是瀏覽器緩存已經(jīng)進(jìn)化到包含安全連接的緩存。

這意味著用戶可以查看經(jīng)過(guò)身份驗(yàn)證的頁(yè)面，注銷，然后惡意用戶就可以使用瀏覽器歷史來(lái)查看緩存頁(yè)面。

為了幫助減輕這個(gè)Spring安全性，已經(jīng)添加了緩存控制支持，它將在您的響應(yīng)中插入以下頭部。

禁用其他安全頭，啟用緩存安全頭：

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {
?
@Override
protected void configure(HttpSecurity http) throws Exception {
?? ?http
?? ?// ...
?? ?.headers()
?? ??? ?.defaultsDisabled()
?? ??? ?.cacheControl();
}
}

public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
?? ?http
?? ?// ...
?? ?.headers()
?? ??? ?.defaultsDisabled()
?? ??? ?.cacheControl();
}
}

如果你真的想要緩存特定的反應(yīng),您的應(yīng)用程序可以選擇性地調(diào)用 HttpServletResponse.setHeader(String,String) 覆蓋頭部Spring Security的設(shè)置。

為了保證CSS，JavaScript之類的東西是用的并且圖像正確緩存。

@EnableWebMvc
public class WebMvcConfiguration implements WebMvcConfigurer {
?
?? ?@Override
?? ?public void addResourceHandlers(ResourceHandlerRegistry registry) {
?? ??? ?registry
?? ??? ??? ?.addResourceHandler("/resources/**")
?? ??? ??? ?.addResourceLocations("/resources/")
?? ??? ??? ?.setCachePeriod(31556926);
?? ?}
?
?? ?// ...
}

public class WebMvcConfiguration implements WebMvcConfigurer {

?? ?@Override
?? ?public void addResourceHandlers(ResourceHandlerRegistry registry) {
?? ??? ?registry
?? ??? ??? ?.addResourceHandler("/resources/**")
?? ??? ??? ?.addResourceLocations("/resources/")
?? ??? ??? ?.setCachePeriod(31556926);
?? ?}

?? ?// ...
}

內(nèi)容類型選項(xiàng)

歷史上的瀏覽器，包括Internet Explorer，試圖想請(qǐng)求的內(nèi)容類型使用 content sniffing。這就使得瀏覽器通過(guò)猜測(cè)來(lái)改善用戶體驗(yàn)的內(nèi)容類型沒有指定內(nèi)容類型的資源。

例如，如果一個(gè)瀏覽器遇到一個(gè)JavaScript文件,該文件沒有指定的內(nèi)容類型,它會(huì)猜內(nèi)容類型,然后執(zhí)行它。

content sniffing的問(wèn)題是，這允許惡意用戶使用polyglots（即一個(gè)文件，是作為多種內(nèi)容類型有效）來(lái)執(zhí)行XSS攻擊。

例如，某些網(wǎng)站可能會(huì)允許用戶提交一個(gè)有效的PostScript文檔到網(wǎng)站，并查看它。惡意用戶可能會(huì)創(chuàng)建一個(gè) postscript文件，這也是一個(gè)有效的JavaScript文件并用它執(zhí)行XSS攻擊

通過(guò)添加以下content sniffing可以禁用我們的響應(yīng)頭

X-Content-Type-Options: nosniff

HTTP Strict Transport Security (HSTS)

當(dāng)你輸入你的銀行的網(wǎng)站,你輸入mybank.example.com 或者你輸入 https://mybank.example.com 如果您省略https協(xié)議,你可能容易受到中間人攻擊。即使網(wǎng)站執(zhí)行重定向到 https://mybank.example.com 惡意用戶能夠攔截最初的HTTP請(qǐng)求和操作響應(yīng)(即重定向到 https://mibank.example.com 和竊取他們的憑證)。

許多用戶忽略了https協(xié)議，這就是為什么要?jiǎng)?chuàng)建HTTP嚴(yán)格傳輸安全性(HSTS)的原因。一旦mybank.example.com被添加為HSTS主機(jī)，瀏覽器就可以提前知道對(duì)mybank的任何請(qǐng)求。example.com應(yīng)該被解釋為https://mybank.example.com。這大大減少了發(fā)生中間攻擊的可能性。

將站點(diǎn)標(biāo)記為HSTS主機(jī)的一種方法是將主機(jī)預(yù)加載到瀏覽器中。另一種是將"Strict-Transport-Security"頭添加到響應(yīng)。例如，以下將指示瀏覽器把域作為一年的HSTS主機(jī)（一年有大約31536000秒）:

Strict-Transport-Security: max-age=31536000 ; includeSubDomains

可選includeSubDomains指令指示Spring安全子域(即secure.mybank.example.com)也應(yīng)該被視為一個(gè) HSTS域。

只啟用HSTS在Java Configuration:

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {
?
@Override
protected void configure(HttpSecurity http) throws Exception {
?? ?http
?? ?// ...
?? ?.headers()
?? ??? ?.httpStrictTransportSecurity()
?? ??? ??? ?.includeSubdomains(true)
?? ??? ??? ?.maxAgeSeconds(31536000);
}
}

public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
?? ?http
?? ?// ...
?? ?.headers()
?? ??? ?.httpStrictTransportSecurity()
?? ??? ??? ?.includeSubdomains(true)
?? ??? ??? ?.maxAgeSeconds(31536000);
}
}

X-Frame-Options

允許給你的網(wǎng)站添加框架可能存在安全問(wèn)題。例如，使用巧妙的CSS樣式用戶可能會(huì)被欺騙點(diǎn)擊的東西，他們不打算 (video demo)。

例如，登錄到他們的銀行用戶可能會(huì)點(diǎn)擊一個(gè)按鈕授予其他用戶訪問(wèn)。這種攻擊被稱為 Clickjacking.

有很多方法可以減輕點(diǎn)擊劫持攻擊。例如，為了保護(hù)傳統(tǒng)瀏覽器不受clickjacking攻擊，您可以使用框架破壞代碼。雖然不完美，但是框架破壞代碼是您為遺留瀏覽器所能做的最好的事情。

解決點(diǎn)擊劫持更先進(jìn)的方法是使用 X-Frame-Options 頭:

X-Frame-Options: DENY

X-Frame-Options指示瀏覽器阻止在響應(yīng)中在框架內(nèi)呈現(xiàn)的任何站點(diǎn)。默認(rèn)情況下，Spring Security在iframe中禁用呈現(xiàn)。

你可以定制X-Frame-Options和 frame-options 元素。例如,以下將指示Spring Security用 "X-Frame-Options: SAMEORIGIN" 允許iframes在同一個(gè)域:

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {
?
@Override
protected void configure(HttpSecurity http) throws Exception {
?? ?http
?? ?// ...
?? ?.headers()
?? ??? ?.frameOptions()
?? ??? ??? ?.sameOrigin();
}
}

public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
?? ?http
?? ?// ...
?? ?.headers()
?? ??? ?.frameOptions()
?? ??? ??? ?.sameOrigin();
}
}

X-XSS-Protection

一些瀏覽器支持過(guò)濾掉反射的XSS攻擊。這絕不是萬(wàn)無(wú)一失的，但確實(shí)有助于XSS的保護(hù)。

默認(rèn)情況下，過(guò)濾通常是啟用的，因此添加header通常只會(huì)確保啟用它，并指示瀏覽器在檢測(cè)到XSS攻擊時(shí)要做什么。

例如，過(guò)濾器可能試圖以最小的入侵方式改變內(nèi)容，以使所有內(nèi)容都呈現(xiàn)出來(lái)。有時(shí)，這種類型的替換本身就會(huì)成為XSS的弱點(diǎn)。相反，最好是屏蔽內(nèi)容，而不是試圖修復(fù)它。為此，我們可以添加以下header:

<span style="color:#333333">X-XSS-Protection: 1; mode=block</span>

自定義java配置XSS保護(hù)

<span style="color:#333333"><em><span style="color:#808080">@EnableWebSecurity</span></em>
<strong>public</strong> <strong>class</strong> WebSecurityConfig <strong>extends</strong>
WebSecurityConfigurerAdapter {
?
<em><span style="color:#808080">@Override</span></em>
<strong>protected</strong> <strong>void</strong> configure(HttpSecurity http) <strong>throws</strong> Exception {
?? ?http
?? ?<em>// ...</em>
?? ?.headers()
?? ??? ?.xssProtection()
?? ??? ??? ?.block(false);
}
}</span>

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

您可能感興趣的文章: