快捷導(dǎo)航

如何在 Spring Boot 中配置和使用 CSRF 保護(hù)

更新時(shí)間：2023年09月27日 09:50:48 作者：stormjun

CSRF是一種網(wǎng)絡(luò)攻擊，它利用已認(rèn)證用戶的身份來執(zhí)行未經(jīng)用戶同意的操作，Spring Boot 提供了內(nèi)置的 CSRF 保護(hù)機(jī)制，可以幫助您防止這種類型的攻擊，這篇文章主要介紹了Spring?Boot?中的?CSRF?保護(hù)配置的使用方法,需要的朋友可以參考下

Spring Boot 中的 CSRF 保護(hù)配置

CSRF（Cross-Site Request Forgery）是一種網(wǎng)絡(luò)攻擊，它利用已認(rèn)證用戶的身份來執(zhí)行未經(jīng)用戶同意的操作。Spring Boot 提供了內(nèi)置的 CSRF 保護(hù)機(jī)制，可以幫助您防止這種類型的攻擊。本文將介紹如何在 Spring Boot 中配置和使用 CSRF 保護(hù)。

什么是 CSRF 攻擊？

CSRF 攻擊是一種利用用戶已經(jīng)在網(wǎng)站上進(jìn)行了身份驗(yàn)證的情況下，以用戶不知情的方式發(fā)送惡意請(qǐng)求的攻擊。攻擊者會(huì)誘導(dǎo)受害者點(diǎn)擊包含惡意請(qǐng)求的鏈接或打開惡意網(wǎng)頁，從而執(zhí)行某些操作，例如更改密碼、發(fā)送資金或執(zhí)行其他敏感操作，而用戶可能毫不知情。

CSRF 攻擊之所以有效，是因?yàn)闉g覽器會(huì)自動(dòng)發(fā)送已認(rèn)證用戶的憑據(jù)（如 cookies）到目標(biāo)網(wǎng)站。攻擊者可以偽造請(qǐng)求，利用用戶的身份來執(zhí)行操作。

Spring Boot 中的 CSRF 保護(hù)

Spring Boot 默認(rèn)情況下啟用了 CSRF 保護(hù)，這意味著它會(huì)生成和驗(yàn)證 CSRF 令牌以防止 CSRF 攻擊。CSRF 令牌是一種隨機(jī)生成的令牌，它在用戶登錄時(shí)生成并存儲(chǔ)在會(huì)話中，然后在每個(gè)表單提交時(shí)包含在請(qǐng)求中。服務(wù)器會(huì)驗(yàn)證請(qǐng)求中的 CSRF 令牌是否與會(huì)話中存儲(chǔ)的令牌匹配，如果匹配成功，則請(qǐng)求被認(rèn)為是有效的。

要配置和使用 Spring Boot 中的 CSRF 保護(hù)，您可以執(zhí)行以下步驟：

步驟 1：確保 Spring Security 依賴已添加

在 Spring Boot 項(xiàng)目中，通常會(huì)使用 Spring Security 來提供身份驗(yàn)證和安全性功能。請(qǐng)確保在項(xiàng)目的 pom.xml 文件中添加了 Spring Security 依賴：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

步驟 2：配置 Spring Security

Spring Boot 會(huì)為您提供一個(gè)默認(rèn)的 Spring Security 配置，但您可以根據(jù)自己的需求進(jìn)行自定義。要配置 CSRF 保護(hù)，您可以創(chuàng)建一個(gè)配置類并擴(kuò)展 SecurityConfigurerAdapter 類。以下是一個(gè)簡(jiǎn)單的配置示例：

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll()
                .and()
            .csrf().disable(); // 禁用 CSRF 保護(hù)
    }
}

在上面的配置中：

configure 方法配置了身份驗(yàn)證和授權(quán)規(guī)則。在這個(gè)示例中， /public/** 路徑下的請(qǐng)求允許匿名訪問，其他請(qǐng)求需要身份驗(yàn)證。
formLogin 方法配置了表單登錄，并指定了登錄頁面為 /login 。
logout 方法配置了登出功能。
csrf().disable() 方法禁用了 CSRF 保護(hù)。

步驟 3：在表單中包含 CSRF 令牌

如果您在應(yīng)用程序中使用了表單，確保在每個(gè)表單中包含 CSRF 令牌。您可以使用 Thymeleaf、JSP 或其他模板引擎來插入令牌。以下是一個(gè) Thymeleaf 模板中包含 CSRF 令牌的示例：

<form action="/submit" method="post">
    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
    <!-- 其他表單字段 -->
    <button type="submit">提交</button>
</form>

在上面的示例中， ${_csrf.parameterName} 和 ${_csrf.token} 會(huì)被替換為實(shí)際的 CSRF 參數(shù)名和令牌值。

步驟 4：?jiǎn)?dòng)應(yīng)用程序并測(cè)試

現(xiàn)在，您可以啟動(dòng)您的 Spring Boot 應(yīng)用程序，并測(cè)試 CSRF 保護(hù)是否有效。嘗試在沒有 CSRF 令牌的情況下提交表單，您應(yīng)該會(huì)收到 CSRF 驗(yàn)證失敗的錯(cuò)誤消息。

總結(jié)

CSRF 攻擊是一種嚴(yán)重的網(wǎng)絡(luò)安全威脅，可以通過偽造已認(rèn)證用戶的請(qǐng)求來執(zhí)行未經(jīng)授權(quán)的操作。Spring Boot 默認(rèn)啟用了 CSRF 保護(hù)，以幫助您防止此類攻擊。在本文中，我們介紹了如何配置和使用 Spring Boot 中的 CSRF 保護(hù)，包括配置 Spring Security、在表單中包含 CSRF 令牌等步驟。

通過正確配置 CSRF 保護(hù)，您可以確保您的應(yīng)用程序免受 CSRF 攻擊的威脅，提高了安全性。如果您有

到此這篇關(guān)于Spring Boot 中的 CSRF 保護(hù)配置的文章就介紹到這了,更多相關(guān)Spring Boot CSRF內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: