java 框架中预防 csrf 攻击的方法包括:使用 csrf 令牌:生成并存储随机字符串以验证请求的合法性。同源策略:限制来自不同域的请求,防止跨域 csrf 攻击。referer 头检查:验证 referer 头是否与应用程序 url 匹配,以排除跨域 csrf 攻击。httponly cookie:禁止浏览器通过 javascript 访问 cookie,降低会话 cookie 被窃取的风险。
Java 框架中的 CSRF 攻击预防
简介
跨站点请求伪造 (CSRF) 攻击是一种网络攻击,攻击者利用受害者的合法会话令牌向远程 Web 应用程序发送恶意请求。在 Java 框架中,有几种方法可以预防 CSRF 攻击。
立即学习“Java免费学习笔记(深入)”;
预防方法
1. 使用 CSRF 令牌
CSRF 令牌是一个随机字符串,在用户登录时生成并存储在用户的会话中。在每个表单提交请求中,都包括此令牌。服务器验证请求令牌是否匹配会话中的令牌。如果不匹配,则拒绝请求。
Spring Framework
// 生成 CSRF 令牌
CsrfToken csrfToken = csrf().generateToken(request);
// 在视图中包含 CSRF 令牌
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
// 验证请求令牌
if (csrf().isTokenValid(request)) {
// 处理表单提交
}2. 同源策略
同源策略限制浏览器仅允许来自与请求源头相同的域的请求。通过在应用程序中强制执行同源策略,可以防止跨域的 CSRF 攻击。
Spring Framework
// 启用同源策略 http.headers().frameOptions().sameOrigin();
3. Referer 头检查
Referer 头包含发出请求的原始 URL。通过检查 Referer 头是否与应用程序的 URL 匹配,可以排除跨域的 CSRF 攻击。
Spring Framework
// 启用 Referer 头检查
http.headers().contentTypeOptions().header("Referer").deny;4. HttpOnly Cookie
HttpOnly 标记禁止浏览器通过 JavaScript 访问 cookie。这使得攻击者更难窃取会话 cookie 并使用它来执行 CSRF 攻击。
Spring Security
// 启用 HttpOnly cookie
http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.ALWAYS).and()
.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());实战案例
SpringBoot 应用
@SpringBootApplication
public class App {
public static void main(String[] args) {
SpringApplication.run(App.class, args);
}
@PostMapping("/submit")
public String submit(@RequestParam String token) {
// 验证 CSRF 令牌
if (csrf().isTokenValid(request)) {
// 处理表单提交
...
}
}
}HTML 视图
<form action="/submit" method="POST">
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
<input type="submit" value="Submit"/>
</form> 
