spring boot实战之CSRF(跨站请求伪造)
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,并将此链接作为图片src。如果Bob的银行在cookie中保存他的授权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了这次事务。
下面是CSRF的常见特性:
- 依靠用户标识危害网站
- 利用网站对用户标识的信任
- 欺骗用户的浏览器发送HTTP请求给目标站点
- 可以通过IMG标签会触发一个GET请求,可以利用它来实现CSRF攻击
一个简单的例子:
- 用户小z登录了网站A,同时打开网站B
- 网站B隐蔽的发送一个请求至网站A
- 网站A通过session、cookie等身份标记判断是用户小z,执行对应操作
这样网站B内的非法代码就盗用了用户小z的身份,在小z不知情的情况下执行了攻击者需要的操作,这就是跨站请求伪造。
防御CSRF可以通过动态token验证的方式来实现,每次请求生成一个动态token给前端,前端在后续的请求中附加该token,如果token不存在或不正确说明不是正常请求,予以屏蔽,从而达到解决CSRF问题的目的,以下是具体实现。
1、登录成功设置token
String uuidToken = UUID.randomUUID().toString();
map.put("token", uuidToken);
currentUser.getSession().setTimeout(NumberUtils.toLong(serverSessionTimeout, 1800)*1000);
request.getSession().setAttribute("token",uuidToken );
return map;
前后端分离架构,登录成功后将token传递给前端,由前端进行保存。
2、创建CSRFFilter
/**
* CSRF跨域请求伪造拦截
* 除登录以外的post方法,都需要携带token,如果token为空或token错误,则返回异常提示
* 注意在filter初始化参数内配置排除的url
* @author yangwk
*/
public class CsrfFilter implements Filter {
private static Logger logger = LoggerFactory.getLogger(CsrfFilter.class);
public List<String> excludes = new ArrayList<String>();
private boolean isOpen = false;//是否开启该filter
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,ServletException {
if(!isOpen){
filterChain.doFilter(request, response);
return ;
}
if(logger.isDebugEnabled()){
logger.debug("csrf filter is running");
}
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;
HttpSession session = req.getSession();
Object token = session.getAttribute("token");
if(!"post".equalsIgnoreCase(req.getMethod()) || handleExcludeURL(req, resp) || token == null){
filterChain.doFilter(request, response);
return;
}
String requestToken = req.getParameter("token");
if(StringUtils.isBlank(requestToken) || !requestToken.equals(token)){
AjaxResponseWriter.write(req, resp, ServiceStatusEnum.ILLEGAL_TOKEN, "非法的token");
return;
}
filterChain.doFilter(request, response);
}
private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {
if (excludes == null || excludes.isEmpty()) {
return false;
}
String url = request.getServletPath();
for (String pattern : excludes) {
Pattern p = Pattern.compile("^" + pattern);
Matcher m = p.matcher(url);
if (m.find()) {
return true;
}
}
return false;
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
if(logger.isDebugEnabled()){
logger.debug("csrf filter init~~~~~~~~~~~~");
}
String temp = filterConfig.getInitParameter("excludes");
if (temp != null) {
String[] url = temp.split(",");
for (int i = 0; url != null && i < url.length; i++) {
excludes.add(url[i]);
}
}
temp = filterConfig.getInitParameter("isOpen");
if(StringUtils.isNotBlank(temp) && "true".equals(isOpen)){
isOpen = true;
}
}
@Override
public void destroy() {}
}
除登录之外,post方式提交的请求都需要携带token,用于验证。
3、注册CSRFFilter
/**
* csrf过滤拦截器
*/
@Bean
public FilterRegistrationBean csrfFilterRegistrationBean() {
FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
filterRegistrationBean.setFilter(new CsrfFilter());
filterRegistrationBean.setOrder(2);
filterRegistrationBean.setEnabled(true);
filterRegistrationBean.addUrlPatterns("/*");
Map<String, String> initParameters = Maps.newHashMap();
initParameters.put("excludes", "/login/*");
initParameters.put("isOpen", isCsrfFilterOpen);
filterRegistrationBean.setInitParameters(initParameters);
return filterRegistrationBean;
}
小结
防御CSRF攻击可以通过在表单内添加随机token来实现,本例内未提供token刷新机制,可根据具体情况调整,如使用一次后刷新或用旧的token获取新的token等,不能提供一个刷新接口,让前端直接调用而不验证旧有token,那样该接口本身就是不安全的,会被伪用户调用。
具体实现:
- 登录成功,返回token给前端(前后端分离架构);
- 创建CsrfFilter,对非登录的post请求,验证其token是否正确;
- 注册CSRFFilter
- 如有需要,可在token使用后刷新或前端控制使用旧token换取新token。
本人搭建好的spring boot web后端开发框架已上传至GitHub,包含本文内的全部代码示例。
https://github.com/q7322068/rest-base,
