SpringSecurity原理解析(八):CSRF防御解析
一、CsrfFilter
CsrfFilter 主要功能是用来防止csrf攻击
一、什么是CSRF攻击
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者
session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web
应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是
用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己
曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。
由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了
web 中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却
不能保证请求本身是用户自愿发出的。举个例子如下:
二、如何解决CSRF攻击?
2.1、检查Referer字段
HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址。在处理敏感数
据请求时,通常来说,Referer字段应和请求的地址位于同一域名下。以上文银行操作为
例,Referer字段地址通常应该是转账按钮所在的网页地址,应该也位于www.bankchina.com
之下。而如果是CSRF攻击传来的请求,Referer字段会是包含恶意网址的地址,不会位
于www.bankhacker.com之下,这时候服务器就能识别出恶意的访问。
如下图所示:
这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验,来检查 Referer字段。
但这种办法也有其局限性,因其完全依赖浏览器发送正确的Referer字段。虽然http协议对
此字段的内容有明确的规定,但并无法保证来访的浏览器的具体实现,也无法保证浏览器
没有安全漏洞影响到此Referer字段。并且也存在攻击者攻击某些浏览器,篡改其Referer
字段的可能。
2.2、采用 CsrfToken 的方式解决CSRF攻击
CSRF攻击是在用户登录且没有退出浏览器的情况下访问了第三方的站点而被攻击的,
完全是携带了认证的cookie来实现的,我们只需要在服务端响应给客户端的页面中绑定
随机的信息,然后提交请求后在服务端校验,如果携带的数据和之前的不一致就认为是
CSRF攻击,拒绝这些请求即可。流程如下图所示:
三、SpringSecurity 是如何解决CSRF攻击的
从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用程序,
Spring Security CSRF 会针对 PATCH,POST,PUT 和 DELETE 方法进行防护。
3.1、开启/关闭 CSRF防御
在SpringSecurity中默认是开启csrf防御的,下边看下如何来关闭csrf防御
1)基于配置类的方式关闭csrf防御
在自定义SpringSecurity配置文件中的configure方法中,通过 HttpSecurity 先调用csrf()
方法获取CSRF,然后调用 disable() 方法就可以关闭 csrf防御;
即:http.csrf().disable();
如下图所示:
2)基于配置文件的方式关闭csrf防御
在SpringSecurity配置文件中,在标签<security:http>内部添加标签
<security:csrf disabled="true"/> 就可以关闭csrf防御,如下图所示:
3.2、SpringSecurity 中CSRF防御实现原理
3.2.1、SpringSecurity中CSRF的实现流程
1)当用户访问受保护的资源时,Spring Security 会检查请求中是否包含有效的 CSRF
令牌csrfToken,生成csrfToken保存到HttpSession或者Cookie中
2)请求到来时,程序会从请求中获取提交的csrfToken,同时会从HttpSession中获取
之前存储的csrfToken进行比较,如果相同则认为是合法的请求,继续后面的操作,
如果不相等则认为是CSRF攻击,拒绝该请求
3.2.2、CSRF防御实现原理
1)CsrfToken
CsrfToken是一个非常简单的接口,定义了Token令牌,消息头和请求参数。
CsrfToken 接口定义如下:
public interface CsrfToken extends Serializable {
/**
* 获取我们放置在请求头中CSRF随机值的名称
*/
String getHeaderName();
/**
* 获取请求体中的csrf随机值的参数名称
*/
String getParameterName();
/**
* 返回具体的Token值
*/
String getToken();
}CsrfToken的默认实现是类 DefaultCsrfToken,DefaultCsrfToken也很简单,其只要功能是
用来初始化 请求头中CSRF随机值的名称、请求体中CSRF随机值的参数名称 和 token;
如下图所示:
2)CsrfTokenRepository
CsrfTokenRepository 也是一个接口,其定义了token(CSRF令牌)的生成、存储和
获取的相关方法;
CsrfTokenRepository 是 Spring Security 中用于处理 CSRF 保护的重要组件之一。通过
实现 CsrfTokenRepository 接口并重写其中的方法,我们可以根据具体的业务需求自定义
CSRF 令牌的生成、存储和获取逻辑。其运行过程是在用户访问受保护的资源时被调用,
用于确保请求的合法性。
CsrfTokenRepository 定义如下:
public interface CsrfTokenRepository {
/**
* 生成Token
*/
CsrfToken generateToken(HttpServletRequest request);
/**
* 存储生成的Token
*/
void saveToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response);
/**
* 返回Token
*/
CsrfToken loadToken(HttpServletRequest request);
}
CsrfTokenRepository 在中有3个实现,即:
CookieCsrfTokenRepository
HttpSessionCsrfTokenRepository
LazyCsrfTokenRepository
默认实现是 HttpSessionCsrfTokenRepository,是一个基于HttpSession保存csrfToken
的实现。
HttpSessionCsrfTokenRepository 定义如下:
public final class HttpSessionCsrfTokenRepository implements CsrfTokenRepository {
private static final String DEFAULT_CSRF_PARAMETER_NAME = "_csrf";
private static final String DEFAULT_CSRF_HEADER_NAME = "X-CSRF-TOKEN";
private static final String DEFAULT_CSRF_TOKEN_ATTR_NAME = HttpSessionCsrfTokenRepository.class.getName()
.concat(".CSRF_TOKEN");
private String parameterName = DEFAULT_CSRF_PARAMETER_NAME;
private String headerName = DEFAULT_CSRF_HEADER_NAME;
private String sessionAttributeName = DEFAULT_CSRF_TOKEN_ATTR_NAME;
// 保存Token到session中
@Override
public void saveToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response) {
if (token == null) {
HttpSession session = request.getSession(false);
if (session != null) {
session.removeAttribute(this.sessionAttributeName);
}
}
else {
HttpSession session = request.getSession();
session.setAttribute(this.sessionAttributeName, token);
}
}
// 从session中加载token
@Override
public CsrfToken loadToken(HttpServletRequest request) {
HttpSession session = request.getSession(false);
if (session == null) {
return null;
}
return (CsrfToken) session.getAttribute(this.sessionAttributeName);
}
// 生成Token
@Override
public CsrfToken generateToken(HttpServletRequest request) {
return new DefaultCsrfToken(this.headerName, this.parameterName, createNewToken());
}
/**
* Sets the {@link HttpServletRequest} parameter name that the {@link CsrfToken} is
* expected to appear on
* @param parameterName the new parameter name to use
*/
public void setParameterName(String parameterName) {
Assert.hasLength(parameterName, "parameterName cannot be null or empty");
this.parameterName = parameterName;
}
/**
* Sets the header name that the {@link CsrfToken} is expected to appear on and the
* header that the response will contain the {@link CsrfToken}.
* @param headerName the new header name to use
*/
public void setHeaderName(String headerName) {
Assert.hasLength(headerName, "headerName cannot be null or empty");
this.headerName = headerName;
}
/**
* Sets the {@link HttpSession} attribute name that the {@link CsrfToken} is stored in
* @param sessionAttributeName the new attribute name to use
*/
public void setSessionAttributeName(String sessionAttributeName) {
Assert.hasLength(sessionAttributeName, "sessionAttributename cannot be null or empty");
this.sessionAttributeName = sessionAttributeName;
}
// 通过UUID来生成Token信息
private String createNewToken() {
return UUID.randomUUID().toString();
}
}
3)CsrfFilter
CsrfFilter用于处理跨站请求伪造(即执行 CsrfTokenRepository生成 的CSRF令牌校验的拦截
器)。
检查表单提交的_csrf隐藏域的value与内存中保存的的是否一致,如果一致框架则认为
登录页面是安全的,如果不一致,会报403forbidden错误。
CsrfFilter 中处里请求的方法是 doFilterInternal,如下所示:
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
request.setAttribute(HttpServletResponse.class.getName(), response);
// tokenRepository即 CsrfTokenRepository 对象
// 从session中加载 Token,即CSRF令牌
CsrfToken csrfToken = this.tokenRepository.loadToken(request);
boolean missingToken = (csrfToken == null);
// 如果是第一次访问就生成Token信息
if (missingToken) {
csrfToken = this.tokenRepository.generateToken(request);
// 把生成的Token信息存储在Session中
this.tokenRepository.saveToken(csrfToken, request, response);
}
request.setAttribute(CsrfToken.class.getName(), csrfToken);
request.setAttribute(csrfToken.getParameterName(), csrfToken);
// 匹配是否是需要做CSRF防御的相关请求
if (!this.requireCsrfProtectionMatcher.matches(request)) {
if (this.logger.isTraceEnabled()) {
this.logger.trace("Did not protect against CSRF since request did not match "
+ this.requireCsrfProtectionMatcher);
}
filterChain.doFilter(request, response);
return;
}
// 获取请求携带在header中的Token信息
String actualToken = request.getHeader(csrfToken.getHeaderName());
if (actualToken == null) {
// 从请求参数中获取Token信息
actualToken = request.getParameter(csrfToken.getParameterName());
}
// 判断请求中的Token是否和Session中存储的Token相等
if (!equalsConstantTime(csrfToken.getToken(), actualToken)) {
this.logger.debug(
LogMessage.of(() -> "Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request)));
// Token不相等,说明是CSRF攻击,抛出访问拒绝的异常
AccessDeniedException exception = (!missingToken) ? new InvalidCsrfTokenException(csrfToken, actualToken)
: new MissingCsrfTokenException(actualToken);
this.accessDeniedHandler.handle(request, response, exception);
return;
}
// 说明是正常的访问,放过
filterChain.doFilter(request, response);
}