CSRF漏洞現(xiàn)狀
創(chuàng)新互聯(lián)專注于安陽縣網(wǎng)站建設服務及定制���,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供安陽縣營銷型網(wǎng)站建設����,安陽縣網(wǎng)站制作�、安陽縣網(wǎng)頁設計��、安陽縣網(wǎng)站官網(wǎng)定制���、小程序設計服務,打造安陽縣網(wǎng)絡公司原創(chuàng)品牌,更為您提供安陽縣網(wǎng)站排名全網(wǎng)營銷落地服務����。
CSRF(Cross-site request forgery)跨站請求偽造,也被稱為One Click Attack或者Session Riding���,通?�?s寫為CSRF或XSRF���,是一種對網(wǎng)站的惡意利用。盡管聽起來像跨站腳本(XSS)�,但它與XSS非常不同,XSS利用站點內(nèi)的信任用戶����,而CSRF則通過偽裝成受信任用戶的請求來利用受信任的網(wǎng)站。與XSS攻擊相比�����,CSRF攻擊往往不大流行(因此對其進行防范的資源也相當稀少)和難以防范,所以被認為比XSS更具危險性�����。
CSRF是一種依賴web瀏覽器的���、被混淆過的代理人攻擊(deputy attack)�。
POM依賴
org.springframework.boot
spring-boot-starter-freemarker
org.springframework.security
spring-security-web
配置過濾器
@SpringBootApplication
public class Application {
public static void main(String[] args) {
SpringApplication.run(Application.class, args);
}
/**
* 配置CSRF過濾器
*
* @return {@link org.springframework.boot.web.servlet.FilterRegistrationBean}
*/
@Bean
public FilterRegistrationBean csrfFilter() {
FilterRegistrationBean registration = new FilterRegistrationBean<>();
registration.setFilter(new CsrfFilter(new HttpSessionCsrfTokenRepository()));
registration.addUrlPatterns("/*");
registration.setName("csrfFilter");
return registration;
}
}在form請求中添加CSRF的隱藏字段
在AJAX請求中添加header頭
xhr.setRequestHeader("${_csrf.headerName}", "${_csrf.token}");jQuery的Ajax全局配置
jQuery.ajaxSetup({
"beforeSend": function (request) {
request.setRequestHeader("${_csrf.headerName}", "${_csrf.token}");
}
});
以上就是本文的全部內(nèi)容���,希望對大家的學習有所幫助���,也希望大家多多支持創(chuàng)新互聯(lián)。
當前名稱:使用SpringSecurity處理CSRF攻擊的方法步驟
瀏覽路徑:
http://weahome.cn/article/jpejsd.html
重慶分公司
重慶分公司
