使用SpringSecurity处理CSRF攻击_jQuery

上一篇: 20161128 前端开发日报下一篇:JavaScript 各种遍历方式详解

使用SpringSecurity处理CSRF攻击

发布时间：2019-06-03 发布网站：脚本宝典

脚本宝典收集整理的这篇文章主要介绍了使用SpringSecurity处理CSRF攻击，脚本宝典觉得挺不错的，现在分享给大家，也给大家做个参考。

CSRF漏洞现状
CSRF（Cross-sITe request forgery）跨站请求伪造，也被称为One Click Attack或者Session Riding，通常缩写为CSRF或XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。    
CSRF是一种依赖web浏览器的、被混淆过的代理人攻击（deputy attack）。
POM依赖

      
      
      PE="button" class="copyCode code-tool" data-toggle="tooltip" data-placement="top" data-clipboard-text="

  org.sPRingframework.boot
  spring-boot-starter-freemarker



  org.springframework.security
  spring-security-web
" title="" data-original-title="复制">
      
      
<!-- 模板引擎 freemarker -->
<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-freemarker</artifactId>
</dependency>
<!-- Security (只使用CSRF部分) -->
<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-web</artifactId>
</dependency>
配置过滤器

      
      
      let.FilterRegistrationBean}
   */
  @Bean
  public FilterRegistrationBean csrfFilter() {
    FilterRegistrationBean registration = new FilterRegistrationBean<>();
    registration.setFilter(new CsrfFilter(new HttpSessionCsrfTokenRepository()));
    registration.addUrlPatterns("/*");
    registration.setName("csrfFilter");
    return registration;
  }
}" title="" data-original-title="复制">
      
      
@SpringBootApplication
public class Application {

  public static void main(String[] args) {
    SpringApplication.run(Application.class, args);
  }
  
  /**
   * 配置CSRF过滤器
   *
   * @return {@link org.springframework.boot.web.servlet.FilterRegistrationBean}
   */
  @Bean
  public FilterRegistrationBean<CsrfFilter> csrfFilter() {
    FilterRegistrationBean<CsrfFilter> registration = new FilterRegistrationBean<>();
    registration.setFilter(new CsrfFilter(new HttpSessionCsrfTokenRepository()));
    registration.addUrlPatterns("/*");
    registration.setName("csrfFilter");
    return registration;
  }
}
在form请求中添加CSRF的隐藏字段

      
      
      
      
      
<input name="${(_csrf.parameterName)!}" value="${(_csrf.token)!}" type="hidden" />
在AJAX请求中添加header头

      
      
      
      
      
xhr.setRequestHeader("${_csrf.headerName}", "${_csrf.token}");
jQuery的Ajax全局配置

      
      
      
      
      
jquery.ajaxSETUP({
  "beforeSend": function (request) {
    request.setRequestHeader("${_csrf.headerName}", "${_csrf.token}");
  }
});

脚本宝典总结

以上是脚本宝典为你收集整理的使用SpringSecurity处理CSRF攻击全部内容，希望文章能够帮你解决使用SpringSecurity处理CSRF攻击所遇到的问题。

如果觉得脚本宝典网站内容还不错，欢迎将脚本宝典推荐好友。

本图文内容来源于网友网络收集整理提供，作为学习参考使用，版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ：384754419，请注明来意。

标签：AJAX div jQuery jQuery let post-format-gallery

上一篇: 20161128 前端开发日报下一篇:JavaScript 各种遍历方式详解

猜你在找的jQuery相关文章

快速学习nodejs系列：十四、express框架介绍 2019-06-05
jQuery--1 2019-05-26
JQuery填坑系列（一）：JQuery对象与DOM对象innerHTML属性 2019-05-22
JQuery之ContextMenu(右键菜单)(转载--用了插件) 2019-05-28
jQuery 1.11 / 2.1 beta 版发布 2019-05-27
一张图告诉你，只会jQuery还不够！！！！！ 2019-05-23
jQuery选择器的的优点 2019-05-21
【Jquery对象】jquery与dom对象的区别 2019-05-27
jQuery插件 2019-05-23
jQuery 选择器 2019-05-22

全站导航更多

最新jQuery教程

热门jQuery教程