详解利用spring-security解决CSRF问题

CSRF介绍

CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

具体SCRF的介绍和攻击方式请参看百度百科的介绍和一位大牛的分析：
CSRF百度百科
浅谈CSRF攻击方式 浙江代孕

配置步骤

1.依赖jar包

2. <properties>
3. <spring.security.version>4.2.2.RELEASE</spring.security.version>
4. </properties>
5. <dependency>
6. <groupId>org.springframework.security</groupId>
7. <artifactId>spring-security-core</artifactId>
8. <version>${spring.security.version}</version>
9. </dependency>
11. <dependency>
12. <groupId>org.springframework.security</groupId>
13. <artifactId>spring-security-web</artifactId>
14. <version>${spring.security.version}</version>
15. </dependency>
17. <dependency>
18. <groupId>org.springframework.security</groupId>
19. <artifactId>spring-security-config</artifactId>
20. <version>${spring.security.version}</version>
21. </dependency>

复制代码

2.web.xml配置

2. <filter>
3. <filter-name>springSecurityFilterChain</filter-name>
4. <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
5. </filter>
7. <filter-mapping>
8. <filter-name>springSecurityFilterChain</filter-name>
9. <url-pattern>/*</url-pattern>
10. </filter-mapping>

复制代码

3.Spring配置文件配置  浙江代孕公司

2. <bean id="csrfSecurityRequestMatcher" class="com.xxx.CsrfSecurityRequestMatcher"></bean>
4. <security:http auto-config="true" use-expressions="true">
5. <security:headers>
6. <security:frame-options disabled="true"/>
7. </security:headers>
8. <security:csrf request-matcher-ref="csrfSecurityRequestMatcher" />
9. </security:http>

复制代码

4.自定义RequestMatcher的实现类CsrfSecurityRequestMatcher

这个类被用来自定义哪些请求是不需要进行拦截过滤的。如果配置csrf，所有http请求都被会CsrfFilter拦截，而CsrfFilter中有一个私有类DefaultRequiresCsrfMatcher。

源码1：DefaultRequiresCsrfMatcher类

2. private static final class DefaultRequiresCsrfMatcher implements RequestMatcher {
3. private final HashSet<String> allowedMethods;
5. private DefaultRequiresCsrfMatcher() {
6. this.allowedMethods = new HashSet(Arrays.asList(new String[]{"GET", "HEAD", "TRACE", "OPTIONS"}));
7. }
9. public boolean matches(HttpServletRequest request) {
10. return !this.allowedMethods.contains(request.getMethod());
11. }
12. }

复制代码

从这段源码可以发现，POST方法被排除在外了，也就是说只有GET|HEAD|TRACE|OPTIONS这4类方法会被放行，其它Method的http请求，都要验证_csrf的token是否正确，而通常post方式调用rest接口服务时，又没有_csrf的token，所以会导致我们的rest接口调用失败，我们需要自定义一个类对该类型接口进行放行。来看下我们自定义的过滤器：

源码2：csrfSecurityRequestMatcher类

2. public class CsrfSecurityRequestMatcher implements RequestMatcher {
3. private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
4. private RegexRequestMatcher unprotectedMatcher = new RegexRequestMatcher("^/rest/.*", null);
6. @Override
7. public boolean matches(HttpServletRequest request) {
8. if(allowedMethods.matcher(request.getMethod()).matches()){
9. return false;
10. }
12. return !unprotectedMatcher.matches(request);
13. }
14. }

复制代码

说明：一般我们定义的rest接口服务，都带上 /rest/ ，所以如果你的项目中不是使用的这种，或者项目中没有rest服务，这个类完全可以省略的。

5.post请求配置

一般我们的项目中都有一个通用的jsp文件，就是每个页面都会引用的，所以我们可以在通用文件中做如下配置：

2. <meta name="_csrf" content="${_csrf.token}"/>
3. <meta name="_csrf_header" content="${_csrf.headerName}"/>
5. <script>
7. var token = $("meta[name='_csrf']").attr("content");
8. var header = $("meta[name='_csrf_header']").attr("content");
9. $.ajaxSetup({
10. beforeSend: function (xhr) {
11. if(header && token ){
12. xhr.setRequestHeader(header, token);
13. }
14. }}
15. );
16. </script>

复制代码

$.ajaxSetup的意思就是给我们所有的请求都加上这个header和token，或者放到form表单中。注意，_csrf这个要与spring security的配置文件中的配置相匹配，默认为_csrf。

源码解析

我们知道，既然配置了csrf，所有的http请求都会被CsrfFilter拦截到，所以看下CsrfFilter的源码就对原理一目了然了。这里我们只看具体过滤的方法即可：

源码3：CsrfFilter的doFilterInternal方法

2. protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
3. request.setAttribute(HttpServletResponse.class.getName(), response);
4. CsrfToken csrfToken = this.tokenRepository.loadToken(request);
5. boolean missingToken = csrfToken == null;
6. if(missingToken) {//如果token为空，说明第一次访问，生成一个token对象
7. csrfToken = this.tokenRepository.generateToken(request);
8. this.tokenRepository.saveToken(csrfToken, request, response);
9. }
11. request.setAttribute(CsrfToken.class.getName(), csrfToken);
12. //把token对象放到request中，注意这里key是csrfToken.getParameterName()= _csrf，所以我们页面上才那么写死。
13. request.setAttribute(csrfToken.getParameterName(), csrfToken);
15. //这个macher就是我们在Spring配置文件中自定义的过滤器，也就是GET，HEAD, TRACE, OPTIONS和我们的rest都不处理
16. if(!this.requireCsrfProtectionMatcher.matches(request)) {
17. filterChain.doFilter(request, response);
18. } else {
19. String actualToken = request.getHeader(csrfToken.getHeaderName());
20. if(actualToken == null) {
21. actualToken = request.getParameter(csrfToken.getParameterName());
22. }
24. if(!csrfToken.getToken().equals(actualToken)) {
25. if(this.logger.isDebugEnabled()) {
26. this.logger.debug("Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request));
27. }
29. if(missingToken) {
30. this.accessDeniedHandler.handle(request, response, new MissingCsrfTokenException(actualToken));
31. } else {
32. this.accessDeniedHandler.handle(request, response, new InvalidCsrfTokenException(csrfToken, actualToken));
33. }
35. } else {
36. filterChain.doFilter(request, response);
37. }
38. }
39. }

复制代码

从源码中可以看到，通过我们自定义的过滤器以外的post请求都需要进行token验证。

本来呢，是想截图弄个案例上去的，然后通过断点看看页面和后台的传值情况....不过，我这里没法上传图片抓狂。好吧，就总结这么多吧！如果有写的不对的或者有其他问题可以留言交流。