spring boot实战之CSRF(跨站请求伪造)

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,并将此链接作为图片src。如果Bob的银行在cookie中保存他的授权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了这次事务。

下面是CSRF的常见特性:

  1. 依靠用户标识危害网站
  2. 利用网站对用户标识的信任
  3. 欺骗用户的浏览器发送HTTP请求给目标站点
  4. 可以通过IMG标签会触发一个GET请求,可以利用它来实现CSRF攻击

一个简单的例子:

  • 用户小z登录了网站A,同时打开网站B
  • 网站B隐蔽的发送一个请求至网站A
  • 网站A通过session、cookie等身份标记判断是用户小z,执行对应操作

这样网站B内的非法代码就盗用了用户小z的身份,在小z不知情的情况下执行了攻击者需要的操作,这就是跨站请求伪造。

防御CSRF可以通过动态token验证的方式来实现,每次请求生成一个动态token给前端,前端在后续的请求中附加该token,如果token不存在或不正确说明不是正常请求,予以屏蔽,从而达到解决CSRF问题的目的,以下是具体实现。

1、登录成功设置token

String uuidToken = UUID.randomUUID().toString();
map.put("token", uuidToken);
currentUser.getSession().setTimeout(NumberUtils.toLong(serverSessionTimeout, 1800)*1000);
request.getSession().setAttribute("token",uuidToken );
return map;

前后端分离架构,登录成功后将token传递给前端,由前端进行保存。

2、创建CSRFFilter

/** 
 * CSRF跨域请求伪造拦截
 * 除登录以外的post方法,都需要携带token,如果token为空或token错误,则返回异常提示
 * 注意在filter初始化参数内配置排除的url
 * @author yangwk 
 */  
public class CsrfFilter implements Filter {  
    private static Logger logger = LoggerFactory.getLogger(CsrfFilter.class);
    
    public List excludes = new ArrayList();
    
    private boolean isOpen = false;//是否开启该filter
  
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,ServletException {  
        if(!isOpen){
            filterChain.doFilter(request, response);
            return ;
        }
        if(logger.isDebugEnabled()){
            logger.debug("csrf filter is running");
        }
        
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        HttpSession session = req.getSession();
        Object token = session.getAttribute("token");
        if(!"post".equalsIgnoreCase(req.getMethod()) || handleExcludeURL(req, resp) || token == null){
            filterChain.doFilter(request, response);
            return;
        }
        
        String requestToken = req.getParameter("token");
        if(StringUtils.isBlank(requestToken) || !requestToken.equals(token)){
            AjaxResponseWriter.write(req, resp, ServiceStatusEnum.ILLEGAL_TOKEN, "非法的token");
            return;
        }
        filterChain.doFilter(request, response);
    }
    
    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {
        if (excludes == null || excludes.isEmpty()) {
            return false;
        }
        String url = request.getServletPath();
        for (String pattern : excludes) {
            Pattern p = Pattern.compile("^" + pattern);
            Matcher m = p.matcher(url);
            if (m.find()) {
                return true;
            }
        }
        return false;
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        if(logger.isDebugEnabled()){
            logger.debug("csrf filter init~~~~~~~~~~~~");
        }

        String temp = filterConfig.getInitParameter("excludes");
        if (temp != null) {
            String[] url = temp.split(",");
            for (int i = 0; url != null && i < url.length; i++) {
                excludes.add(url[i]);
            }
        }
        
        temp = filterConfig.getInitParameter("isOpen");
        if(StringUtils.isNotBlank(temp) && "true".equals(isOpen)){
            isOpen = true;
        }
    }

    @Override
    public void destroy() {}  
  
} 

除登录之外,post方式提交的请求都需要携带token,用于验证。

3、注册CSRFFilter

/**
 * csrf过滤拦截器
 */
@Bean
public FilterRegistrationBean csrfFilterRegistrationBean() {
    FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
    filterRegistrationBean.setFilter(new CsrfFilter());
    filterRegistrationBean.setOrder(2);
    filterRegistrationBean.setEnabled(true);
    filterRegistrationBean.addUrlPatterns("/*");
    Map initParameters = Maps.newHashMap();
    initParameters.put("excludes", "/login/*");
    initParameters.put("isOpen", isCsrfFilterOpen);
    filterRegistrationBean.setInitParameters(initParameters);
    return filterRegistrationBean;
}

小结

防御CSRF攻击可以通过在表单内添加随机token来实现,本例内未提供token刷新机制,可根据具体情况调整,如使用一次后刷新或用旧的token获取新的token等,不能提供一个刷新接口,让前端直接调用而不验证旧有token,那样该接口本身就是不安全的,会被伪用户调用。
具体实现:

  1. 登录成功,返回token给前端(前后端分离架构);
  2. 创建CsrfFilter,对非登录的post请求,验证其token是否正确;
  3. 注册CSRFFilter
  4. 如有需要,可在token使用后刷新或前端控制使用旧token换取新token。

本人搭建好的spring boot web后端开发框架已上传至GitHub,包含本文内的全部代码示例。
https://github.com/q7322068/rest-base,

你可能感兴趣的:(spring boot实战之CSRF(跨站请求伪造))