CSRF(跨站请求伪造)攻击及防御策略

CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"(一键攻击)或者"Session Riding"(会话控制),是一种对网站的恶意利用。与传统的XSS攻击(跨站脚本攻击)相比,CSRF攻击更加难以防范,被认为更具危险性。CSRF攻击可以在用户不知情的情况下,以用户的名义伪造请求发送给攻击页面,从而在用户未授权的情况下执行受到权限保护的操作。

场景讲解

例如,一个用户Andy登录银行站点服务器准备进行转账操作。在Andy的用户信息有效期内,Andy被诱导查看了一个黑客恶意网站。该网站获取了Andy登录后的浏览器与银行网站之间尚未过期的Session信息。由于Andy浏览器的cookie中含有Andy银行账户的认证信息,黑客可以以Andy的合法身份伪装访问Andy的银行账户,并进行非法操作。

CSRF攻击的防御策略

  1. 验证HTTP Referer字段:验证请求来源页面的Referer字段,确保请求来自同一站点,但该方法并不可靠,因为Referer字段可能被伪造或者被浏览器禁用。
  2. 在请求地址中添加Token并验证:在每个页面中嵌入一个随机生成的Token,并将其添加到请求地址的参数中,后端服务器在接收到请求时验证Token的有效性。
  3. 在HTTP头中自定义属性并验证:在每个请求中添加自定义的HTTP头属性,例如"X-Requested-With"或"X-CSRF-Token",后端服务器在接收到请求时验证该属性的值。

以Spring Security安全框架中的CSRF防御功能来讲解:

  • disable(): 关闭Spring Security默认开启的CSRF防御功能。
  • csrfTokenRepository(CsrfTokenRepository csrfTokenRepository): 指定要使用的CsrfTokenRepository(Token令牌持久化仓库)。默认是由LazyCsrfTokenRepository包装的HttpSessionCsrfTokenRepository。
  • requireCsrfProtectionMatcher(RequestMatcher requireCsrfProtectionMatcher): 指定针对什么类型的请求应用CSRF防护功能。默认设置是忽略GET、HEAD、TRACE和OPTIONS请求,而处理并防御其他所有请求。
  1. CSRF防护功能关闭的配置,但直接关闭CSRF防御的方式简单粗暴,不太推荐使用,如果强行关闭后网站可能会面临CSRF攻击的危险,适合在开发过程中测试使用。
@Override
protected void configure(HttpSecurity http

) throws Exception {
    http
        .csrf()
            .disable()
        // ...其他配置
}

Spring Boot整合Spring Security进行CSRF防御的示例

  1. 针对Form表单数据修改请求的CSRF Token配置:
    在表单中添加携带CSRF Token信息的隐藏域:

  2. 针对Ajax数据修改请求的CSRF Token配置:

在页面的标签中添加标签设置CSRF Token信息,并在具体的Ajax请求中获取相应的Token值,并将其添加到请求的HTTP header中进行验证。


    
    
    


    
    

希望通过以上的讲解,能让大家更深入的了解CSRF(跨站请求伪造)攻击及防御策略。

本文由mdnice多平台发布

你可能感兴趣的:(后端)