前言
提到安全,相信大家的第一反应都是加密,什么MD5、AES、SHA-256算法之类东西。没错加密各种算法是安全的基础。针对于基础的安全设施,Java Security 模块 提供了各种安全域的API、PKI、密码学及其内建实现、安全通信、认证、访问控制等丰富的功能,这些都是安全的基础。在Web应用的开发中,对于各种攻击防守,对于认证、授权的实现实现方案是极为重要的。Spring Security项目就是认证、授权、防攻击实现方案的集成框架。学习框架之前,必须要对安全领域的核心的概念进行梳理,这也是Spring Security本身所关注的点。
核心概念
Authentication(认证)
对请求资源的用户身份进行验证的过程,解决的是“这是谁请求的?”的问题。
Authorization(授权)
确认当前用户是否有权限访问资源的过程,解决的是“他能不能做这个操作?”的问题。
CSRF(跨站请求伪造)
跨站请求伪造(Cross Site Request Forgery)
什么CSRF?
请求是由外部网站伪造发送到目标服务服务器,而不是由用户主动发送请求至目标服务器这种伪造请求就是叫做CSRF。
举例说明:某银行网站提供了转账到指定账号的功能,用户在登录态存在(已登录)的场景下点击了一些外部网站。此时外部网站诱导用户点击就会导致预定的、转账到恶意账户的请求发送到银行服务器(银行的cookie随请求一并发送),外部网站在不需要知道银行的cookie的情况下完成了攻击。
如何防止CSRF?
同步令牌模式
同步令牌模式(Synchronizer Token Pattern),针对Post请求(避免get,会导致令牌泄漏),在请求参数中(一般是头部)增加同步令牌,服务器校验传入令牌的一致性判断是否是正确请求。请求令牌是从Cookie中获取的,由于同源策略外部站点无法获得令牌。能很好的解决该问题。
- 令牌应该存在哪里?
通常存在用户Session中。为什么不存在cookies中?这是一种早期处理方案,早期一些系统将token存在cookies中但是会出现了漏洞同Ruby on Rails的CSRF保护绕过一样,同时系统失去了紧急情况下对于令牌的失效保护。web应用开发中关键信息存放在后台是一种比较安全的方式。令牌可能会随着Session过期而过期,可以通过主动取或者被动刷新的方式处理。
SameSite 属性
SameSite 是Http协议中的一个属性,参考。这是一种紧急的方案 ,实现防止CSRF攻击,可以在session cookie中设置如下不同的值:
Strict:如果是同一站点的请求会一并发送Cookie,否则会剔除掉。
Lax: 如果是同一站点或者上个上个级别的导航站过来的。
针对cookie中存储了会话信息的请求如果丢失了cookie就会进入授权登录操作。使用SameSite 属性来防攻击要注意一些用户体验的场景,如Strict模式下邮件发送的地址就会失去了登录态,用户就需要再次登录可能会造成不好的体验。
注意:如果一些老版本的浏览器不支持该属性可能依旧会造成攻击,所以该方案应该视为辅助方案,不能过于依赖。
CSRF保护使用场景
从应用层面讲一般针对于浏览器用户,非浏览器场景就需要禁止CSRF Protection。对CSRF定义中它是依赖浏览器的,容易和中间人攻击混淆。
特别需要注意的具体场景如 login,logout,multipart是要重点进行CSRF保护。
安全响应首部(Header)
在HTTP协议中有一些首部用于安全处理,本模块对Spring Security中关键安全首部进行讲解。其他参考:Security HTTP Response Headers,developer.mozilla.org
#spring security 默认安全响应首部
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Content-Type-Options: nosniff
#仅HTTPS协议支持 Strict-Transport-Security
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
Cache-Control
控制浏览器缓存用户浏览内容的首部。Spring Security 默认禁用缓存,可以避免敏感信息的泄露,如用户登录账号查看敏感信息后退出登录恶意用户通过浏览器回退查看到敏感信息。
//Spring Security default
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
//spring security code config
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) {
http
// ...
.headers(headers ->
headers.cacheControl(cache ->
cache.disabled()
)
);
}
}
X-Content-Type-Options
针对Content-Type不存在的时候是否采用内容嗅探(content sniffing)的方式处理控制的首部。为了优化体验浏览器会自动判断响应内容的类型然后进行渲染。禁用sniff可以避免XSS攻击。因为恶意用户可以创建一个postscript的js文档并用它来执行XSS攻击。
//Spring Security default
X-Content-Type-Options: nosniff
Strict-Transport-Security
Http严格传输安全,HTST(Http Strict Transport Security)。很多用户习惯输入不带https协议的域名,中间人可能会拦截到http并窃取https的响应给用户造成中间人攻击。Strict-Transport-Security首部将指导浏览器将其设置为严格的安全传输地址。参考RFC6797
//Spring Security default
//一年时间、包括子域名、预加载为HSTS domain
Strict-Transport-Security: max-age=31536000 ; includeSubDomains ; preload
Public-Key-Pins
Http公钥固定(HPKP),用来告诉Web客户端将特定的加密公钥于某个Web服务器相关联,以降低使用证书伪造的MITM攻击的风险。已被废弃。
X-Frame-Options
是否允许自己的网站被嵌入到其他网站。用来避免点击劫持(Click Jacking)
- DENY 其他站点都无法在框架中显示该页面,spring security default value
- SAMEORIGIN 同源可以显示该页面
//spring security code config
@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
// ...
.headers(headers ->
headers
.frameOptions(frameOptions ->
frameOptions
.sameOrigin()
)
);
}
}
X-XSS-Protection
针对检测到跨域脚本攻击的中止操作,现代化的浏览器可以通过Content-Security-Policy 针对不支持CSP的浏览器该保护的是很有效的。该首部没有被全力支持,只有少部分浏览器是支持的如:IE,Safari。
- 0:禁用XSS过滤
- 1:启用XSS过滤(浏览器默认),检测到跨站点攻击浏览器将清理页面。
- 1; mode=block :启用XSS过滤,检测到跨站点攻击浏览器将阻止而不清理页面。(spring security default)
- 1; report=
:启用XSS过滤,检测到跨站点攻击浏览器将阻止并报告违规行为。
//spring security code config
@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
// ...
.headers(headers ->
headers
.xssProtection(xssProtection ->
xssProtection
.block(false)
)
);
}
}
Content Security Policy (CSP)
CSP是作为一种向客户端传递安全策略的机制,每一种安全策略代表了一组安全指令,每个指令对资源的呈现做了限制。Content-Security-Policy,Content-Security-Policy-Report-Only
#指定script的来源 https://trustedscripts.example.com,将违规报告以json格式上报给http端点/csp-report-endpoint/
Content-Security-Policy: script-src https://trustedscripts.example.com; report-uri /csp-report-endpoint/
#不限制脚本的来源(不阻止),来源不是script-src指定两个地方会进行报告。
Content-Security-Policy-Report-Only: Content-Security-Policy-Report-Only: script-src 'self' https://trustedscripts.example.com; report-uri /csp-report-endpoint/
//spring security code config
@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) {
http
// ...
.headers(headers ->
headers
.contentSecurityPolicy(csp ->
csp
.policyDirectives("script-src 'self' https://trustedscripts.example.com; object-src https://trustedplugins.example.com; report-uri /csp-report-endpoint/")
)
);
}
}
Referrer-Policy
Referrer首部标记的是资源最初来源,Referrer-Policy主要就是控制多少引用信息包含在请求中。
默认值,执行同源请求时发送源、路径和查询字符串。跨域且安全级别不变时发送Referrer,降安全级别请求不发送Referrer。
Referrer-Policy: no-referrer-when-downgrade
Feature-Policy
为开发者提供了选择性禁用、启用、修改固定API或者浏览器功能的机制。
Feature-Policy: <指令> <许可列表> 详情参考
Clear-Site-Data
提供了通过首部清除浏览器侧数据的方式,例如登出的时候设置首部来清除浏览器侧的相关数据。
Clear-Site-Data: "cache", "cookies", "storage", "executionContexts"