Java web解決CSRF攻擊漏洞
阿新 • • 發佈:2020-12-12
一、概述
簡單介紹一下csrf攻擊漏洞。就是你的網站cookie和session資訊可以被其他網站盜用,用於非法請求。
應用開發環境:IDEA+JDK1.8
開發框架:Spring boot +thymeleaf+shiro
測試:第三方安全公司滲透測試。
二、解決方法
這裡只講主動防禦方法。
總體思路是:使用者登入時,服務端分配一個隨機token,儲存到session裡。使用者進行其他請求時,從session裡取出這個token放到請求頭headers裡,服務端收到請求時,從請求頭裡取出token,和session裡面的token進行校驗,相同則表示是合法請求,不同則拒絕該請求。
bootraptable
三、關鍵程式碼
3.1 前端
前端http請求沒有統一,需要根據實際情況來配置。
- 需要在相關頁面加上隱藏token欄位,程式碼參考:
<input type="hidden" id="csrf_token" class="hidden" th:value="${session.csrf_token}"/>
特別要注意多級子頁面,對於上述token的初始化和獲取。
- ajax請求,需要加如下方法,將token加在請求頭中:
beforeSend: function(XMLHttpRequest) { XMLHttpRequest.setRequestHeader("csrf_token", $("#csrf_token",parent.document).val()); }
- 統一的http請求:
/** 設定全域性ajax處理 */ $.ajaxSetup({ complete: function(XMLHttpRequest, textStatus) { if (textStatus == 'timeout') { $.modal.alertWarning("伺服器超時,請稍後再試!"); $.modal.enable(); $.modal.closeLoading(); } else if (textStatus == "parsererror" || textStatus == "error") { $.modal.alertWarning("伺服器錯誤,請聯絡管理員!"); $.modal.enable(); $.modal.closeLoading(); } }, beforeSend: function(XMLHttpRequest) { XMLHttpRequest.setRequestHeader("csrf_token", $("#csrf_token",parent.document).val()); } });
注意事項:
1.bootraptable封裝了自己的http請求,如果上述全域性配置不生效,需要修改該外掛原始碼:
$('#' + options.id).bootstrapTable({
id: options.id,
url: options.url,
ajaxOption: {
"headers": options.csrf_token
}
通過ajaxOption將token加入headers中。
3.2 後端
登入介面:
getRequest().getSession().setAttribute(JWTConst.CONN_CSRF_TOKEN_HEADER, UUID.randomUUID().toString());
編寫一個過濾器或者攔截器,我這裡是攔截器,區別是過濾器會過濾所有請求包括頁面,攔截器只能攔截請求。
String csrfTokenOld = request.getSession().getAttribute(JWTConst.CONN_CSRF_TOKEN_HEADER).toString();
String csrfToken = request.getHeader(JWTConst.CONN_CSRF_TOKEN_HEADER);
if (csrfToken == null || "".equals(csrfToken) || !csrfToken.equals(csrfTokenOld)) {
logger.error(JwtErrEnums.TOKEN_INEXISTENCE.getMsg());
throw new AuthException(JwtErrEnums.TOKEN_INEXISTENCE);
}
一般情況下,我們只需要攔截POST請求,我們在設計請求時,包含重要敏感資訊的請求建議使用POST方式。
四、其他方法
還可以使用spring security框架。下次再介紹。