Spring Boot 中的 CSRF 保护配置

阳光穿透心脏的1/2处 2023-10-16 14:41 35阅读 0赞

## Spring Boot 中的 CSRF 保护配置 ##

CSRF（Cross-Site Request Forgery）是一种网络攻击，它利用已认证用户的身份来执行未经用户同意的操作。Spring Boot 提供了内置的 CSRF 保护机制，可以帮助您防止这种类型的攻击。本文将介绍如何在 Spring Boot 中配置和使用 CSRF 保护。

![在这里插入图片描述][dd401794374d48b4a4905aa47057de01.png]

### 什么是 CSRF 攻击？ ###

CSRF 攻击是一种利用用户已经在网站上进行了身份验证的情况下，以用户不知情的方式发送恶意请求的攻击。攻击者会诱导受害者点击包含恶意请求的链接或打开恶意网页，从而执行某些操作，例如更改密码、发送资金或执行其他敏感操作，而用户可能毫不知情。

CSRF 攻击之所以有效，是因为浏览器会自动发送已认证用户的凭据（如 cookies）到目标网站。攻击者可以伪造请求，利用用户的身份来执行操作。

### Spring Boot 中的 CSRF 保护 ###

Spring Boot 默认情况下启用了 CSRF 保护，这意味着它会生成和验证 CSRF 令牌以防止 CSRF 攻击。CSRF 令牌是一种随机生成的令牌，它在用户登录时生成并存储在会话中，然后在每个表单提交时包含在请求中。服务器会验证请求中的 CSRF 令牌是否与会话中存储的令牌匹配，如果匹配成功，则请求被认为是有效的。

要配置和使用 Spring Boot 中的 CSRF 保护，您可以执行以下步骤：

#### 步骤 1：确保 Spring Security 依赖已添加 ####

在 Spring Boot 项目中，通常会使用 Spring Security 来提供身份验证和安全性功能。请确保在项目的 `pom.xml` 文件中添加了 Spring Security 依赖：

<dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

#### 步骤 2：配置 Spring Security ####

Spring Boot 会为您提供一个默认的 Spring Security 配置，但您可以根据自己的需求进行自定义。要配置 CSRF 保护，您可以创建一个配置类并扩展 `SecurityConfigurerAdapter` 类。以下是一个简单的配置示例：

import org.springframework.context.annotation.Configuration;
    import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
    import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
    
    @Configuration
    @EnableWebSecurity
    public class SecurityConfig extends WebSecurityConfigurerAdapter {
        
    
        @Override
        protected void configure(HttpSecurity http) throws Exception {
        
            http
                .authorizeRequests()
                    .antMatchers("/public/**").permitAll()
                    .anyRequest().authenticated()
                    .and()
                .formLogin()
                    .loginPage("/login")
                    .permitAll()
                    .and()
                .logout()
                    .permitAll()
                    .and()
                .csrf().disable(); // 禁用 CSRF 保护
        }
    }

在上面的配置中：

*  `configure` 方法配置了身份验证和授权规则。在这个示例中，`/public/**` 路径下的请求允许匿名访问，其他请求需要身份验证。
 *  `formLogin` 方法配置了表单登录，并指定了登录页面为 `/login`。
 *  `logout` 方法配置了登出功能。
 *  `csrf().disable()` 方法禁用了 CSRF 保护。

#### 步骤 3：在表单中包含 CSRF 令牌 ####

如果您在应用程序中使用了表单，确保在每个表单中包含 CSRF 令牌。您可以使用 Thymeleaf、JSP 或其他模板引擎来插入令牌。以下是一个 Thymeleaf 模板中包含 CSRF 令牌的示例：

在上面的示例中，`${_csrf.parameterName}` 和 `${_csrf.token}` 会被替换为实际的 CSRF 参数名和令牌值。

#### 步骤 4：启动应用程序并测试 ####

现在，您可以启动您的 Spring Boot 应用程序，并测试 CSRF 保护是否有效。尝试在没有 CSRF 令牌的情况下提交表单，您应该会收到 CSRF 验证失败的错误消息。

### 总结 ###

CSRF 攻击是一种严重的网络安全威胁，可以通过伪造已认证用户的请求来执行未经授权的操作。Spring Boot 默认启用了 CSRF 保护，以帮助您防止此类攻击。在本文中，我们介绍了如何配置和使用 Spring Boot 中的 CSRF 保护，包括配置 Spring Security、在表单中包含 CSRF 令牌等步骤。

通过正确配置 CSRF 保护，您可以确保您的应用程序免受 CSRF 攻击的威胁，提高了安全性。如果您有

任何问题或需要进一步的帮助，请随时向我们提问。

[dd401794374d48b4a4905aa47057de01.png]: https://img-blog.csdnimg.cn/dd401794374d48b4a4905aa47057de01.png