十七、Spring Security中CSRF

电玩女神 2023-09-30 20:28 3阅读 0赞

在配置类中一直存在这样一行代码：http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是：关闭csrf防护。

##### 1.什么是CSRF #####

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。

跨域：只要网络协议，ip地址，端口中任何一个不相同就是跨域请求。

客户端与服务进行交互时，由于http协议本身是无状态协议，所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。在跨域的情况下，session id可能被第三方恶意劫持，通过这个session id向服务端发起请求时，服务端会认为这个请求是合法的，可能发生很多意想不到的事情。

##### 2.Spring Security中CSRF #####

从Spring Security4开始CSRF防护默认开启。默认会拦截请求。进行CSRF处理。CSRF为了保证不是其他第三方网站访问，要求访问时携带参数名为\_csrf值为token(token在服务端产生)的内容，如果token和服务端的token匹配成功，则正常访问。

2.1实现步骤

2.1.1 编写控制器方法

编写控制器方法，跳转到templates中login.html页面。

@GetMapping("/showLogin")
    public String showLogin() {
        return "login";
    }

![7bbda79188025429a6abb342d62fe4bb.gif][]

![4cc73942303d77b3942900b16ecbe890.gif][]

2.1.2新建login.html

在项目resources下新建templates文件夹，并在文件夹中新建login.html页面。红色部分是必须存在的否则无法正常登录。

<!DOCTYPE html>
    <html xmlns="http://www.w3.org/1999/xhtml"
          xmlns:th="http://www.thymeleaf.org">
    <head>
        <meta charset="UTF-8">
        <title>Title</title>
    </head>
    <body>
    <form action = "/login" method="post">
        <input type="hidden" th:value="${_csrf.token}" name="_csrf" th:if="${_csrf}"/>
        用户名：<input type="text" name="username"/><br/>
        密码:<input type="password" name="password"/><br/>
        <input type="submit" value="登录"/>
    </form>
    </body>
    </html>

![28ee850be305d2d4391a6778a0f3087b.gif][]

![8f6fb2b857a725db15b5fc472b596f9c.gif][]

2.1.3修改配置类

在配置类中注释掉CSRF防护失效

//关闭csrf防护
    //http.csrf().disable();

![16a44cb09ac043a0a60f6f39b0888cd2.gif][]

![0bc8f9d75c7255a33b015e9c3a071a6c.gif][]

[7bbda79188025429a6abb342d62fe4bb.gif]: https://img-blog.csdnimg.cn/img_convert/7bbda79188025429a6abb342d62fe4bb.gif
[4cc73942303d77b3942900b16ecbe890.gif]: https://img-blog.csdnimg.cn/img_convert/4cc73942303d77b3942900b16ecbe890.gif
[28ee850be305d2d4391a6778a0f3087b.gif]: https://img-blog.csdnimg.cn/img_convert/28ee850be305d2d4391a6778a0f3087b.gif
[8f6fb2b857a725db15b5fc472b596f9c.gif]: https://img-blog.csdnimg.cn/img_convert/8f6fb2b857a725db15b5fc472b596f9c.gif
[16a44cb09ac043a0a60f6f39b0888cd2.gif]: https://img-blog.csdnimg.cn/img_convert/16a44cb09ac043a0a60f6f39b0888cd2.gif
[0bc8f9d75c7255a33b015e9c3a071a6c.gif]: https://img-blog.csdnimg.cn/img_convert/0bc8f9d75c7255a33b015e9c3a071a6c.gif