java框架如何防止CSRF攻击-java教程-PHP中文网

java框架如何防止CSRF攻击

WBOY

发布： 2024-05-24 17:48:01

原创

1558人浏览过

java 框架通过以下机制防止 csrf 攻击：令牌验证：生成并验证 csrf 令牌，以确保请求来自预期来源。same-origin 策略：浏览器仅向其原始来源发送请求，防止跨站攻击。自定义令牌存储：允许将 csrf 令牌存储在 cookie、header 或会话中。

java框架如何防止CSRF攻击

Java 框架如何防止 CSRF 攻击

什么是 CSRF 攻击？

跨站请求伪造 (CSRF) 攻击是一种网络攻击，攻击者诱骗受害者在一个网站上执行操作，而受害者并不知情。攻击者利用了受害者的会话 Cookie 来冒充他们的身份。

Java 框架如何防止 CSRF 攻击？

立即学习“Java免费学习笔记（深入）”；

Spring MVC 和 JSF 等 Java 框架提供了多种机制来防止 CSRF 攻击：

令牌验证

Spring MVC：使用 @CsrfToken 注释在控制器方法上生成 CSRF 令牌。
JSF：使用 <h:inputSecret> 标签生成 CSRF 令牌。

Same-Origin 策略

如知AI笔记

如知笔记——支持markdown的在线笔记，支持ai智能写作、AI搜索，支持DeepseekR1满血大模型

查看详情

确保浏览器只向其原始来源（即从该页面加载的 HTML 文档所在的服务器）发送请求。
Spring Security 提供了 CsrfConfigurer 配置，可指定需要 CSRF 保护的 URL。
JSF 使用 csrfTokenValidator 来验证 CSRF 令牌并阻止跨域请求。

自定义令牌存储

可以将 CSRF 令牌存储在 cookie、header 或会话中。
Spring MVC 和 JSF 都允许通过配置 CsrfFilter 和 CsrfTokenRepository 来自定义令牌存储。

实战案例：Spring MVC

1. 安装依赖项：

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
    <version>5.5.7</version>
</dependency>

登录后复制

2. 配置 Spring Security：

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
            .and()
            // 其他安全配置
        ;
    }
}

登录后复制

3. 在控制器方法上生成令牌：

@RequestMapping("/transferMoney")
@PostMapping
public String transferMoney(@RequestParam int amount, @CsrfToken String csrfToken) {
    // 验证令牌
    csrfTokenManager.verifyToken(csrfToken);
    
    // 执行转账操作
}

登录后复制

4. 在 HTML 页面中添加令牌：

<form action="/transferMoney" method="post">
    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
    <input type="text" name="amount" />
    <input type="submit" value="Submit" />
</form>

登录后复制

以上就是java框架如何防止CSRF攻击的详细内容，更多请关注php中文网其它相关文章！