春季MVC中的CSRF(跨站点请求伪造)保护
我在spring的CSRF(跨站点请求伪造)保护中很少混淆。 不,我有我的jsp和我的控制器和一个Web服务。 我想要做的是在Web服务级别validation令牌,如果令牌匹配,则运行Web服务(在我的情况下执行数据库插入)
JSP文件
我也插入了隐藏的标签。 现在我该怎么做才能validation这个令牌。 我在那里迷路了。
在控制器类中,我获取从表单到对象的值,并调用Web ervise来保存数据
@RequestMapping(method = RequestMethod.POST) public String processForm(@ModelAttribute(value = "userForm") @Valid UserForm userForm, BindingResult result, ModelMap model) { //call the web service }
OWASP Enterprise Security API有一个非常好的选择,可以提供针对CSRF的可靠保护。 CSRF实际上很容易解决。 OWASP ESAPI提供了实施CSRF保护的规范,如下所示。
1.生成新的CSRF令牌并在登录时将其添加到用户一次,并将用户存储在http会话中。
这是在默认的ESAPI实现中完成的,它存储为存储在session中的User对象的成员变量。
/this code is in the DefaultUser implementation of ESAPI /** This user's CSRF token. */ private String csrfToken = resetCSRFToken(); ... public String resetCSRFToken() { csrfToken = ESAPI.randomizer().getRandomString(8, DefaultEncoder.CHAR_ALPHANUMERICS); return csrfToken; }
2.在应保护的任何表单或URL上,将标记添加为参数/隐藏字段。
对于任何需要CSRF保护的URL,应调用下面的addCSRFToken方法。 或者,如果您要创建表单,或者使用另一种呈现URL的技术(例如c:url ),请确保添加名称为“ ctoken ”的参数或隐藏字段以及DefaultHTTPUtilities.getCSRFToken()的值。
//from HTTPUtilitiles interface final static String CSRF_TOKEN_NAME = "ctoken"; //this code is from the DefaultHTTPUtilities implementation in ESAPI public String addCSRFToken(String href) { User user = ESAPI.authenticator().getCurrentUser(); if (user.isAnonymous()) { return href; } // if there are already parameters append with &, otherwise append with ? String token = CSRF_TOKEN_NAME + "=" + user.getCSRFToken(); return href.indexOf( '?') != -1 ? href + "&" + token : href + "?" + token; } ... public String getCSRFToken() { User user = ESAPI.authenticator().getCurrentUser(); if (user == null) return null; return user.getCSRFToken(); }
3.在服务器端,针对这些受保护的操作,检查提交的令牌是否与会话中用户对象的令牌匹配。
确保从servlet或spring操作或jsf控制器或用于处理请求的任何服务器端机制调用此方法。 这应该在您需要validationCSRF保护的任何请求上调用。 请注意,当令牌不匹配时,它被视为可能的伪造请求。
//this code is from the DefaultHTTPUtilities implementation in ESAPI public void verifyCSRFToken(HttpServletRequest request) throws IntrusionException { User user = ESAPI.authenticator().getCurrentUser(); // check if user authenticated with this request - no CSRF protection required if( request.getAttribute(user.getCSRFToken()) != null ) { return; } String token = request.getParameter(CSRF_TOKEN_NAME); if ( !user.getCSRFToken().equals( token ) ) { throw new IntrusionException("Authentication failed", "Possibly forged HTTP request without proper CSRF token detected"); } }
4.在注销和会话超时时,将从会话中删除用户对象并销毁会话。
在此步骤中,将调用注销。 发生这种情况时,请注意会话无效,并将当前用户对象重置为匿名用户,从而删除对当前用户的引用,从而删除对csrf令牌的引用。
//this code is in the DefaultUser implementation of ESAPI public void logout() { ESAPI.httpUtilities().killCookie( ESAPI.currentRequest(), ESAPI.currentResponse(), HTTPUtilities.REMEMBER_TOKEN_COOKIE_NAME ); HttpSession session = ESAPI.currentRequest().getSession(false); if (session != null) { removeSession(session); session.invalidate(); } ESAPI.httpUtilities().killCookie(ESAPI.currentRequest(), ESAPI.currentResponse(), "JSESSIONID"); loggedIn = false; logger.info(Logger.SECURITY_SUCCESS, "Logout successful" ); ESAPI.authenticator().setCurrentUser(User.ANONYMOUS); }
资料来源: http : //www.jtmelton.com/2010/05/16/the-owasp-top-ten-and-esapi-part-6-cross-site-request-forgery-csrf/
希望这可以帮助你。
Shishir
显然我正在使用spring security 3.1.4.RELEASE 。 在这里你可以手动完成。 然后我将其更改为3.2.2.RELEASE然后我只需要使用
请参阅此链接以查看spring security 3.2中的最新信息
http://docs.spring.io/spring-security/site/docs/3.2.0.RELEASE/reference/htmlsingle/#new
小心,当你从3.1.4.RELEASE改为3.2.2.RELEASE时,有很多令人困惑的重要因素要做。 特别是在web.xml和spring-security.xml文件中