什麼是csrf?
csrf又稱跨域請求僞造,攻擊方通過僞造用戶請求訪問受信任站點。CSRF這種攻擊方式在2000年已經被國外的安全人員提出,但在國內,直到06年纔開始被關注,08年,國內外的多個大型社區和交互網站分別爆出CSRF漏洞,如:NYTimes.com(紐約時報)、Metafilter(一個大型的BLOG網站),YouTube和百度HI......而現在,互聯網上的許多站點仍對此毫無防備,以至於安全業界稱CSRF爲“沉睡的巨人”。
舉個例子,用戶通過表單發送請求到銀行網站,銀行網站獲取請求參數後對用戶賬戶做出更改。在用戶沒有退出銀行網站情況下,訪問了攻擊網站,攻擊網站中有一段跨域訪問的代碼,可能自動觸發也可能點擊提交按鈕,訪問的url正是銀行網站接受表單的url。因爲都來自於用戶的瀏覽器端,銀行將請求看作是用戶發起的,所以對請求進行了處理,造成的結果就是用戶的銀行賬戶被攻擊網站修改。
解決方法基本上都是增加攻擊網站無法獲取到的一些表單信息,比如增加圖片驗證碼,可以杜絕csrf攻擊,但是除了登陸註冊之外,其他的地方都不適合放驗證碼,因爲降低了網站易用性
相關介紹:
http://baike.baidu.com/view/1609487.htm?fr=aladdin
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
spring-security中csrf防禦原理
在web應用中增加前置過濾器,對需要驗證的請求驗證是否包含csrf的token信息,如果不包含,則報錯。這樣攻擊網站無法獲取到token信息,則跨域提交的信息都無法通過過濾器的校驗。
看一下CsrfFilter的源碼就很好理解了
- // 先從tokenRepository中加載token
- CsrfToken csrfToken = tokenRepository.loadToken(request);
- final boolean missingToken = csrfToken == null;
- // 如果爲空,則tokenRepository生成新的token,並保存到tokenRepository中
- if(missingToken) {
- CsrfToken generatedToken = tokenRepository.generateToken(request);
- // 默認的SaveOnAccessCsrfToken方法,記錄tokenRepository,
- // tokenRepository,response,獲取token時先將token同步保存到tokenRepository中
- csrfToken = new SaveOnAccessCsrfToken(tokenRepository, request, response, generatedToken);
- }
- // 將token寫入request的attribute中,方便頁面上使用
- request.setAttribute(CsrfToken.class.getName(), csrfToken);
- request.setAttribute(csrfToken.getParameterName(), csrfToken);
- // 如果不需要csrf驗證的請求,則直接下傳請求(requireCsrfProtectionMatcher是默認的對象,對符合^(GET|HEAD|TRACE|OPTIONS)$的請求不驗證)
- if(!requireCsrfProtectionMatcher.matches(request)) {
- filterChain.doFilter(request, response);
- return;
- }
- // 從用戶請求中獲取token信息
- String actualToken = request.getHeader(csrfToken.getHeaderName());
- if(actualToken == null) {
- actualToken = request.getParameter(csrfToken.getParameterName());
- }
- // 驗證,如果相同,則下傳請求,如果不同,則拋出異常
- if(!csrfToken.getToken().equals(actualToken)) {
- if(logger.isDebugEnabled()) {
- logger.debug("Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request));
- }
- if(missingToken) {
- accessDeniedHandler.handle(request, response, new MissingCsrfTokenException(actualToken));
- } else {
- accessDeniedHandler.handle(request, response, new InvalidCsrfTokenException(csrfToken, actualToken));
- }
- return;
- }
- filterChain.doFilter(request, response);
使用樣例
在web.xml中增加spring的過濾器代理
在spring的配置文件中增加過濾器
- <bean id="csrfFilter" class="org.springframework.security.web.csrf.CsrfFilter">
- <constructor-arg>
- <span style="font-family: Arial, Helvetica, sans-serif;"><!--</span><pre name="code" class="html">HttpSessionCsrfTokenRepository是把token放到session中來存取
- <bean class="org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository"/>
- </constructor-arg>
- </bean>
- <!--
- 如果用的是spring mvc 的form標籤,則配置此項時自動將crsf的token放入到一個hidden的input中,而不需要開發人員顯式的寫入form
- -->
- <bean id="requestDataValueProcessor" class="org.springframework.security.web.servlet.support.csrf.CsrfRequestDataValueProcessor"/>
首先獲取token
- <meta name="_csrf" content="${_csrf.token}"/>
- <meta name="_csrf_header" content="${_csrf.headerName}"/>
然後在發送請求之前將token放入header中(或者form表單中)
- var token = $("meta[name='_csrf']").attr("content");
- var header = $("meta[name='_csrf_header']").attr("content");
- $(document).ajaxSend(function(e, xhr, options) {
- xhr.setRequestHeader(header, token);
- });