CSRF 保护 - CSRF 原理 - 防止跨站请求伪造

一、引言

在当今的 Web 应用开发中，安全性是至关重要的一个方面。跨站请求伪造（Cross - Site Request Forgery，简称 CSRF）是一种常见的 Web 攻击方式，它会对用户的账户安全和数据造成严重威胁。Spring 框架为我们提供了强大的 CSRF 保护机制，本文将深入探讨 CSRF 的原理以及如何在 Spring 中实现 CSRF 保护。

二、CSRF 原理

2.1 什么是 CSRF

CSRF 是一种攻击，攻击者通过诱导用户在已登录的 Web 应用中执行恶意操作。攻击者利用了用户在浏览器中已经登录的会话，使得用户在不知情的情况下向目标网站发送恶意请求。例如，用户在登录了自己的银行账户后，访问了一个恶意网站，该网站可能会在用户不知情的情况下向银行网站发送转账请求。

2.2 CSRF 攻击的流程

下面通过一个简单的例子来说明 CSRF 攻击的流程：

用户登录了目标网站 A，浏览器会保存与网站 A 相关的会话信息（如 Cookie）。
用户在未注销网站 A 的情况下，访问了恶意网站 B。
恶意网站 B 中包含一个指向网站 A 的恶意请求，例如一个隐藏的表单或一个自动执行的脚本。
当用户访问恶意网站 B 时，浏览器会自动携带与网站 A 相关的会话信息（如 Cookie）向网站 A 发送恶意请求，网站 A 会认为该请求是用户正常发起的，从而执行恶意操作。

2.3 CSRF 攻击的条件

用户已经登录了目标网站，并且浏览器保存了有效的会话信息。
目标网站没有对请求的来源进行有效的验证。

三、Spring 中的 CSRF 保护

3.1 Spring Security 开启 CSRF 保护

Spring Security 默认开启了 CSRF 保护。下面是一个简单的 Spring Boot 项目中配置 Spring Security 的示例：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;
@Configuration
public class SecurityConfig {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
          .csrf().and()
          .authorizeRequests()
              .anyRequest().authenticated()
              .and()
          .formLogin();
        return http.build();
    }
}

在上述代码中，csrf().and() 表示开启 CSRF 保护。

3.2 表单提交时包含 CSRF 令牌

当 CSRF 保护开启后，Spring 会为每个表单生成一个 CSRF 令牌。在表单中需要包含这个令牌，否则请求会被拒绝。下面是一个简单的 HTML 表单示例：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>CSRF Example</title>
</head>
<body>
    <form action="/submit" method="post">
        <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}">
        <input type="text" name="message" placeholder="Enter a message">
        <input type="submit" value="Submit">
    </form>
</body>
</html>

在上述代码中，${_csrf.parameterName} 和 ${_csrf.token} 是 Spring 提供的表达式，用于获取 CSRF 令牌的参数名和值。

3.3 非表单请求（如 AJAX 请求）处理 CSRF 令牌

对于非表单请求，如 AJAX 请求，需要手动设置 CSRF 令牌。下面是一个使用 jQuery 发送 AJAX 请求的示例：

$(document).ready(function() {
    var csrfHeader = $('meta[name="_csrf_header"]').attr('content');
    var csrfToken = $('meta[name="_csrf"]').attr('content');
    $.ajax({
        url: '/submit',
        type: 'POST',
        headers: {
            [csrfHeader]: csrfToken
        },
        data: {
            message: 'Hello, World!'
        },
        success: function(response) {
            console.log(response);
        },
        error: function(error) {
            console.log(error);
        }
    });
});

在 HTML 页面中需要添加以下元标签：

<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>

四、总结

要点	详情
CSRF 原理	攻击者利用用户已登录的会话，诱导用户向目标网站发送恶意请求
Spring CSRF 保护	默认开启，表单提交需包含 CSRF 令牌，非表单请求需手动设置
防御措施	开启 CSRF 保护，验证请求来源，使用验证码等

通过以上的介绍，我们了解了 CSRF 的原理以及如何在 Spring 中实现 CSRF 保护。在开发 Web 应用时，一定要重视 CSRF 攻击的防范，确保用户的账户安全和数据安全。