SpringSecurity中的CSRF解读

SpringSecurity中的CSRF解读

从刚开始学习SpringSecurity时，在配置类中一直存在这样一行代码：http.csrfo.disable()

如果没有这行代码导致用户无法被认证。这行代码的含义是：关闭 csrf 防护。

什么是CSRF

CSRF (Cross-site request forgery) 跨站请求伪造，也被称为"OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。

跨域：只要网络协议，ip 地址，端口中任何—个不相同就是跨域请求。

客户端与服务进行交互时，由于 http 协议本身是无状态协议，所以引入了cookie进行记录客户端身份。在cookie中会存放session 用来识别客户端身份的。

在跨域的情况下，session id 可能被第三方恶意劫持，通过这个session id 向服务端发起请求时，服务端会认为这个请求是合法的，可能发生很多意想不到的事情。

那么，究竟什么是跨站请求伪造，面对这个问题我们又该如何应对呢？

从安全的角度来讲，你可以将 CSRF 理解为一种攻击手段，即攻击者盗用了你的身份，然后以你的名义向第三方网站发送恶意请求。我们可以使用如下所示的流程图来描述 CSRF：

具体的流程如下：

• 用户浏览并登录信任的网站 A，通过用户认证后，会在浏览器中生成针对 A 网站的 Cookie(session id)；

• 用户在没有退出网站 A 的情况下访问网站 B，然后网站 B 向网站 A 发起一个请求；

• 用户浏览器根据网站 B 的请求，携带 Cookie 访问网站 A；

• 由于浏览器会自动带上用户的 Cookie，所以网站 A 接收到请求之后会根据用户具备的权限进行访问控制，这样相当于用户本身在访问网站 A，从而网站 B 就达到了模拟用户访问网站 A 的操作过程。

显然，从应用程序开发的角度来讲，CSRF 就是系统的一个安全漏洞，这种安全漏洞也在 Web 开发中广泛存在。

基于 CSRF 的工作流程，进行 CSRF 保护的基本思想就是为系统中的每一个连接请求加上一个随机值，我们称之为 csrf_token。这样，当用户向网站 A 发送请求时，网站 A 在生成的 Cookie 中就会设置一个 csrf_token 值。而在浏览器发送请求时，提交的表单数据中也有一个隐藏的 csrf_token 值，这样网站 A 接收到请求后，一方面从 Cookie 中提取出 csrf_token，另一方面也从表单提交的数据中获取隐藏的 csrf_token，将两者进行比对，如果不一致就代表这就是一个伪造的请求。

详细内容：Spring Security专栏(关于如何实现 CSRF 保护) - 掘金 (juejin.cn)

Spring Security中的CSRF

从Spring Security4开始CSRF防护默认开启。默认会拦截请求。进行CSRF处理，CSRF为了保证不是其他第三方网站访问，要求访问时携带参数名为 _csrf 值为 token(token 在服务端产生) 的内容，如果token和服务端的token匹配成功，则正常访问。

编写控制器方法

编写控制器方法，跳转到 templates 中login.html 页面。