我对 Spring 的CSRF(跨站点请求伪造)保护不感到困惑。不,我有我的jsp, Controller 和Web服务。我想做的是在Web服务级别上验证 token ,如果 token 匹配,请运行Web服务(在我的情况下,请执行db insert)
JSP文件
<form:input type="text" class="form-control" path="mName" />
<input type="hidden" name="${_csrf.parameterName}"
value="${_csrf.token}" />
<div class="form-action">
<input type="submit" value="Save" class="btn btn-primary" />
</div>
</form:form>
我也插入了隐藏标签。现在,我应该怎么做才能验证此 token 。我在那儿迷路了。
在 Controller 类中,我将值从表单获取到对象,然后调用Web服务来保存数据
@RequestMapping(method = RequestMethod.POST)
public String processForm(@ModelAttribute(value = "userForm") @Valid UserForm userForm, BindingResult result, ModelMap model) {
//call the web service
}
最佳答案
OWASP Enterprise Security API有一个非常好的选择,可以提供针对CSRF的可靠保护。 CSRF实际上很容易解决。 OWASP ESAPI提供了实现CSRF保护的规范,如下所示。
这是在默认的ESAPI实现中完成的,它存储为User对象的成员变量,该成员变量存储在session中。
/this code is in the DefaultUser implementation of ESAPI
/** This user's CSRF token. */
private String csrfToken = resetCSRFToken();
...
public String resetCSRFToken() {
csrfToken = ESAPI.randomizer().getRandomString(8, DefaultEncoder.CHAR_ALPHANUMERICS);
return csrfToken;
}
对于将要呈现的,需要CSRF保护的所有网址,都应调用下面的
addCSRFToken方法。或者,如果您正在创建表单,或者具有另一种呈现URL的技术(例如c:url),那么请确保添加名称为“ctoken”和DefaultHTTPUtilities.getCSRFToken()值的参数或隐藏字段。//from HTTPUtilitiles interface
final static String CSRF_TOKEN_NAME = "ctoken";
//this code is from the DefaultHTTPUtilities implementation in ESAPI
public String addCSRFToken(String href) {
User user = ESAPI.authenticator().getCurrentUser();
if (user.isAnonymous()) {
return href;
}
// if there are already parameters append with &, otherwise append with ?
String token = CSRF_TOKEN_NAME + "=" + user.getCSRFToken();
return href.indexOf( '?') != -1 ? href + "&" + token : href + "?" + token;
}
...
public String getCSRFToken() {
User user = ESAPI.authenticator().getCurrentUser();
if (user == null) return null;
return user.getCSRFToken();
}
确保从
servlet或spring操作或jsf Controller ,或用于处理请求的任何服务器端机制中调用此方法。应在您需要验证CSRF保护的任何请求上调用此方法。请注意,如果 token 不匹配,则认为这是可能的伪造请求。//this code is from the DefaultHTTPUtilities implementation in ESAPI
public void verifyCSRFToken(HttpServletRequest request) throws IntrusionException {
User user = ESAPI.authenticator().getCurrentUser();
// check if user authenticated with this request - no CSRF protection required
if( request.getAttribute(user.getCSRFToken()) != null ) {
return;
}
String token = request.getParameter(CSRF_TOKEN_NAME);
if ( !user.getCSRFToken().equals( token ) ) {
throw new IntrusionException("Authentication failed", "Possibly forged HTTP request without proper CSRF token detected");
}
}
在此步骤中,将调用注销。发生这种情况时,请注意 session 无效,并且当前用户对象被重置为匿名用户,从而删除了对当前用户的引用,并因此删除了csrf token 。
//this code is in the DefaultUser implementation of ESAPI
public void logout() {
ESAPI.httpUtilities().killCookie( ESAPI.currentRequest(), ESAPI.currentResponse(), HTTPUtilities.REMEMBER_TOKEN_COOKIE_NAME );
HttpSession session = ESAPI.currentRequest().getSession(false);
if (session != null) {
removeSession(session);
session.invalidate();
}
ESAPI.httpUtilities().killCookie(ESAPI.currentRequest(), ESAPI.currentResponse(), "JSESSIONID");
loggedIn = false;
logger.info(Logger.SECURITY_SUCCESS, "Logout successful" );
ESAPI.authenticator().setCurrentUser(User.ANONYMOUS);
}
资料来源:http://www.jtmelton.com/2010/05/16/the-owasp-top-ten-and-esapi-part-6-cross-site-request-forgery-csrf/
希望这可以帮助你。
希希尔
关于java - Spring MVC中的CSRF(跨站点请求伪造)保护,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/22555110/