国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

使用SpringSecurity處理CSRF攻擊

Yumenokanata / 1029人閱讀

摘要:漏洞現(xiàn)狀跨站請求偽造,也被稱為或者,通常縮寫為或,是一種對網(wǎng)站的惡意利用。與攻擊相比,攻擊往往不大流行因此對其進行防范的資源也相當稀少和難以防范,所以被認為比更具危險性。是一種依賴瀏覽器的被混淆過的代理人攻擊。

CSRF漏洞現(xiàn)狀

CSRF(Cross-site request forgery)跨站請求偽造,也被稱為One Click Attack或者Session Riding,通常縮寫為CSRFXSRF,是一種對網(wǎng)站的惡意利用。盡管聽起來像跨站腳本(XSS),但它與XSS非常不同,XSS利用站點內(nèi)的信任用戶,而CSRF則通過偽裝成受信任用戶的請求來利用受信任的網(wǎng)站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防范的資源也相當稀少)和難以防范,所以被認為比XSS更具危險性。
CSRF是一種依賴web瀏覽器的、被混淆過的代理人攻擊(deputy attack)。

POM依賴


  org.springframework.boot
  spring-boot-starter-freemarker



  org.springframework.security
  spring-security-web
配置過濾器
@SpringBootApplication
public class Application {

  public static void main(String[] args) {
    SpringApplication.run(Application.class, args);
  }
  
  /**
   * 配置CSRF過濾器
   *
   * @return {@link org.springframework.boot.web.servlet.FilterRegistrationBean}
   */
  @Bean
  public FilterRegistrationBean csrfFilter() {
    FilterRegistrationBean registration = new FilterRegistrationBean<>();
    registration.setFilter(new CsrfFilter(new HttpSessionCsrfTokenRepository()));
    registration.addUrlPatterns("/*");
    registration.setName("csrfFilter");
    return registration;
  }
}
在form請求中添加CSRF的隱藏字段
在AJAX請求中添加header頭
xhr.setRequestHeader("${_csrf.headerName}", "${_csrf.token}");
jQuery的Ajax全局配置
jQuery.ajaxSetup({
  "beforeSend": function (request) {
    request.setRequestHeader("${_csrf.headerName}", "${_csrf.token}");
  }
});

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/73570.html

相關(guān)文章

  • SpringBoot+SpringSecurity+jwt整合及初體驗

    摘要:進行下一項配置,為了區(qū)分必須加入。另起一行,以示尊重。這行代碼主要是用于驗證,后面再說。然后跑下接口,發(fā)現(xiàn)沒問題,正常打印,說明主體也在上下文中了。說明這會上下文環(huán)境中我們主體不存在。所說以,主體數(shù)據(jù)生命周期是一次請求。 showImg(https://segmentfault.com/img/bVbtoG1?w=1600&h=900); 原來一直使用shiro做安全框架,配置起來相當...

    dackel 評論0 收藏0
  • SpringSecurity系列02】SpringSecurity 表單認證邏輯源碼解讀

    摘要:通過上面我們知道對于表單登錄的認證請求是交給了處理的,那么具體的認證流程如下從上圖可知,繼承于抽象類。中維護這一個對象列表,通過遍歷判斷并且最后選擇對象來完成最后的認證。發(fā)布一個登錄事件。 概要 前面一節(jié),通過簡單配置即可實現(xiàn)SpringSecurity表單認證功能,而今天這一節(jié)將通過閱讀源碼的形式來學(xué)習(xí)SpringSecurity是如何實現(xiàn)這些功能, 前方高能預(yù)警,本篇分析源碼篇幅較...

    zzir 評論0 收藏0
  • 前后端分離項目 — 基于SpringSecurity OAuth2.0用戶認證

    摘要:前言現(xiàn)在的好多項目都是基于移動端以及前后端分離的項目,之前基于的前后端放到一起的項目已經(jīng)慢慢失寵并淡出我們視線,尤其是當基于的微服務(wù)架構(gòu)以及單頁面應(yīng)用流行起來后,情況更甚。使用生成是什么請自行百度。 1、前言 現(xiàn)在的好多項目都是基于APP移動端以及前后端分離的項目,之前基于Session的前后端放到一起的項目已經(jīng)慢慢失寵并淡出我們視線,尤其是當基于SpringCloud的微服務(wù)架構(gòu)以及...

    QLQ 評論0 收藏0

發(fā)表評論

0條評論

閱讀需要支付1元查看
<