摘要:發現無效后,會返回一個的訪問拒絕,不過可以通過配置類處理異常來定制行為。惡意用戶可能提交一個有效的文件,并使用它執行攻擊。默認是禁止進行嗅探的。
前言
xss攻擊(跨站腳本攻擊):攻擊者在頁面里插入惡意腳本代碼,用戶瀏覽該頁面時,腳本代碼就會執行,達到攻擊者的目的。原理就是:攻擊者對含有漏洞的服務器注入惡意代碼,引誘用戶瀏覽受到攻擊的服務器,并打開相關頁面,執行惡意代碼。
xss攻擊方式:一、反射性攻擊,腳本代碼作為url參數提交給服務器,服務器解析執行后,將腳本代碼返回給瀏覽器,最后瀏覽器解析執行攻擊代碼;二、存儲性攻擊,和發射性攻擊的區別是,腳本代碼存儲在服務器,下次在請求時,不用再提交腳本代碼。其中一個示例圖如下所示:
CSRF攻擊:跨站請求偽造攻擊,CSRF是一種欺騙受害者提交惡意請求的攻擊,并劫持受害者的身份和特權,并以受害者的身份訪問未授權的信息和功能。序列圖如下所示:
解決XSS攻擊和CSRF攻擊的一個推薦方法就是同步器Token,就是在post的請求中,增加一個token,每次請求到來,服務器都會驗證請求中的token和服務器期望的值是否一致,如果不一致,服務器將請求視為非法的,整個過程的示例圖如下所示:
在spring security中如果使用的是 @EnableWebMvcSecurity而不是@EnableWebSecurity,同步器Token是默認打開的,通過http().csrf().disable()可以關閉同步器token功能。spring security發現token無效后,會返回一個403的訪問拒絕,不過可以通過配置AccessDeniedHandler類處理InvalidCsrfTokenException異常來定制行為。
spring security雖然默認是打開同步器token保護的,但是也提供了一個顯示打開的行為即http().csrf(),同時需要在html的form表單中添加以“”
如果請求的是json或ajax請求,如何使用同步器token防護那?
json請求的話,我們可以在header的元數據中添加token防護,代碼如下所示:
...
ajax請求的話,可是使用如下代碼:
$(function () { var token = $("meta[name="_csrf"]").attr("content"); var header = $("meta[name="_csrf_header"]").attr("content"); $(document).ajaxSend(function(e, xhr, options) { xhr.setRequestHeader(header, token); }); });
Synchronizer Token的常見問題
1.超時
因為token是存儲在httpsession中的,所以token存在超時的問題,一旦超時,則配置的accessDeniedHandler將接受一個異常,或者spring security直接拒絕訪問;
2.登錄
為了防止偽造的登錄請求,在登錄的form中也需要添加token,而token又是存儲在HttpSession中,也就是說一旦發現token屬性,就會創建一個HttpSession,這和無狀態架構模式可能會產生一些沖突;
3.注銷
添加CSRF將更新LogoutFilter過濾器,使其只使用HTTP POST。這確保了注銷需要一個CSRF令牌,并且惡意用戶不能強制注銷您的用戶。也就是說,注銷不再是一個get請求,而是一個post請求;
spring security 支持的response header 包括:Cache-Control,Content-type options,HTTP Strict Transport Security,X-Frame-Options,X-XSS-Protection 如果你使用的是WebSecurityConfigurerAdapter 配置方式,則這些頭都是默認支持的,你可以通過調用 http.header().disable()關閉這些缺省的頭。當然你也可以多帶帶配置,但是如果你多帶帶配置的話,只有你配置的頭會起作用,其他的頭都不再默認支持了。下面分別來討論一下這些響應header的含義;
Cache-Control
如果不加任何控制,瀏覽器通常會緩存你的認證相關信息,這在一定程度上會造成你的信息泄露,因此在默認情況下,spring security會在響應頭里加入緩存控制如下所示:
Cache-Control: no-cache, no-store, max-age=0, must-revalidate Pragma: no-cache Expires: 0
當然你也可以通過 http.header().cacheControl()方法多帶帶打開緩存控制,你也可以通過HttpServletResponse.setHeader(String,String)方法對特殊的響應做處理,從而確保css js 圖片能夠合適地被緩存,在spring mvc中,可以通過配置進行設置,下面的代碼對所有的資源都增加了緩存:
@EnableWebMvc public class WebMvcConfiguration extends WebMvcConfigurerAdapter { @Override public void addResourceHandlers( ResourceHandlerRegistry registry) { registry .addResourceHandler("/resources/**") .addResourceLocations("/resources/") .setCachePeriod(3_155_6926); } // ... }
Content-type Options
歷史上很多很多瀏覽器都能可以通過對請求類型的content進行嗅探,猜測請求類型,從而提高用戶體驗,但是這會帶來XSS攻擊。例如有些站點允許用戶向其提交有效的postScript腳本,并查看他。惡意用戶可能提交一個有效的js文件,并使用它執行XSS攻擊。spring security默認是禁止進行嗅探的。
HTTP Strict Transport Security
當你訪問一個站點是,例如www.baidu.com,省略了https協議,潛在的你會受到中間人攻擊,為了減少這種情況,就是告知瀏覽器,當你輸入某個地址時,應該使用https協議。如何讓瀏覽器該host是一個hsts站點那?其中一種方法就是,增加Strict-Transport-Security 到響應頭中,如下例所示:
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
上述例子告知瀏覽器,該站點在一年內訪問都使用https協議,includeSubDomains說明該站點的子域名也使用https協議訪問。
X-frame-optiont
X-Frame-Options HTTP 響應頭是用來給瀏覽器指示允許一個頁面可否在 ,
Customer HeaderSpring Security有一些機制,可以方便地向應用程序添加更常見的安全頭。但是,它還提供了允許添加自定義頭的鉤子。有時,您希望將自定義安全頭插入到您的應用程序中,而該特性并沒有被支持。例如,您可能希望盡早支持內容安全策略,以確保資源只能從相同的源加載。由于對內容安全策略的支持還沒有最終確定,瀏覽器使用兩個常見的擴展頭之一來實現這個特性。這意味著我們將需要注入兩次策略。下面的代碼片段中可以看到一個頭的示例:
X-Content-Security-Policy: default-src "self" X-WebKit-CSP: default-src "self" @Override protected void configure(HttpSecurity http) throws Exception { http.headers() .addHeaderWriter( new StaticHeadersWriter( "X-Content-Security-Policy", "default-src "self"")) .addHeaderWriter( new StaticHeadersWriter( "X-WebKit-CSP", "default-src "self"")); }
當名稱空間或Java配置不支持您想要的頭部時,您可以創建一個自定義的HeadersWriter實例,甚至可以提供HeadersWriter的自定義實現。讓我們看一個使用XFrameOptionsHeaderWriter的自定義實例的示例。也許您希望允許為相同的起源構建內容框架。將策略屬性設置為SAMEORIGIN很容易支持這一點:
@Override protected void configure(HttpSecurity http) throws Exception { http.headers() .addHeaderWriter( new XFrameOptionsHeaderWriter( XFrameOptionsMode.SAMEORIGIN)); }
有時,您可能只想為某些請求編寫一個header。例如,您可能只想保護您的登錄頁面。您可以使用DelegatingRequestMatcherHeaderWriter類來這樣做。
@Override protected void configure(HttpSecurity http) throws Exception { DelegatingRequestMatcherHeaderWriter headerWriter = new DelegatingRequestMatcherHeaderWriter( new AntPathRequestMatcher("/login"), new XFrameOptionsHeaderWriter()); http.headers() .addHeaderWriter(headerWriter); }
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/76509.html
摘要:用于發布身份驗證事件的。導入用于安全,配置身份驗證,這在非應用程序中也是相關的。安全出于安全考慮,除和之外的所有默認禁用,屬性可用于啟用。有關保護的其他信息可以在參考指南中找到。 28. 安全 如果在類路徑上有Spring Security,那么web應用程序默認是安全的,Spring Boot依賴Spring Security的內容協商策略來決定是使用httpBasic還是formL...
摘要:框架具有輕便,開源的優點,所以本譯見構建用戶管理微服務五使用令牌和來實現身份驗證往期譯見系列文章在賬號分享中持續連載,敬請查看在往期譯見系列的文章中,我們已經建立了業務邏輯數據訪問層和前端控制器但是忽略了對身份進行驗證。 重拾后端之Spring Boot(四):使用JWT和Spring Security保護REST API 重拾后端之Spring Boot(一):REST API的搭建...
摘要:框架入門簡介是一個能夠為基于的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。 1.Spring Security框架入門 1.1 Spring Security簡介 Spring Security是一個能夠為基于Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(...
摘要:一旦最基本的應用創建好了,你可以給他加上安全防護。一旦成功登出了,我們的應用程序重定向到到并顯示相應的登陸成功的消息。這標記該應用程序是一個應用程序,并激活一些關鍵行為,比如創建一個。一旦應用程序啟動,用瀏覽器訪問。 原網頁 https://spring.io/guides/gs/securing-web/ 本指南將引導您完成創建一個資源由Spring Security的保護的一個簡單...
摘要:啟用安全性這個簡單的默認配置指定了如何保護請求,以及客戶端認證用戶的方案。基于數據庫進行認證用戶數據通常會存儲在關系型數據庫中,并通過進行訪問。必須經過認證其他所有請求都是允許的,不需要認證。要求用戶不僅需要認證,還要具備權限。 Spring Security Spring Security 是基于Spring 應用程序提供的聲明式安全保護的安全框架。Spring Sercurity ...
摘要:截至年月日,將網站標記為不安全。管理密碼使用密碼哈希以純文本格式存儲密碼是最糟糕的事情之一。是中密碼哈希的主要接口,如下所示提供了幾種實現,最受歡迎的是和。 Spring Boot大大簡化了Spring應用程序的開發。它的自動配置和啟動依賴大大減少了開始一個應用所需的代碼和配置量,如果你已經習慣了Spring和大量XML配置,Spring Boot無疑是一股清新的空氣。 Spring ...
閱讀 2372·2021-11-24 10:31
閱讀 3427·2021-11-23 09:51
閱讀 2239·2021-11-15 18:11
閱讀 2387·2021-09-02 15:15
閱讀 2452·2019-08-29 17:02
閱讀 2285·2019-08-29 15:04
閱讀 831·2019-08-29 12:27
閱讀 2853·2019-08-28 18:15