国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

spring security安全防護

tuantuan / 530人閱讀

摘要:發現無效后,會返回一個的訪問拒絕,不過可以通過配置類處理異常來定制行為。惡意用戶可能提交一個有效的文件,并使用它執行攻擊。默認是禁止進行嗅探的。

前言

xss攻擊(跨站腳本攻擊):攻擊者在頁面里插入惡意腳本代碼,用戶瀏覽該頁面時,腳本代碼就會執行,達到攻擊者的目的。原理就是:攻擊者對含有漏洞的服務器注入惡意代碼,引誘用戶瀏覽受到攻擊的服務器,并打開相關頁面,執行惡意代碼。
xss攻擊方式:一、反射性攻擊,腳本代碼作為url參數提交給服務器,服務器解析執行后,將腳本代碼返回給瀏覽器,最后瀏覽器解析執行攻擊代碼;二、存儲性攻擊,和發射性攻擊的區別是,腳本代碼存儲在服務器,下次在請求時,不用再提交腳本代碼。其中一個示例圖如下所示:

CSRF攻擊:跨站請求偽造攻擊,CSRF是一種欺騙受害者提交惡意請求的攻擊,并劫持受害者的身份和特權,并以受害者的身份訪問未授權的信息和功能。序列圖如下所示:

同步器Token

解決XSS攻擊和CSRF攻擊的一個推薦方法就是同步器Token,就是在post的請求中,增加一個token,每次請求到來,服務器都會驗證請求中的token和服務器期望的值是否一致,如果不一致,服務器將請求視為非法的,整個過程的示例圖如下所示:

在spring security中如果使用的是 @EnableWebMvcSecurity而不是@EnableWebSecurity,同步器Token是默認打開的,通過http().csrf().disable()可以關閉同步器token功能。spring security發現token無效后,會返回一個403的訪問拒絕,不過可以通過配置AccessDeniedHandler類處理InvalidCsrfTokenException異常來定制行為。

spring security雖然默認是打開同步器token保護的,但是也提供了一個顯示打開的行為即http().csrf(),同時需要在html的form表單中添加以“

如果請求的是json或ajax請求,如何使用同步器token防護那?
json請求的話,我們可以在header的元數據中添加token防護,代碼如下所示:





...

ajax請求的話,可是使用如下代碼:

$(function () {
var token = $("meta[name="_csrf"]").attr("content");
var header = $("meta[name="_csrf_header"]").attr("content");
$(document).ajaxSend(function(e, xhr, options) {
xhr.setRequestHeader(header, token);
});
});

Synchronizer Token的常見問題
1.超時
因為token是存儲在httpsession中的,所以token存在超時的問題,一旦超時,則配置的accessDeniedHandler將接受一個異常,或者spring security直接拒絕訪問;
2.登錄
為了防止偽造的登錄請求,在登錄的form中也需要添加token,而token又是存儲在HttpSession中,也就是說一旦發現token屬性,就會創建一個HttpSession,這和無狀態架構模式可能會產生一些沖突;
3.注銷
添加CSRF將更新LogoutFilter過濾器,使其只使用HTTP POST。這確保了注銷需要一個CSRF令牌,并且惡意用戶不能強制注銷您的用戶。也就是說,注銷不再是一個get請求,而是一個post請求;

spring security支持的安全response header

spring security 支持的response header 包括:Cache-Control,Content-type options,HTTP Strict Transport Security,X-Frame-Options,X-XSS-Protection 如果你使用的是WebSecurityConfigurerAdapter 配置方式,則這些頭都是默認支持的,你可以通過調用 http.header().disable()關閉這些缺省的頭。當然你也可以多帶帶配置,但是如果你多帶帶配置的話,只有你配置的頭會起作用,其他的頭都不再默認支持了。下面分別來討論一下這些響應header的含義;

Cache-Control
如果不加任何控制,瀏覽器通常會緩存你的認證相關信息,這在一定程度上會造成你的信息泄露,因此在默認情況下,spring security會在響應頭里加入緩存控制如下所示:

Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0

當然你也可以通過 http.header().cacheControl()方法多帶帶打開緩存控制,你也可以通過HttpServletResponse.setHeader(String,String)方法對特殊的響應做處理,從而確保css js 圖片能夠合適地被緩存,在spring mvc中,可以通過配置進行設置,下面的代碼對所有的資源都增加了緩存:

@EnableWebMvc
public class WebMvcConfiguration
     extends WebMvcConfigurerAdapter {
        @Override
        public void addResourceHandlers(
        ResourceHandlerRegistry registry) {
        registry
        .addResourceHandler("/resources/**")
        .addResourceLocations("/resources/")
        .setCachePeriod(3_155_6926);
        }
// ...
}

Content-type Options

歷史上很多很多瀏覽器都能可以通過對請求類型的content進行嗅探,猜測請求類型,從而提高用戶體驗,但是這會帶來XSS攻擊。例如有些站點允許用戶向其提交有效的postScript腳本,并查看他。惡意用戶可能提交一個有效的js文件,并使用它執行XSS攻擊。spring security默認是禁止進行嗅探的。

HTTP Strict Transport Security
當你訪問一個站點是,例如www.baidu.com,省略了https協議,潛在的你會受到中間人攻擊,為了減少這種情況,就是告知瀏覽器,當你輸入某個地址時,應該使用https協議。如何讓瀏覽器該host是一個hsts站點那?其中一種方法就是,增加Strict-Transport-Security 到響應頭中,如下例所示:

Strict-Transport-Security: max-age=31536000 ; includeSubDomains

上述例子告知瀏覽器,該站點在一年內訪問都使用https協議,includeSubDomains說明該站點的子域名也使用https協議訪問。

X-frame-optiont

X-Frame-Options HTTP 響應頭是用來給瀏覽器指示允許一個頁面可否在 ,