我在春天的CSRF(跨站请求伪造)保护中有点混淆。不,我有我的jsp和我的控制器和一个Web服务。我想要做的是在Web服务级别验证令牌,如果令牌匹配,则运行Web服务(在我的情况下执行数据库插入)
JSP文件
<form:input type="text" class="form-control" path="mName" />
<input type="hidden" name="${_csrf.parameterName}"
value="${_csrf.token}" />
<div class="form-action">
<input type="submit" value="Save" class="btn btn-primary" />
</div>
</form:form>
我也插入了隐藏的标签。现在我该怎么做来验证这个令牌。我在那里迷路了。
在控制器类中,我从表单获取值到对象并调用web ervise来保存数据
@RequestMapping(method = RequestMethod.POST)
public String processForm(@ModelAttribute(value = "userForm") @Valid UserForm userForm, BindingResult result, ModelMap model) {
//call the web service
}
答案 0 :(得分:8)
OWASP Enterprise Security API有一个非常好的选择,可以提供针对CSRF的可靠保护。 CSRF实际上很容易解决。 OWASP ESAPI提供了实施CSRF保护的规范,如下所示。
<强> 1。生成新的CSRF令牌并在登录时将其添加到用户一次,并将用户存储在http会话中。
这是在默认的ESAPI实现中完成的,它存储为User对象的成员变量,该变量存储在session中。
/this code is in the DefaultUser implementation of ESAPI
/** This user's CSRF token. */
private String csrfToken = resetCSRFToken();
...
public String resetCSRFToken() {
csrfToken = ESAPI.randomizer().getRandomString(8, DefaultEncoder.CHAR_ALPHANUMERICS);
return csrfToken;
}
<强> 2。在任何应保护的表单或网址上,将该标记添加为参数/隐藏字段。
对于任何需要CSRF保护的URL,都应该调用下面的addCSRFToken方法。或者,如果您要创建表单或使用其他方式呈现URL(例如c:url),请务必添加名称为“ctoken”的参数或隐藏字段以及值{{ 1}}。
DefaultHTTPUtilities.getCSRFToken()第3。在服务器端,针对这些受保护的操作,检查提交的令牌是否与会话中用户对象的令牌匹配。
确保从//from HTTPUtilitiles interface
final static String CSRF_TOKEN_NAME = "ctoken";
//this code is from the DefaultHTTPUtilities implementation in ESAPI
public String addCSRFToken(String href) {
User user = ESAPI.authenticator().getCurrentUser();
if (user.isAnonymous()) {
return href;
}
// if there are already parameters append with &, otherwise append with ?
String token = CSRF_TOKEN_NAME + "=" + user.getCSRFToken();
return href.indexOf( '?') != -1 ? href + "&" + token : href + "?" + token;
}
...
public String getCSRFToken() {
User user = ESAPI.authenticator().getCurrentUser();
if (user == null) return null;
return user.getCSRFToken();
}
或servlet操作或spring控制器或您用于处理请求的任何服务器端机制调用此方法。这应该在您需要验证CSRF保护的任何请求上调用。请注意,当令牌不匹配时,它被视为可能的伪造请求。
jsf<强> 4。在注销和会话超时时,将从会话中删除用户对象并销毁会话。
在此步骤中,将调用注销。发生这种情况时,请注意会话无效,并将当前用户对象重置为匿名用户,从而删除对当前用户的引用,并相应地删除csrf令牌。
//this code is from the DefaultHTTPUtilities implementation in ESAPI
public void verifyCSRFToken(HttpServletRequest request) throws IntrusionException {
User user = ESAPI.authenticator().getCurrentUser();
// check if user authenticated with this request - no CSRF protection required
if( request.getAttribute(user.getCSRFToken()) != null ) {
return;
}
String token = request.getParameter(CSRF_TOKEN_NAME);
if ( !user.getCSRFToken().equals( token ) ) {
throw new IntrusionException("Authentication failed", "Possibly forged HTTP request without proper CSRF token detected");
}
}
希望这可以帮助你。
Shishir
答案 1 :(得分:2)
显然我使用的是spring security 3.1.4.RELEASE 。在这里你可以手动完成。然后我将其改为 3.2.2.RELEASE 然后我只需要使用
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
请参阅此链接以查看spring security 3.2中的新功能
http://docs.spring.io/spring-security/site/docs/3.2.0.RELEASE/reference/htmlsingle/#new
小心,当你从3.1.4.RELEASE改为3.2.2.RELEASE时,有许多令人困惑的重要因素要做。特别是在 web.xml 和 spring-security.xml 文件
中