要学就学透彻！Spring Security 中 CSRF 防御源码解析

上篇文章松哥和大家聊了什么是 CSRF 攻击，以及 CSRF 攻击要如何防御。主要和大家聊了 Spring Security 中处理该问题的几种办法。

今天松哥来和大家简单的看一下 Spring Security 中，CSRF 防御源码。

本文是本系列第 19 篇，阅读本系列前面文章有助于更好的理解本文：

挖一个大坑，Spring Security 开搞！
松哥手把手带你入门 Spring Security，别再问密码怎么解密了
手把手教你定制 Spring Security 中的表单登录
Spring Security 做前后端分离，咱就别做页面跳转了！统统 JSON 交互
Spring Security 中的授权操作原来这么简单
Spring Security 如何将用户数据存入数据库？
Spring Security+Spring Data Jpa 强强联手，安全管理只有更简单！
Spring Boot + Spring Security 实现自动登录功能
Spring Boot 自动登录，安全风险要怎么控制？
在微服务项目中，Spring Security 比 Shiro 强在哪？
SpringSecurity 自定义认证逻辑的两种方式(高级玩法)
Spring Security 中如何快速查看登录用户 IP 地址等信息？
Spring Security 自动踢掉前一个登录用户，一个配置搞定！
Spring Boot + Vue 前后端分离项目，如何踢掉已登录用户？
Spring Security 自带防火墙！你都不知道自己的系统有多安全！
什么是会话固定攻击？Spring Boot 中要如何防御会话固定攻击？
集群化部署，Spring Security 要如何处理 session 共享？
松哥手把手教你在 SpringBoot 中防御 CSRF 攻击！so easy！

本文主要从两个方面来和大家讲解：

返回给前端的 _csrf 参数是如何生成的。
前端传来的 _csrf 参数是如何校验的。

1.随机字符串生成

我们先来看一下 Spring Security 中的 csrf 参数是如何生成的。

首先，Spring Security 中提供了一个保存 csrf 参数的规范，就是 CsrfToken：

public interface CsrfToken extends Serializable {String getHeaderName();String getParameterName();String getToken();}

这里三个方法都好理解，前两个是获取 _csrf 参数的 key，第三个是获取 _csrf 参数的 value。

CsrfToken 有两个实现类，如下：

默认情况下使用的是 DefaultCsrfToken，我们来稍微看下 DefaultCsrfToken：

public final class DefaultCsrfToken implements CsrfToken {private final String token;private final String parameterName;private final String headerName;public DefaultCsrfToken(String headerName, String parameterName, String token) {this.headerName = headerName;this.parameterName = parameterName;this.token = token;}public String getHeaderName() {return this.headerName;}public String getParameterName() {return this.parameterName;}public String getToken() {return this.token;}
}

这段实现很简单，几乎没有添加额外的方法，就是接口方法的实现。

CsrfToken 相当于就是 _csrf 参数的载体。那么参数是如何生成和保存的呢？这涉及到另外一个类：

public interface CsrfTokenRepository {CsrfToken generateToken(HttpServletRequest request);void saveToken(CsrfToken token, HttpServletRequest request,HttpServletResponse response);CsrfToken loadToken(HttpServletRequest request);
}

这里三个方法：

generateToken 方法就是 CsrfToken 的生成过程。
saveToken 方法就是保存 CsrfToken。
loadToken 则是如何加载 CsrfToken。

CsrfTokenRepository 有四个实现类，在上篇文章中，我们用到了其中两个：HttpSessionCsrfTokenRepository 和 CookieCsrfTokenRepository，其中 HttpSessionCsrfTokenRepository 是默认的方案。

我们先来看下 HttpSessionCsrfTokenRepository 的实现：

public final class HttpSessionCsrfTokenRepository implements CsrfTokenRepository {private static final String DEFAULT_CSRF_PARAMETER_NAME = "_csrf";private static final String DEFAULT_CSRF_HEADER_NAME = "X-CSRF-TOKEN";private static final String DEFAULT_CSRF_TOKEN_ATTR_NAME = HttpSessionCsrfTokenRepository.class.getName().concat(".CSRF_TOKEN");private String parameterName = DEFAULT_CSRF_PARAMETER_NAME;private String headerName = DEFAULT_CSRF_HEADER_NAME;private String sessionAttributeName = DEFAULT_CSRF_TOKEN_ATTR_NAME;public void saveToken(CsrfToken token, HttpServletRequest request,HttpServletResponse response) {if (token == null) {HttpSession session = request.getSession(false);if (session != null) {session.removeAttribute(this.sessionAttributeName);}}else {HttpSession session = request.getSession();session.setAttribute(this.sessionAttributeName, token);}}public CsrfToken loadToken(HttpServletRequest request) {HttpSession session = request.getSession(false);if (session == null) {return null;}return (CsrfToken) session.getAttribute(this.sessionAttributeName);}public CsrfToken generateToken(HttpServletRequest request) {return new DefaultCsrfToken(this.headerName, this.parameterName,createNewToken());}private String createNewToken() {return UUID.randomUUID().toString();}
}

这段源码其实也很好理解：

saveToken 方法将 CsrfToken 保存在 HttpSession 中，将来再从 HttpSession 中取出和前端传来的参数做笔记。
loadToken 方法当然就是从 HttpSession 中读取 CsrfToken 出来。
generateToken 是生成 CsrfToken 的过程，可以看到，生成的默认载体就是 DefaultCsrfToken，而 CsrfToken 的值则通过 createNewToken 方法生成，是一个 UUID 字符串。
在构造 DefaultCsrfToken 是还有两个参数 headerName 和 parameterName，这两个参数是前端保存参数的 key。

这是默认的方案，适用于前后端不分的开发，具体用法可以参考上篇文章。

如果想在前后端分离开发中使用，那就需要 CsrfTokenRepository 的另一个实现类 CookieCsrfTokenRepository ，代码如下：

public final class CookieCsrfTokenRepository implements CsrfTokenRepository {static final String DEFAULT_CSRF_COOKIE_NAME = "XSRF-TOKEN";static final String DEFAULT_CSRF_PARAMETER_NAME = "_csrf";static final String DEFAULT_CSRF_HEADER_NAME = "X-XSRF-TOKEN";private String parameterName = DEFAULT_CSRF_PARAMETER_NAME;private String headerName = DEFAULT_CSRF_HEADER_NAME;private String cookieName = DEFAULT_CSRF_COOKIE_NAME;private boolean cookieHttpOnly = true;private String cookiePath;private String cookieDomain;public CookieCsrfTokenRepository() {}@Overridepublic CsrfToken generateToken(HttpServletRequest request) {return new DefaultCsrfToken(this.headerName, this.parameterName,createNewToken());}@Overridepublic void saveToken(CsrfToken token, HttpServletRequest request,HttpServletResponse response) {String tokenValue = token == null ? "" : token.getToken();Cookie cookie = new Cookie(this.cookieName, tokenValue);cookie.setSecure(request.isSecure());if (this.cookiePath != null && !this.cookiePath.isEmpty()) {cookie.setPath(this.cookiePath);} else {cookie.setPath(this.getRequestContext(request));}if (token == null) {cookie.setMaxAge(0);}else {cookie.setMaxAge(-1);}cookie.setHttpOnly(cookieHttpOnly);if (this.cookieDomain != null && !this.cookieDomain.isEmpty()) {cookie.setDomain(this.cookieDomain);}response.addCookie(cookie);}@Overridepublic CsrfToken loadToken(HttpServletRequest request) {Cookie cookie = WebUtils.getCookie(request, this.cookieName);if (cookie == null) {return null;}String token = cookie.getValue();if (!StringUtils.hasLength(token)) {return null;}return new DefaultCsrfToken(this.headerName, this.parameterName, token);}public static CookieCsrfTokenRepository withHttpOnlyFalse() {CookieCsrfTokenRepository result = new CookieCsrfTokenRepository();result.setCookieHttpOnly(false);return result;}private String createNewToken() {return UUID.randomUUID().toString();}
}

和 HttpSessionCsrfTokenRepository 相比，这里 _csrf 数据保存的时候，都保存到 cookie 中去了，当然读取的时候，也是从 cookie 中读取，其他地方则和 HttpSessionCsrfTokenRepository 是一样的。

OK，这就是我们整个 _csrf 参数生成的过程。

总结一下，就是生成一个 CsrfToken，这个 Token，本质上就是一个 UUID 字符串，然后将这个 Token 保存到 HttpSession 中，或者保存到 Cookie 中，待请求到来时，从 HttpSession 或者 Cookie 中取出来做校验。

2.参数校验

那接下来就是校验了。

校验主要是通过 CsrfFilter 过滤器来进行，我们来看下核心的 doFilterInternal 方法：

protected void doFilterInternal(HttpServletRequest request,HttpServletResponse response, FilterChain filterChain)throws ServletException, IOException {request.setAttribute(HttpServletResponse.class.getName(), response);CsrfToken csrfToken = this.tokenRepository.loadToken(request);final boolean missingToken = csrfToken == null;if (missingToken) {csrfToken = this.tokenRepository.generateToken(request);this.tokenRepository.saveToken(csrfToken, request, response);}request.setAttribute(CsrfToken.class.getName(), csrfToken);request.setAttribute(csrfToken.getParameterName(), csrfToken);if (!this.requireCsrfProtectionMatcher.matches(request)) {filterChain.doFilter(request, response);return;}String actualToken = request.getHeader(csrfToken.getHeaderName());if (actualToken == null) {actualToken = request.getParameter(csrfToken.getParameterName());}if (!csrfToken.getToken().equals(actualToken)) {if (this.logger.isDebugEnabled()) {this.logger.debug("Invalid CSRF token found for "+ UrlUtils.buildFullRequestUrl(request));}if (missingToken) {this.accessDeniedHandler.handle(request, response,new MissingCsrfTokenException(actualToken));}else {this.accessDeniedHandler.handle(request, response,new InvalidCsrfTokenException(csrfToken, actualToken));}return;}filterChain.doFilter(request, response);
}

这个方法我来稍微解释下：

首先调用 tokenRepository.loadToken 方法读取 CsrfToken 出来，这个 tokenRepository 就是你配置的 CsrfTokenRepository 实例，CsrfToken 存在 HttpSession 中，这里就从 HttpSession 中读取，CsrfToken 存在 Cookie 中，这里就从 Cookie 中读取。
如果调用 tokenRepository.loadToken 方法没有加载到 CsrfToken，那说明这个请求可能是第一次发起，则调用 tokenRepository.generateToken 方法生成 CsrfToken ，并调用 tokenRepository.saveToken 方法保存 CsrfToken。
大家注意，这里还调用 request.setAttribute 方法存了一些值进去，这就是默认情况下，我们通过 jsp 或者 thymeleaf 标签渲染 _csrf 的数据来源。
requireCsrfProtectionMatcher.matches 方法则使用用来判断哪些请求方法需要做校验，默认情况下，“GET”, “HEAD”, “TRACE”, “OPTIONS” 方法是不需要校验的。
接下来获取请求中传递来的 CSRF 参数，先从请求头中获取，获取不到再从请求参数中获取。
获取到请求传来的 csrf 参数之后，再和一开始加载到的 csrfToken 做比较，如果不同的话，就抛出异常。

如此之后，就完成了整个校验工作了。

3.LazyCsrfTokenRepository

前面我们说了 CsrfTokenRepository 有四个实现类，除了我们介绍的两个之外，还有一个 LazyCsrfTokenRepository，这里松哥也和大家做一个简单介绍。

在前面的 CsrfFilter 中大家发现，对于常见的 GET 请求实际上是不需要 CSRF 攻击校验的，但是，每当 GET 请求到来时，下面这段代码都会执行：

if (missingToken) {csrfToken = this.tokenRepository.generateToken(request);this.tokenRepository.saveToken(csrfToken, request, response);
}

生成 CsrfToken 并保存，但实际上却没什么用，因为 GET 请求不需要 CSRF 攻击校验。

所以，Spring Security 官方又推出了 LazyCsrfTokenRepository。

LazyCsrfTokenRepository 实际上不能算是一个真正的 CsrfTokenRepository，它是一个代理，可以用来增强 HttpSessionCsrfTokenRepository 或者 CookieCsrfTokenRepository 的功能：

public final class LazyCsrfTokenRepository implements CsrfTokenRepository {@Overridepublic CsrfToken generateToken(HttpServletRequest request) {return wrap(request, this.delegate.generateToken(request));}@Overridepublic void saveToken(CsrfToken token, HttpServletRequest request,HttpServletResponse response) {if (token == null) {this.delegate.saveToken(token, request, response);}}@Overridepublic CsrfToken loadToken(HttpServletRequest request) {return this.delegate.loadToken(request);}private CsrfToken wrap(HttpServletRequest request, CsrfToken token) {HttpServletResponse response = getResponse(request);return new SaveOnAccessCsrfToken(this.delegate, request, response, token);}private static final class SaveOnAccessCsrfToken implements CsrfToken {private transient CsrfTokenRepository tokenRepository;private transient HttpServletRequest request;private transient HttpServletResponse response;private final CsrfToken delegate;SaveOnAccessCsrfToken(CsrfTokenRepository tokenRepository,HttpServletRequest request, HttpServletResponse response,CsrfToken delegate) {this.tokenRepository = tokenRepository;this.request = request;this.response = response;this.delegate = delegate;}@Overridepublic String getToken() {saveTokenIfNecessary();return this.delegate.getToken();}private void saveTokenIfNecessary() {if (this.tokenRepository == null) {return;}synchronized (this) {if (this.tokenRepository != null) {this.tokenRepository.saveToken(this.delegate, this.request,this.response);this.tokenRepository = null;this.request = null;this.response = null;}}}}
}

这里，我说三点：

generateToken 方法，该方法用来生成 CsrfToken，默认 CsrfToken 的载体是 DefaultCsrfToken，现在换成了 SaveOnAccessCsrfToken。
SaveOnAccessCsrfToken 和 DefaultCsrfToken 并没有太大区别，主要是 getToken 方法有区别，在 SaveOnAccessCsrfToken 中，当开发者调用 getToken 想要去获取 csrfToken 时，才会去对 csrfToken 做保存操作（调用 HttpSessionCsrfTokenRepository 或者 CookieCsrfTokenRepository 的 saveToken 方法）。
LazyCsrfTokenRepository 自己的 saveToken 则做了修改，相当于放弃了 saveToken 的功能，调用该方法并不会做保存操作。

使用了 LazyCsrfTokenRepository 之后，只有在使用 csrfToken 时才会去存储它，这样就可以节省存储空间了。

LazyCsrfTokenRepository 的配置方式也很简单，在我们使用 Spring Security 时，如果对 csrf 不做任何配置，默认其实就是 LazyCsrfTokenRepository+HttpSessionCsrfTokenRepository 组合。

当然我们也可以自己配置，如下：

@Override
protected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().anyRequest().authenticated().and().formLogin().loginPage("/login.html").successHandler((req,resp,authentication)->{resp.getWriter().write("success");}).permitAll().and().csrf().csrfTokenRepository(new LazyCsrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()));
}

4.小结

今天主要和小伙伴聊了一下 Spring Security 中 csrf 防御的原理。

整体来说，就是两个思路：

生成 csrfToken 保存在 HttpSession 或者 Cookie 中。
请求到来时，从请求中提取出来 csrfToken，和保存的 csrfToken 做比较，进而判断出当前请求是否合法。

好啦，不知道小伙伴们有没有 GET 到呢？如果觉得有收获，记得点个在看鼓励下松哥哦～

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

OpenCV图像相似度检测，Python实现
OpenCV图像相似度检测，简单的说是大图中找小图，以图找图。假设把大图中的一部分图Android小机器人检测出来并用红色的线框出来。# OpenCV图像相似度检测matchTemplate，Python实现 import cv2 as cvif __name__ == "__main__":# 先把图片灰度处理。img = cv.imread…...
2024/4/27 14:03:58
整理了八个开源的 Spring Boot 学习资源
Spring Boot 算是目前 Java 领域最火的技术栈了，松哥年初出版的《Spring Boot + Vue 全栈开发实战》迄今为止已经加印了多次，Spring Boot 的受欢迎程度可见一斑。今天松哥整理了几个优质 Spring Boot 开源项目给大家参考，希望能够帮助到正在学习 Spring Boot 的小伙伴！ 1.…...
2024/4/23 15:09:12
自定义mvc框架
自定义mvc框架分享文章目录自定义mvc框架分享实现效果图使用工具类程序运行流程总结实现效果图使用工具类程序运行流程 1，发送一个请求跳转到xml配置文件中处理请求进入主控制器拦截到.action进行处理获取到请求路径再获取* 号部分的内容进行截取，根据*查找子控制器将请求委…...
2024/4/27 17:56:40
solr —— 1 全文检索Solr8.0第一部分
solr，毕设啊，快被写完吧1 solr介绍什么是solrLucene 与 Solr 与 ES为什么要用slor2 HelloWorld2.1 项目安装部署2.2 项目安装配置创建核心创建document(表)添加文件查询数据3 solr后台管理页面详解控制面板5 全文检索千万级别数据实战，全面剖析架构设计，大数据瓶颈突破6 数…...
2024/4/27 16:21:48
Git的常用命令
一，.gitignore文件的配置在提交代码的时候，有些东西比如.idea这类本地的文件，是不需要提交到远程的，这个时候，我们就需要进行.gitignore文件的配置 1，在本地克隆仓库 2，进入仓库，创建.gitignore文件：vim .gitignore 3，编辑.gitignore文件 *.aa 忽略以.aa结尾的…...
2024/4/27 14:27:14
iptables 基础知识
文章目录基础概念基本命令--help 参数查看增加删除修改保存规则匹配条件基本匹配条件扩展匹配条件tcp 扩展模块iprange 扩展模块string 扩展模块time 扩展模块state自定义链动作REJECTLOGSNATDNATMASQUERADEREDIRECT 基础概念四张表：raw mangle nat filter当表位于同一个链时…...
2024/4/17 4:17:13
Python if __name__ == __main__的简单理解
通俗来讲，if __name__ == __main__就是实现在程序/模块之间互相调用时声明一个运行界限的功能。程序/模块之间互相调用时if __name__ == __main__之前的语句将被执行，而之后的将被忽略。举个小例子：新建一个py文件，命名为’ t ‘. a = 1 b = 2 if __name__ == __main__:p…...
2024/4/19 11:18:00
OpenCV学习笔记
一、图像的加载、修改、保存图像加载：cv:imread—加载图像文件成文一个Mat对象图像修改：cv:cvtColor—把图像从一个色彩空间转到另一个色彩空间（输入，输出，色彩空间转换）图像保存：imwrite 创建openCV窗口：nameWindow 图像显示到窗口：imshow二、矩阵的掩膜操作获取像…...
2024/4/27 16:44:07
我的码农时代
我的码农时代大学期间敲代码经常给我带来小小的收获感，因此我逐渐喜欢上了编程。由于是机械大类专业，我的第一份工作是一个汽车制造企业的研发岗。但是工作后我的脑海里时常会浮现出自己代码运行成功后的喜悦，最后我决定追寻我内心深处的想法，现在我将以我内心的的这份炽热…...
2024/4/27 14:32:23
使用python批量解压7z格式压缩包
最近下载了许多7z格式的压缩包，但又不想一个个单独的去解压，所以便百度了下python解压压缩包的方法，常见的有导入zipfile模块，我这里用的是使用系统的cmd命令去调用7-zip软件去进行解压缩。首先到网上下载7-zip软件安装下载地址安装完成后找到安装路径，等下使用cmd命令要…...
2024/4/27 17:25:51
扇型域上的Dirichlet问题 | 分离变量法（七）| 偏微分方程（十九）
求解扇型域上的Dirichlet问题 {Δ2u=0,1<r<e,0<θ<π2u∣r=1=u∣r=e=0u∣θ=0=0,u∣θ=π2=g(r)(15) \begin{cases} \Delta_2u=0, \quad 1<r<e,0<\theta<\frac{\pi}{2} \\ u|_{r=1}=u|_{r=e}=0 \\ u|_{\theta=0}=0, \quad u|_{\theta=\frac{\pi}{2}}=g…...
2024/4/19 11:24:43
volatile可见性禁重排原理以及不保证原子性解决方案，volatile下的双端检锁机制单例模式的原理
先说说并发和并行的区别 1.并发是多个线程同时访问 2.并行是多个方面一起正在做 volatile是Java虚拟机提供的轻量级同步机制三大特性：保证可见性，不保证原子性，禁止指令重排 JMM（java内存模型）高并发系统还是单机版系统（高并发伴随很多问题，不得不研究底层JMM）JMM第一…...
2024/4/17 4:17:13
python基础语法之模块
模块 1.模块化模块化指将一个完整的程序分解为一个一个小模块通过将这些模块足额，来搭建出一个完整的程序2.模块的优点1.方便开发2.方便维护3。模块可以服用3.创建模块在Python中一个py文件就是一个模块在一个模块中引入外部模块可以引入同一个模块多次，单模块的实例只会执行…...
2024/4/23 15:09:12
攻防世界web新手区webshell
打开场景后发现页面上有一句话木马，密码是shell，打开中国蚁剑等扫描工具，添加地址输入密码扫描（以下一蚁剑为例）：添加场景URL（即网址），填写密码：打开，发现有flag的txt文件，打开即得flag：...
2024/4/23 15:09:16
docker 运行portainer
portainer：docker图像化管理工具，提供一个后台管理面板：（1）下载安装： docker run -d -p 9000:9000 --restart=always -v /var/run/docker.sock:/var/run/docker.sock --name prtainer portainer/portainer2.界面查看...
2024/4/23 15:09:10
【Learning】《项目管理》相关基础工具
工具格式将随具体业务及实际应用场景调整一、项目限制三角形成本、进度、质量二、工作陈述模板项目工作陈述书说明项目名称项目目的为什么要做这个项目？项目目标及衡量标准项目实现的目标是什么？（目标要符合SMART原则）项目范围必须做什么——需要哪些工作？是否有相…...
2024/4/25 21:31:24
linux服务器部署SpringBoot项目并查看项目运行日志
在Linux服务器上部署SpringBoot项目: 1.首先将SpringBoot项目打包成JAR包,通过xFTP或者其他工具将JAR包上传到Linux上,然后执行如下命令启动项目: java -jar xxx.jar & 该命令启动jar,一旦Xshell窗口关闭,JAR就停止运行了. 如果想让项目在后台一直运行,通过如下命令启动JAR…...
2024/4/23 15:09:12
我的shiro自白-2
一. Shiro 集成 Web 可以参考http://shiro.apache.org/web.html 实例代码可参考这里新建maven项目上边使用webapp是开发maven下的jsp项目，需要修改JRE到1.8。webapp/下就是存放jsp等静态网络资源的地方。pom.xml配置如下：<project xmlns="http://maven.apache.org/PO…...
2024/4/23 15:09:07
通用分页
通用分页核心思路通用分页核心思路将上一次查询请求再发一次，只不过页码变了PageBean 分页三要素 page 页码视图层传递过来 rows 页大小视图层传递过来 total 总记录数后台查出来 pagination 是否分页视图层传递过来后台 2.1 en…...
2024/4/23 15:09:10
Maven之pom.xml配置文件详解
一、什么是pom pom代表项目对象模型，它是Maven中工作的基本组成单位。它是一个XML文件，始终保存在项目的基本目录中的pom.xml文件中。pom包含的对象是使用maven来构建的，pom.xml文件包含了项目的各种配置信息。创建一个POM之前，应该要先决定项目组(groupId)，项目名(artif…...
2024/4/23 15:09:09

要学就学透彻！Spring Security 中 CSRF 防御源码解析

1.随机字符串生成

2.参数校验

3.LazyCsrfTokenRepository

4.小结

相关文章

最新文章