当前位置：首页 > news >正文

Spring （33）CSRF（跨站请求伪造）保护

news 2026/5/22 12:59:34

跨站请求伪造（CSRF）是一种常见的网络攻击手段，它允许攻击者在不知情的用户浏览器中发起恶意请求。这种攻击利用了网站对用户浏览器的信任。如果用户在浏览器中已经登录了一个网站，攻击者就可以构造一个请求，这个请求能够利用用户的登录状态在该网站上执行未授权的操作。

CSRF保护机制

为了防御CSRF攻击，网站需要确保它们只接受那些明确意图发起的请求。一种常见的防御手段是使用CSRF令牌（也称为CSRF令牌）。这个令牌是一个随机值，服务器在渲染表单时生成并包含在表单中，随后，任何对服务器的请求都需要包含这个令牌。由于攻击者无法访问这个令牌，他们构造的恶意请求将会失败。

Spring Security中的CSRF保护

Spring Security 提供了内置的CSRF保护机制。默认情况下，它会为所有的POST、PUT、PATCH和DELETE请求启用CSRF保护。它通过CsrfFilter过滤器实现这一功能。

CsrfFilter工作原理

当CsrfFilter激活时，它会在每个请求上执行以下操作：

检查CSRF令牌：如果请求是一个需要被保护的HTTP方法（例如POST），它会检查请求中是否含有有效的CSRF令牌。
生成和存储CSRF令牌：对于每个新的会话，CsrfFilter会生成一个新的CSRF令牌，并在服务器端存储这个令牌。令牌也会被发送到客户端，通常是作为一个表单的隐藏字段。
验证CSRF令牌：当用户提交一个表单时，客户端发送的令牌必须与服务器端存储的令牌匹配。如果令牌不匹配，请求将被拒绝。

CSRF保护的配置

在Spring Security配置中，默认已经启用了CSRF保护。但是，你可以按需修改或禁用这一功能。以下是一个示例，展示如何在Spring Security配置中自定义CSRF保护：

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http// 其他配置....csrf(csrf -> csrf.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()));// 此配置使用了基于Cookie的CSRF令牌存储策略，并将CSRF令牌作为一个JavaScript可访问的cookie发送给客户端。}
}

生成和验证CSRF令牌的源码解析

CsrfFilter类是Spring Security中处理CSRF保护逻辑的关键。在源码层面，CsrfFilter会使用一个CsrfTokenRepository来存储CSRF令牌。默认情况下，使用的是HttpSessionCsrfTokenRepository，但你可以通过配置改变这一行为。

当处理请求时，CsrfFilter会调用CsrfTokenRepository来加载当前的CSRF令牌，检查请求中的令牌是否与之匹配。匹配逻辑主要在CsrfFilter的doFilterInternal方法中实现：

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)throws ServletException, IOException {CsrfToken csrfToken = this.tokenRepository.loadToken(request);final boolean missingToken = csrfToken == null;if (missingToken) {csrfToken = this.tokenRepository.generateToken(request);this.tokenRepository.saveToken(csrfToken, request, response);}request.setAttribute(CsrfToken.class.getName(), csrfToken);request.setAttribute(csrfToken.getParameterName(), csrfToken);if (!this.requireCsrfProtectionMatcher.matches(request)) {filterChain.doFilter(request, response);return;}String actualToken = request.getHeader(csrfToken.getHeaderName());if (!csrfToken.getToken().equals(actualToken)) {if (this.logger.isDebugEnabled()) {this.logger.debug("Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request));}if (missingToken) {this.accessDeniedHandler.handle(request, response, new MissingCsrfTokenException(actualToken));}else {this.accessDeniedHandler.handle(request, response, new InvalidCsrfTokenException(csrfToken, actualToken));}return;}filterChain.doFilter(request, response);
}

从上面的代码可以看出，CsrfFilter首先尝试从存储中加载CSRF令牌。如果没有找到，它会生成一个新的令牌。然后，它检查如果请求需要CSRF保护，请求中的令牌必须与存储中的令牌匹配。

通过这种机制，Spring Security提供了一种强大的方式来自动防御CSRF攻击，同时也提供了足够的灵活性，以适应不同应用的需求。

Spring （33）CSRF（跨站请求伪造）保护

CSRF保护机制

Spring Security中的CSRF保护

CsrfFilter工作原理

CSRF保护的配置

生成和验证CSRF令牌的源码解析

相关文章：

Spring （33）CSRF（跨站请求伪造）保护

【一刷《剑指Offer》】面试题 29：数组中出现次数超过一半的数字

vx小程序初学

vue 笔记01

开发电商系统的技术选型

C++STL---vector常见用法

linux文件共享之samba

端午传统食品创意营销方案

制作ChatPDF之Elasticsearch8.13.4搭建（一）

一种最大重叠离散小波包特征提取和支持向量机的ECG心电信号分类方法(MATLAB 2018)

德勤：中国、印度等对ChatGPT等生成式AI应用，处领先地位

开发靠谱心得

【OpenHarmony】TypeScript 语法 ④ ( 函数 | TypeScript 具名函数和匿名函数 | 可选参数 | 剩余参数 | 箭头参数 )

嵌入式工程师人生提质的十大成长型思维分享

名下企业查询，清晰明了；在线操作，方便快捷

图书推荐：ChatGPT专业知识信息课程

Java项目：94 springboot大学城水电管理系统

Unity内制作动画

Java中的JDBC如何连接数据库并执行操作

webserver服务器从零搭建到上线（六）｜Timestamp类和InetAddress类

双翌精翌亮相工业软件产业协同对接交流会，共筑国产精密测量新生态

鸣潮自动化终极指南：5步实现后台智能挂机，解放你的游戏时间

如何3步快速配置罗技鼠标宏：PUBG零后坐力完整指南

Unity IL2CPP运行时调试：Frida-il2cpp-bridge实战指南

嵌入式通用软件包ToolKit：跨平台模块化设计与工程实践

解决Claude Code访问不稳定问题并配置Taotoken接入

实时洞察，视觉赋能：国内情绪识别API公司推荐及计算机视觉流派深度解析

工业眼睛：11 老手血泪Tips + 新手避坑清单

远程办公三年，我摸索出一套不被“隐形加班”吞噬的方法

吃透Agent Runtime九大核心设计，从基础跑通到工业级稳定落地