当前位置：首页 > news >正文

Spring Security 如何防止 CSRF 攻击？

news 2026/2/10 6:21:09

一、CSRF 攻击简介

CSRF（Cross-Site Request Forgery）攻击，即跨站请求伪造攻击，是一种利用用户已登录的身份，在用户不知情的情况下，强制其执行非预期操作的攻击方式。攻击者通常会通过伪造的请求，诱使用户在已登录的应用程序中执行恶意操作，例如转账、修改个人信息等。

二、Spring Security 防止 CSRF 攻击的机制

1. 默认启用 CSRF 保护

从 Spring Security 4.0 开始，默认情况下会启用 CSRF 保护。这意味着对于 PATCH、POST、PUT 和 DELETE 方法的请求，Spring Security 会自动进行 CSRF 验证。

2. CSRF 令牌的生成与验证

Spring Security 通过生成唯一的 CSRF 令牌（Token）来防止 CSRF 攻击。具体流程如下：

生成 CSRF 令牌：服务器在处理请求时，会生成一个唯一的 CSRF 令牌，并将其存储在用户的会话（HttpSession）或 Cookie 中。
客户端提交 CSRF 令牌：客户端在提交表单或发送 AJAX 请求时，需要将 CSRF 令牌包含在请求中。通常，这个令牌会作为表单的一个隐藏字段或请求头的一部分发送。
服务器验证 CSRF 令牌：服务器在接收到请求后，会从请求中提取 CSRF 令牌，并与存储在会话或 Cookie 中的令牌进行比较。如果两者一致，则认为请求是合法的；如果不一致，则认为是 CSRF 攻击，服务器会拒绝该请求。

3. 配置与自定义

开启或关闭 CSRF 保护：可以通过配置来开启或关闭 CSRF 保护。例如，在基于 Java 配置的项目中，可以通过以下代码关闭 CSRF 保护：
```
http.csrf().disable();
```
或者在基于 XML 配置的项目中，使用以下代码：
```
<security:csrf disabled="true"/>
```
自定义 CSRF 令牌存储方式：Spring Security 提供了 CsrfTokenRepository 接口，开发者可以实现该接口来自定义 CSRF 令牌的存储和获取方式。默认实现是 HttpSessionCsrfTokenRepository，它将 CSRF 令牌存储在 HttpSession 中。

4. 在请求中包含 CSRF 令牌

表单提交：在 HTML 表单中，可以通过 Thymeleaf 等模板引擎自动包含 CSRF 令牌。例如：

<form action="/submit" method="POST"><input type="hidden" name="_csrf" value="${_csrf.token}" /><button type="submit">Submit</button>
</form>

AJAX 请求：在使用 AJAX 提交请求时，需要手动将 CSRF 令牌添加到请求头中。例如，使用 jQuery 时可以这样操作：

$.ajax({url: '/submit',type: 'POST',headers: {'X-CSRF-TOKEN': $('meta[name="_csrf"]').attr('content')},data: {// Your data here},success: function(response) {console.log(response);},error: function(xhr, status, error) {console.error('Error:', error);}
});

在 HTML 中，需要包含 CSRF 令牌的 meta 标签：

<meta name="_csrf" content="${_csrf.token}" />

三、最佳实践

始终启用 CSRF 保护：除非有充分的理由，否则应始终启用 CSRF 保护，以确保应用程序的安全性。
使用 HTTPS：通过使用 HTTPS，可以防止攻击者拦截和篡改请求，从而提高应用程序的安全性。
限制 CSRF 令牌的作用域：可以配置 CSRF 令牌仅对特定的端点有效，从而减少潜在的安全风险。
定期更新依赖：及时更新 Spring Security 和其他相关依赖，以修复已知的安全漏洞。

四、总结

Spring Security 提供了强大的 CSRF 防护机制，通过生成和验证 CSRF 令牌，有效防止了 CSRF 攻击。开发者可以通过配置和自定义来满足不同的安全需求，同时遵循最佳实践，确保应用程序的安全性。

目录