CSRF 就是跨域請求偽造,英文全稱是 Cross Site Request Forgery。
這是一種非常常見的 Web 攻擊方式,其實是很好防御的,但是由於經常被很多開發者忽略,進而導致很多網站實際上都存在 CSRF 攻擊的安全隱患。我們通過一篇文章來詳細講解,什么是 CSRF 攻擊以及 CSRF 攻擊該如何防御。
1.CSRF 原理
想要防御 CSRF 攻擊,那我們得先搞清楚什么是 CSRF 攻擊,通過下面一張圖,來和大家梳理 CSRF 攻擊流程:
其實這個流程很簡單:
- 假設用戶打開了招商銀行網上銀行網站,並且登錄。
- 登錄成功后,網上銀行會返回 Cookie 給前端,瀏覽器將 Cookie 保存下來。
- 用戶在沒有登出網上銀行的情況下,在瀏覽器里邊打開了一個新的選項卡,然后又去訪問了一個危險網站。
- 這個危險網站上有一個超鏈接,超鏈接的地址指向了招商銀行網上銀行。
- 用戶點擊了這個超鏈接,由於這個超鏈接會自動攜帶上瀏覽器中保存的 Cookie,所以用戶不知不覺中就訪問了網上銀行,進而可能給自己造成了損失。
CSRF 的流程大致就是這樣,接下來松哥用一個簡單的例子和小伙伴們展示一下 CSRF 到底是怎么回事。
2.CSRF實踐
接下來,我創建一個名為 csrf-1 的 Spring Boot 項目,這個項目相當於我們上面所說的網上銀行網站,創建項目時引入 Web 和 Spring Security 依賴,如下:
創建成功后,方便起見,我們直接將 Spring Security 用戶名/密碼 配置在 application.properties 文件中:
spring.security.user.name=teest
spring.security.user.password=123
然后我們提供兩個測試接口:
@RestController public class HelloController { @PostMapping("/transfer") public void transferMoney(String name, Integer money) { System.out.println("name = " + name); System.out.println("money = " + money); } @GetMapping("/hello") public String hello() { return "hello"; } }
假設 /transfer 是一個轉賬接口(這里是假設,主要是給大家演示 CSRF 攻擊,真實的轉賬接口比這復雜)
最后我們還需要配置一下 Spring Security,因為 Spring Security 中默認是可以自動防御 CSRF 攻擊的,所以我們要把這個關閉掉:
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().anyRequest().authenticated() .and() .formLogin() .and() .csrf() .disable(); } }
配置完成后,我們啟動 csrf-1 項目。
接下來,我們再創建一個 csrf-2 項目,這個項目相當於是一個危險網站,為了方便,這里創建時我們只需要引入 web 依賴即可。
項目創建成功后,首先修改項目端口:
server.port=8081
然后我們在 resources/static 目錄下創建一個 hello.html ,內容如下:
<body> <form action="http://localhost:8080/transfer" method="post"> <input type="hidden" value="javaboy" name="name"> <input type="hidden" value="10000" name="money"> <input type="submit" value="點擊查看美女圖片"> </form> </body>
這里有一個超鏈接,超鏈接的文本是點擊查看美女圖片,當你點擊了超鏈接之后,會自動請求 http://localhost:8080/transfer 接口,同時隱藏域還攜帶了兩個參數。配置完成后,就可以啟動 csrf-2 項目了。接下來,用戶首先訪問 csrf-1 項目中的接口,在訪問的時候需要登錄,用戶就執行了登錄操作,訪問完整后,用戶並沒有執行登出操作,然后用戶訪問 csrf-2 中的頁面,看到了超鏈接,好奇這美女到底長啥樣,一點擊,結果錢就被人轉走了。
3.CSRF防御
先來說說防御思路,CSRF 防御一個核心思路就是在前端請求中,添加一個隨機數。因為在 CSRF 攻擊中,黑客網站其實是不知道用戶的 Cookie 具體是什么的,他是讓用戶自己發送請求到網上銀行這個網站的,因為這個過程會自動攜帶上 Cookie 中的信息。所以我們的防御思路是這樣:用戶在訪問網上銀行時,除了攜帶 Cookie 中的信息之外,還需要攜帶一個隨機數,如果用戶沒有攜帶這個隨機數,則網上銀行網站會拒絕該請求。黑客網站誘導用戶點擊超鏈接時,會自動攜帶上 Cookie 中的信息,但是卻不會自動攜帶隨機數,這樣就成功的避免掉 CSRF 攻擊了。
Spring Security 中對此提供了很好的支持,我們一起來看下。
3.1 默認方案
Spring Security 中默認實際上就提供了 csrf 防御,但是需要開發者做的事情比較多。首先我們來創建一個新的 Spring Boot 工程,創建時引入 Spring Security、Thymeleaf 和 web 依賴。
項目創建成功后,我們還是在 application.properties 中配置用戶名/密碼:
spring.security.user.name=test
spring.security.user.password=123
接下來,我們提供一個測試接口:
@Controller public class HelloController { @PostMapping("/hello") @ResponseBody public String hello() { return "hello"; } }
注意,這個測試接口是一個 POST 請求,因為默認情況下,GET、HEAD、TRACE 以及 OPTIONS 是不需要驗證 CSRF 攻擊的。然后,我們在 resources/templates 目錄下,新建一個 thymeleaf 模版,如下:
<body> <form action="/hello" method="post"> <input type="hidden" th:value="${_csrf.token}" th:name="${_csrf.parameterName}"> <input type="submit" value="hello"> </form> </body>
注意,在發送 POST 請求的時候,還額外攜帶了一個隱藏域,隱藏域的 key 是 ${_csrf.parameterName},value 則是 ${_csrf.token}。這兩個值服務端會自動帶過來,我們只需要在前端渲染出來即可。接下來給前端 hello.html 頁面添加一個控制器,如下:
@GetMapping("/hello")
public String hello2() {
return "hello";
}
添加完成后,啟動項目,我們訪問 hello 頁面,在訪問時候,需要先登錄,登錄成功之后,我們可以看到登錄請求中也多了一個參數,如下:
可以看到,這里也多了 _csrf 參數。
這里我們用了 Spring Security 的默認登錄頁面,如果大家使用自定義登錄頁面,可以參考上面 hello.html 的寫法,通過一個隱藏域傳遞 _csrf 參數。訪問到 hello 頁面之后,再去點擊按鈕,就可以訪問到 hello 接口了。小伙伴們可以自行嘗試在 hello.html 頁面中,去掉 _csrf 參數,看看訪問 hello 接口的效果。這是 Spring Security 中默認的方案,通過 Model 將相關的數據帶到前端來。如果你的項目是前后端不分項目,這種方案就可以了,如果你的項目是前后端分離項目,這種方案很明顯不夠用。
3.2 前后端分離方案
如果是前后端分離項目,Spring Security 也提供了解決方案。這次不是將 _csrf 放在 Model 中返回前端了,而是放在 Cookie 中返回前端,配置方式如下:
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().anyRequest().authenticated() .and() .formLogin() .and() .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); } }
有小伙伴可能會說放在 Cookie 中不是又被黑客網站盜用了嗎?其實不會的,大家注意如下兩個問題:
- 黑客網站根本不知道你的 Cookie 里邊存的啥,他也不需要知道,因為 CSRF 攻擊是瀏覽器自動攜帶上 Cookie 中的數據的。
- 我們將服務端生成的隨機數放在 Cookie 中,前端需要從 Cookie 中自己提取出來 _csrf 參數,然后拼接成參數傳遞給后端,單純的將 Cookie 中的數據傳到服務端是沒用的。
理解透了上面兩點,你就會發現 _csrf 放在 Cookie 中是沒有問題的,但是大家注意,配置的時候我們通過 withHttpOnlyFalse 方法獲取了 CookieCsrfTokenRepository 的實例,該方法會設置 Cookie 中的 HttpOnly 屬性為 false,也就是允許前端通過 js 操作 Cookie(否則你就沒有辦法獲取到 _csrf)。配置完成后,重啟項目,此時我們就發現返回的 Cookie 中多了一項:
接下來,我們通過自定義登錄頁面,來看看前端要如何操作。首先我們在 resources/static 目錄下新建一個 html 頁面叫做 login.html:
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <script src="js/jquery.min.js"></script> <script src="js/jquery.cookie.js"></script> </head> <body> <div> <input type="text" id="username"> <input type="password" id="password"> <input type="button" value="登錄" id="loginBtn"> </div> <script> $("#loginBtn").click(function () { let _csrf = $.cookie('XSRF-TOKEN'); $.post('/login.html',{username:$("#username").val(),password:$("#password").val(),_csrf:_csrf},function (data) { alert(data); }) }) </script> </body> </html>
這段 html 我給大家解釋下:
- 首先引入 jquery 和 jquery.cookie ,方便我們一會操作 Cookie。
- 定義三個 input,前兩個是用戶名和密碼,第三個是登錄按鈕。
- 點擊登錄按鈕之后,我們先從 Cookie 中提取出 XSRF-TOKEN,這也就是我們要上傳的 csrf 參數。
- 通過一個 POST 請求執行登錄操作,注意攜帶上 _csrf 參數。
服務端我們也稍作修改,如下:
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/js/**"); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().anyRequest().authenticated() .and() .formLogin() .loginPage("/login.html") .successHandler((req,resp,authentication)->{ resp.getWriter().write("success"); }) .permitAll() .and() .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); } }
一方面這里給 js 文件放行。另一方面配置一下登錄頁面,以及登錄成功的回調,這里簡單期間,登錄成功的回調我就給一個字符串就可以了。大家感興趣的話,可以查看本系列前面文章,有登錄成功后回調的詳細解釋,OK,所有事情做完之后,我們訪問 login.html 頁面,輸入用戶名密碼進行登錄,結果如下:
可以看到,我們的 _csrf 配置已經生效了。小伙伴們可以自行嘗試從登錄參數中去掉 _csrf,然后再看看效果。
4. 小結
好了,今天主要和小伙伴們介紹了 csrf 攻擊以及如何防御的問題。大家看到,csrf 攻擊主要是借助了瀏覽器默認發送 Cookie 的這一機制,所以如果你的前端是 App、小程序之類的應用,不涉及瀏覽器應用的話,其實可以忽略這個問題,如果你的前端包含瀏覽器應用的話,這個問題就要認真考慮了。
本文從51CTO轉載自微信公眾號「江南一點雨」。轉載本文請聯系江南一點雨公眾號。