Spring MVC中的CSRF(跨站点请求伪造)保护

我在春天的这个CSRF(跨站点请求伪造)保护中很少混淆.不,我有我的jsp和我的控制器和一个Web服务.我想要做的是在Web服务级别验证令牌,如果令牌匹配,则运行Web服务(在我的情况下执行数据库插入)

JSP文件

我也插入了隐藏标签.现在我该怎么做来验证这个令牌.我在那里迷路了.

在控制器类中,我获取从表单到对象的值,并调用Web ervise来保存数据

@RequestMapping(method = RequestMethod.POST)
  public String processForm(@ModelAttribute(value = "userForm") @Valid UserForm userForm, BindingResult result, ModelMap model) {      

   //call the web service
  }

Shishir Kuma.. 9

OWASP Enterprise Security API有一个非常好的选择,可以提供针对CSRF的可靠保护.CSRF实际上很容易解决.OWASP ESAPI提供了实施CSRF保护的规范,如下所示.

1.生成新的CSRF令牌,并在登录时将其添加到用户一次,并将用户存储在http会话中.

这是在默认的ESAPI实现中完成的,它存储为User存储在对象中的对象的成员变量session.

/this code is in the DefaultUser implementation of ESAPI
/** This user's CSRF token. */
private String csrfToken = resetCSRFToken();
...
public String resetCSRFToken() {
    csrfToken = ESAPI.randomizer().getRandomString(8, DefaultEncoder.CHAR_ALPHANUMERICS);
    return csrfToken;
}

2.在应保护的任何表单或URL上,将标记添加为参数/隐藏字段.

在addCSRFToken下面的方法应该是呼吁建立将被渲染需要CSRF保护的任何URL.或者,如果您要创建表单,或者使用其他技术来呈现URL(例如c:url),请务必添加名称为" ctoken" 的参数或隐藏字段以及值DefaultHTTPUtilities.getCSRFToken().

//from HTTPUtilitiles interface
final static String CSRF_TOKEN_NAME = "ctoken";
//this code is from the DefaultHTTPUtilities implementation in ESAPI
public String addCSRFToken(String href) {
    User user = ESAPI.authenticator().getCurrentUser();
    if (user.isAnonymous()) {
        return href;
    }
    // if there are already parameters append with &, otherwise append with ?
    String token = CSRF_TOKEN_NAME + "=" + user.getCSRFToken();
    return href.indexOf( '?') != -1 ? href + "&" + token : href + "?" + token;
}
...
public String getCSRFToken() {
    User user = ESAPI.authenticator().getCurrentUser();
    if (user == null) return null;
    return user.getCSRFToken();
}

3.在服务器端,针对这些受保护的操作,检查提交的令牌是否与会话中用户对象的令牌匹配.

确保你从你调用这个方法servlet或spring操作或jsf你使用来处理请求控制器,或任何服务器端的机制.这应该在您需要验证CSRF保护的任何请求上调用.请注意,当令牌不匹配时,它被视为可能的伪造请求.

//this code is from the DefaultHTTPUtilities implementation in ESAPI
public void verifyCSRFToken(HttpServletRequest request) throws IntrusionException {
    User user = ESAPI.authenticator().getCurrentUser();
    // check if user authenticated with this request - no CSRF protection required
    if( request.getAttribute(user.getCSRFToken()) != null ) {
        return;
    }
    String token = request.getParameter(CSRF_TOKEN_NAME);
    if ( !user.getCSRFToken().equals( token ) ) {
        throw new IntrusionException("Authentication failed", "Possibly forged HTTP request without proper CSRF token detected");
    }
}

4.在注销和会话超时时,将从会话中删除用户对象并销毁会话.

在此步骤中,将调用注销.发生这种情况时,请注意会话无效并且当前用户对象被重置为匿名用户,从而删除对当前用户的引用以及相应的csrf令牌.

//this code is in the DefaultUser implementation of ESAPI
public void logout() {
    ESAPI.httpUtilities().killCookie( ESAPI.currentRequest(), ESAPI.currentResponse(), HTTPUtilities.REMEMBER_TOKEN_COOKIE_NAME );
    HttpSession session = ESAPI.currentRequest().getSession(false);
    if (session != null) {
        removeSession(session);
        session.invalidate();
    }
    ESAPI.httpUtilities().killCookie(ESAPI.currentRequest(), ESAPI.currentResponse(), "JSESSIONID");
    loggedIn = false;
    logger.info(Logger.SECURITY_SUCCESS, "Logout successful" );
    ESAPI.authenticator().setCurrentUser(User.ANONYMOUS);
}

资料来源:http://www.jtmelton.com/2010/05/16/the-owasp-top-ten-and-esapi-part-6-cross-site-request-forgery-csrf/

希望这可以帮助你.

Shishir

OWASP Enterprise Security API有一个非常好的选择,可以提供针对CSRF的可靠保护.CSRF实际上很容易解决.OWASP ESAPI提供了实施CSRF保护的规范,如下所示.

1.生成新的CSRF令牌,并在登录时将其添加到用户一次,并将用户存储在http会话中.

这是在默认的ESAPI实现中完成的,它存储为User存储在对象中的对象的成员变量session.

/this code is in the DefaultUser implementation of ESAPI
/** This user's CSRF token. */
private String csrfToken = resetCSRFToken();
...
public String resetCSRFToken() {
    csrfToken = ESAPI.randomizer().getRandomString(8, DefaultEncoder.CHAR_ALPHANUMERICS);
    return csrfToken;
}

2.在应保护的任何表单或URL上,将标记添加为参数/隐藏字段.

在addCSRFToken下面的方法应该是呼吁建立将被渲染需要CSRF保护的任何URL.或者,如果您要创建表单,或者使用其他技术来呈现URL(例如c:url),请务必添加名称为" ctoken" 的参数或隐藏字段以及值DefaultHTTPUtilities.getCSRFToken().

//from HTTPUtilitiles interface
final static String CSRF_TOKEN_NAME = "ctoken";
//this code is from the DefaultHTTPUtilities implementation in ESAPI
public String addCSRFToken(String href) {
    User user = ESAPI.authenticator().getCurrentUser();
    if (user.isAnonymous()) {
        return href;
    }
    // if there are already parameters append with &, otherwise append with ?
    String token = CSRF_TOKEN_NAME + "=" + user.getCSRFToken();
    return href.indexOf( '?') != -1 ? href + "&" + token : href + "?" + token;
}
...
public String getCSRFToken() {
    User user = ESAPI.authenticator().getCurrentUser();
    if (user == null) return null;
    return user.getCSRFToken();
}

3.在服务器端,针对这些受保护的操作,检查提交的令牌是否与会话中用户对象的令牌匹配.

确保你从你调用这个方法servlet或spring操作或jsf你使用来处理请求控制器,或任何服务器端的机制.这应该在您需要验证CSRF保护的任何请求上调用.请注意,当令牌不匹配时,它被视为可能的伪造请求.

//this code is from the DefaultHTTPUtilities implementation in ESAPI
public void verifyCSRFToken(HttpServletRequest request) throws IntrusionException {
    User user = ESAPI.authenticator().getCurrentUser();
    // check if user authenticated with this request - no CSRF protection required
    if( request.getAttribute(user.getCSRFToken()) != null ) {
        return;
    }
    String token = request.getParameter(CSRF_TOKEN_NAME);
    if ( !user.getCSRFToken().equals( token ) ) {
        throw new IntrusionException("Authentication failed", "Possibly forged HTTP request without proper CSRF token detected");
    }
}

4.在注销和会话超时时,将从会话中删除用户对象并销毁会话.

在此步骤中,将调用注销.发生这种情况时,请注意会话无效并且当前用户对象被重置为匿名用户,从而删除对当前用户的引用以及相应的csrf令牌.

//this code is in the DefaultUser implementation of ESAPI
public void logout() {
    ESAPI.httpUtilities().killCookie( ESAPI.currentRequest(), ESAPI.currentResponse(), HTTPUtilities.REMEMBER_TOKEN_COOKIE_NAME );
    HttpSession session = ESAPI.currentRequest().getSession(false);
    if (session != null) {
        removeSession(session);
        session.invalidate();
    }
    ESAPI.httpUtilities().killCookie(ESAPI.currentRequest(), ESAPI.currentResponse(), "JSESSIONID");
    loggedIn = false;
    logger.info(Logger.SECURITY_SUCCESS, "Logout successful" );
    ESAPI.authenticator().setCurrentUser(User.ANONYMOUS);
}

资料来源:http://www.jtmelton.com/2010/05/16/the-owasp-top-ten-and-esapi-part-6-cross-site-request-forgery-csrf/

希望这可以帮助你.

Shishir

显然我正在使用spring security 3.1.4.RELEASE。在这里，您可以手动执行此操作。然后我将其更改为3.2.2.RELEASE，然后只需要使用

参考此链接以查看Spring Security 3.2的新增功能

http://docs.spring.io/spring-security/site/docs/3.2.0.RELEASE/reference/htmlsingle/#new

请注意，当您从3.1.4.RELEASE更改为3.2.2.RELEASE时，会有许多令人困惑的重构。特别是在web.xml和spring-security.xml文件中