Java web解決CSRF攻擊漏洞

一、概述

簡單介紹一下csrf攻擊漏洞。就是你的網站cookie和session資訊可以被其他網站盜用，用于非法請求。

應用開發環境：IDEA+JDK1.8

開發架構：Spring boot +thymeleaf+shiro

測試：第三方安全公司滲透測試。

二、解決方法

這裡隻講主動防禦方法。

總體思路是：使用者登入時，服務端配置設定一個随機token，存儲到session裡。使用者進行其他請求時，從session裡取出這個token放到請求頭headers裡，服務端收到請求時，從請求頭裡取出token，和session裡面的token進行校驗，相同則表示是合法請求，不同則拒絕該請求。

bootraptable

三、關鍵代碼

3.1 前端

前端http請求沒有統一，需要根據實際情況來配置。

1. 需要在相關頁面加上隐藏token字段，代碼參考：

<input type="hidden" id="csrf_token" class="hidden" th:value="${session.csrf_token}"/>
           

特别要注意多級子頁面，對于上述token的初始化和擷取。

1. ajax請求，需要加如下方法，将token加在請求頭中：

beforeSend: function(XMLHttpRequest) {
        XMLHttpRequest.setRequestHeader("csrf_token",      $("#csrf_token",parent.document).val());
    }
           

1. 統一的http請求：

/** 設定全局ajax處理 */
$.ajaxSetup({
    complete: function(XMLHttpRequest, textStatus) {
        if (textStatus == 'timeout') {
            $.modal.alertWarning("伺服器逾時，請稍後再試！");
            $.modal.enable();
            $.modal.closeLoading();
        } else if (textStatus == "parsererror" || textStatus == "error") {
            $.modal.alertWarning("伺服器錯誤，請聯系管理者！");
            $.modal.enable();
            $.modal.closeLoading();
        }
    },
    beforeSend: function(XMLHttpRequest) {
        XMLHttpRequest.setRequestHeader("csrf_token",      $("#csrf_token",parent.document).val());
    }
});

           

注意事項：

1.bootraptable封裝了自己的http請求，如果上述全局配置不生效，需要修改該插件源碼：

$('#' + options.id).bootstrapTable({
					id: options.id,
                    url: options.url,  
                    ajaxOption: {
					"headers": options.csrf_token
                   } 
           

通過ajaxOption将token加入headers中。

3.2 後端

登入接口：

getRequest().getSession().setAttribute(JWTConst.CONN_CSRF_TOKEN_HEADER, UUID.randomUUID().toString());
           

編寫一個過濾器或者攔截器，我這裡是攔截器，差別是過濾器會過濾所有請求包括頁面，攔截器隻能攔截請求。

String csrfTokenOld = request.getSession().getAttribute(JWTConst.CONN_CSRF_TOKEN_HEADER).toString();
String csrfToken = request.getHeader(JWTConst.CONN_CSRF_TOKEN_HEADER);

 if (csrfToken == null || "".equals(csrfToken) || !csrfToken.equals(csrfTokenOld)) {
       logger.error(JwtErrEnums.TOKEN_INEXISTENCE.getMsg());
      throw new AuthException(JwtErrEnums.TOKEN_INEXISTENCE);
   }
           

一般情況下，我們隻需要攔截POST請求，我們在設計請求時，包含重要敏感資訊的請求建議使用POST方式。

• 如果系統有自動登入功能，還需要在自動登入時，建立一個csrf_token放入session中：

HttpServletRequest req = (HttpServletRequest)request;
        if(req.getSession().getAttribute(Constants.CONN_CSRF_TOKEN_HEADER) == null) {
            req.getSession().setAttribute(Constants.CONN_CSRF_TOKEN_HEADER, UUID.randomUUID().toString());
        }
           

四、其他方法

還可以使用spring security架構。下次再介紹。