ما هو CSRF؟
CSRF (تزوير طلب المواقع المتقاطعة) ، الاسم الصيني: التزوير المتقاطع في الموقع ، المعروف أيضًا باسم: One Click Attack/Session Riding ، الاختصار: CSRF/XSRF.
ماذا يمكن أن تفعل CSRF؟
يمكنك فهم هجمات CSRF مثل هذا: سرق المهاجم هويتك وأرسل طلبًا ضارًا باسمك. تتضمن الأشياء التي يمكن أن تقوم بها CSRF: إرسال رسائل البريد الإلكتروني ، وإرسال الرسائل ، وسرقة حسابك ، وحتى شراء البضائع ، وتحويل الأموال من العملة الافتراضية ... تشمل المشكلات: تسرب الخصوصية الشخصية وأمن الممتلكات.
الوضع الحالي لضعف CSRF
اقترح موظفو الأمن الأجنبيين في عام 2000 طريقة هجوم CSRF ، لكن لم يتم الاهتمام بها حتى عام 2006 في الصين. في عام 2008 ، تعرضت نقاط الضعف في CSRF في العديد من المجتمعات الكبيرة ومواقع الويب التفاعلية في الداخل والخارج ، مثل: NYTIMES.com (نيويورك تايمز) ، لا تزال Metafilter (موقع كبير على مدونة) ، ويوتيوب وبيدو مرحبًا ... الآن ، لا تزال العديد من المواقع على الإنترنت غير مستعدة لهذا ، وبالتالي فإن صناعة الأمن تدعو CSRF A "عملاق نائم". "
في مشروع التمهيد الربيعي ، يجب منع هجمات CSRF ، ويمكن تقديم المرشحات ذات الصلة فقط في أمن الربيع.
إضافة التبعيات ذات الصلة في POM
<ependencies> <Rependency> <roupiD> org.springframework.boot </groupId> <StifactId> Spring-Boot-Starter-Freemarker </stifactid> </sependencil <StifactId> Spring-Security-Web </stifactid> </sependency> </perendency> </
أضف csrffilter عندما يبدأ التطبيق
يمتد تطبيق cspringBootApplicationPublicPublicPublicpublicpublic WebMVcConfigureRadapter {bean publicistrationbean csrffilter () {filterregistrationbean registration = new filterregistrationbean () ؛ التسجيل. registration.addurlpatterns ("/*") ؛ تسجيل العودة ؛ } public static void main (string [] args) {springapplication.run (application.class ، args) ؛ }}أضف حقلًا مخفيًا من CSRF في الشكل
<name input = "$ {(_ csrf.parametername)!}" value = "$ {(_ csrf.token)!إضافة رأس CSRF في Ajax
XHR.SetRequestHeader ("$ {_ csrf.headername}" ، "$ {_ csrf.token}") ؛عنوان github هو https://github.com/kabike/spring-oot-csrf
ما سبق هو كل محتوى هذه المقالة. آمل أن يكون ذلك مفيدًا لتعلم الجميع وآمل أن يدعم الجميع wulin.com أكثر.