Spring Security CSRF与CORS详解
一、知识概述
CSRF(跨站请求伪造)和 CORS(跨源资源共享)是 Web 安全中的两个重要概念。Spring Security 提供了对这两种安全机制的完善支持,帮助开发者构建安全的 Web 应用。
CSRF 防护和 CORS 配置的核心概念:
- CSRF:防止恶意网站冒充用户发起请求
- CORS:控制浏览器跨域访问权限
- 同源策略:浏览器安全限制
- 预检请求:CORS 的 OPTIONS 请求
理解 CSRF 和 CORS 的原理,是构建安全 Web 应用的必要知识。
二、知识点详细讲解
2.1 CSRF 原理
正常请求: 用户 → 浏览器 → 目标网站(已登录)→ 执行操作 CSRF 攻击: 用户 → 恶意网站 → 浏览器(携带目标网站 Cookie)→ 目标网站 → 执行恶意操作CSRF 防护原理
1. 服务端生成 CSRF Token 2. Token 嵌入表单或响应头 3. 用户提交请求时携带 Token 4. 服务端验证 Token 有效性 5. Token 不匹配则拒绝请求2.2 CORS 原理
浏览器同源策略: - 相同协议(http/https) - 相同域名 - 相同端口 跨域请求: 前端(http://localhost:3000)→ 后端(http://localhost:8080)CORS 流程
简单请求: 1. 浏览器发送请求,携带 Origin 头 2. 服务端检查 Origin,返回 Access-Control-Allow-Origin 3. 浏览器检查响应头,决定是否允许 预检请求: 1. 浏览器发送 OPTIONS 预检请求 2. 服务端返回允许的方法、头等 3. 浏览器发送实际请求2.3 简单请求 vs 预检请求
简单请求条件
- 方法:GET、POST、HEAD
- 头:Accept、Accept-Language、Content-Language、Content-Type
- Content-Type:text/plain、multipart/form-data、application/x-www-form-urlencoded
预检请求触发条件
- 方法:PUT、DELETE、PATCH
- 自定义请求头
- Content-Type:application/json
三、代码示例
3.1 CSRF 防护配置
importorg.springframework.context.annotation.Bean;importorg.springframework.context.annotation.Configuration;importorg.springframework.security.config.annotation.web.builders.HttpSecurity;importorg.springframework.security.web.SecurityFilterChain;importorg.springframework.security.web.csrf.*;@Configuration@EnableWebSecuritypublicclassCsrfConfig{// 启用 CSRF 防护(默认启用)@BeanpublicSecurityFilterChainfilterChain(HttpSecurityhttp)throwsException{http.csrf(csrf->csrf// 使用 Cookie 存储 CSRF Token.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()));returnhttp.build();}// 禁用 CSRF(仅用于无状态 API)@BeanpublicSecurityFilterChaindisableCsrf(HttpSecurityhttp)throwsException{http.csrf(csrf->csrf.disable());returnhttp.build();}// 自定义 CSRF 配置@BeanpublicSecurityFilterChaincustomCsrf(HttpSecurityhttp)throwsException{http.csrf(csrf->csrf.csrfTokenRepository(csrfTokenRepository()).ignoringRequestMatchers("/api/public/**").csrfTokenRequestHandler(newCsrfTokenRequestAttributeHandler()));returnhttp.build();}@BeanpublicCsrfTokenRepositorycsrfTokenRepository(){CookieCsrfTokenRepositoryrepository=newCookieCsrfTokenRepository();repository.setCookieName("XSRF-TOKEN");repository.setHeaderName("X-XSRF-TOKEN");repository.setParameterName("_csrf");returnrepository;}}3.2 前端 CSRF Token 处理
<!-- Thymeleaf 表单 --><formth:action="@{/transfer}"method="post"><inputtype="hidden"th:name="${_csrf.parameterName}"th:value="${_csrf.token}"/><!-- 其他表单字段 --><buttontype="submit">提交</button></form>// JavaScript 获取 CSRF TokenfunctiongetCsrfToken(){constcookieValue=document.cookie.split('; ').find(row=>row.startsWith('XSRF-TOKEN='))?.split('=')[1];returndecodeURIComponent(cookieValue);}// 发送请求时携带 Tokenfetch('/api/transfer',{method
---命令解析和工具映射厦)
