Spring security：激活 csrf 保护会破坏其他功能

Question

我正在使用 Spring Security 5.0.13，我想为登录页面激活 csrf 保护。我正在使用 xml 配置，我是从

<http>
    ...
    <csrf disabled="true"/>
</http>

到

<bean id="csrfMatcher" class="org.springframework.security.web.util.matcher.AntPathRequestMatcher">
    <constructor-arg name="pattern" value="/j_spring_security_check"/>
    <constructor-arg name="httpMethod" value="POST"/>
</bean>
<csrf request-matcher-ref="csrfMatcher" />

不过，j_spring_security_logout 端点现在需要 POST 请求，而它过去接受的是 GET 请求。我知道有一个POST 请求注销按钮会更好，但我不能破坏这个功能，因为它在我控制之外的其他地方使用。

如何在不影响注销 url 动词的情况下为登录页面激活 csrf 保护？

Answer 1

根据Spring Security reference docs，可以修改Spring Security如何匹配/logout端点。默认情况下，它会查找POST /logout，但您可以将其配置为查找GET /logout：

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) {
        http
            // ... other configs
            .logout(logout -> logout
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout", "GET"))
            );
    }
}

没有通过<logout> 元素直接等效的XML，尽管您可以声明自己的LogoutFilter 和register it 类型的<bean>。或者logging a ticket 可能是将其添加到<logout> 的选项。

Answer 2

CSRF 保护要求您为所有导致更改的请求发送包含 CRSF 属性值的隐藏输入。这就是保护你的东西 - 这个 CSRF 属性由你的服务器生成，因此不能通过从你网站之外的其他地方发送请求来伪造。

您只能在带有post 请求的表单内发送隐藏的输入，因此如果您想要csrf，您将需要使用post。好消息是 - 这非常简单，大多数模板引擎都会自动为您设置所有内容。

使用 Thymeleaf，您甚至不需要更改任何内容，它会自动在您的发布请求中生成此属性。

使用 Mustache，您需要添加以下属性：

spring.mustache.expose-request-attributes=true

然后使用以下形式：

<form id="logoutForm" method="POST" action="/logout">
    <input type="hidden" name="_csrf" value="{{_csrf.token}}"/>
    <button type=submit>Logout</button>
</form>

正如您所看到的，这确实相对容易，但是您必须将隐藏的 crsf.token 值添加到每个发布请求中，具体实现取决于您的模板引擎，就像我对 thymeleaf 所说的那样，您无需担心它。