Spring 3.1 MVC，Spring Security 3.1 - CSRF 令牌

Question

目前我正在寻找在 Spring MVC 和 Spring Security 表单中包含 CRSF 令牌的可能性。涵盖 (Spring Security + Spring MVC) servlet 并允许呈现和评估 CSRF 令牌的最简单解决方案是什么？

我很惊讶 Springs 堆栈中没有这种基本机制。 （我认为这是每个 Web 应用程序框架的基础）

PS：我查看了 HDIV，但也找不到将它与 Spring Security 一起使用的解决方案。 （例如，登录表单由 Spring MVC 呈现，登录请求由 Spring Security 处理）

Answer 1

Spring 3.1 引入了一个名为 RequestDataValueProcessor 的新接口。使用此界面，您可以轻松（并且自动 - 无需对您的 JSP 或控制器进行任何更改！）将 CSRF 令牌注册到 HTTP 表单。您可以在here 中看到一个详细的示例，它还引用了 github 上的示例代码（因此您可以从那里获取并在您的应用程序中使用它）。

Answer 2

更新（2014 年 1 月）：Spring Security 3.2 包含 CSRF-Token 实现。

---

对于 Spring Security

因为 CSRF 与 Spring Secruity（身份验证和授权）无关，所以两者都可以彼此分开实现。

有一些基于过滤器的 CRSF 实现。 例如，Tomcat 7 和 Tomcat 6.0.something 附带了一个。

当我尝试使用它们时（2011 年夏天），我不觉得它运作良好。 所以我实现了自己的。

编辑（2012 年 4 月）：我的实现适用于 Spring 3.0，如果您使用的是 Spring 3.1，请查看 Eyal Lupu's answer 和他的 Blog 它使用了一些 Spring 3.1 功能，因此过滤器处理是更容易。

到目前为止，我还没有公开（没有时间）。但是你将。 你可以下载它（这是我第一次使用4shared.com，我希望它可以工作）：

• source jar
• binary jar

我的实现的缺点是，您需要将令牌显式添加到提交 POST、DELETE、PUT 的每个表单。

JSP(x)：

xmlns:crsf="http://www.humanfork.de/tags/de/humanfork/security/crsf"
...
<form ...>
   <crsf:hiddenCrsfNonce/>
   ....
</form>

web.xml

<filter>
    <filter-name>IdempotentCrsfPreventionFilter</filter-name>
    <filter-class>de.humanfork.security.crsf.IdempotentCsrfPreventionFilter</filter-class>
</filter>

<filter-mapping>
    <filter-name>IdempotentCrsfPreventionFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

Answer 3

Spring Security 3.2.0.RC1 提供了 CSRF 保护功能。还包含 AJAX 请求的解决方案。

见http://www.springsource.org/node/22675和http://spring.io/blog/2013/08/21/spring-security-3-2-0-rc1-highlights-csrf-protection/