如何在spring security 3.2中实现每个请求的csrf。目前它是按会话处理的。这是必须的要求
请发布需要执行的更改。
在securitycontext.xml中
<http>
<csrf />
</http>
已给出并且应用程序正在使用每个会话的令牌
【问题讨论】:
标签: spring spring-security csrf csrf-protection
您可以通过提供您自己的此接口实现来更改CsrfTokenRepository 的默认实现,并将其配置如下:
<http>
<csrf token-repository-ref="myRequestCsrfTokenRepository"/>
</http>
<b:bean id="myRequestCsrfTokenRepository"
class="com.company.security.RequestCsrfTokenRepository"/>
但是……虽然你写道这是必须的要求,但你真的应该重新考虑一下。我什至建议尝试说服另一端,这种更改可以为应用程序用户带来更多安全性,但也会带来很多不便,有时甚至是奇怪的行为,并且总体上会降低可用性和用户体验。例如。见Different csrf token per request in Spring security
【讨论】:
我已经实现了一个自定义 csrf 令牌存储库,它为每个 http POST/DELETE 请求生成一个新令牌。我不认为应该为http GET更新令牌,如果你查看spring CsrfFilter类的源代码,它有一个内部类DefaultRequiresCsrfFilter,它通过GET方法的令牌检查。
自定义csrf令牌仓库需要实现接口CsrfTokenRepository。实际上我已经重用了 HttpSessionCsrfTokenRepository 的大部分代码,这是 spring 默认的。需要自定义实现的函数是loadToken()
/*Customized loading token function, which invalidate the CSRF token once it is consumed. A new token is generated on next http req.*/
public CsrfToken loadToken(HttpServletRequest request) {
HttpSession session = request.getSession(false);
CsrfToken token = session == null ? null : (CsrfToken)session.getAttribute(this.sessionAttributeName);
if (/*HERE http request can be checked to see if it is a POST/DELETE */) {
if (session != null) {
//Remove the old token from session, and new token will be generated for next req
session.removeAttribute(DEFAULT_CSRF_TOKEN_ATTR_NAME);
}
}
return token;
}
并且要加载自定义 csrf 令牌存储库,需要在 security.xml 中进行配置,如上面的答案中所述。
【讨论】: