Spring Security - CSRF - 如何重置 CSRF 令牌并记录潜在的 CSRF 攻击(OWASP 推荐)

【问题标题】:Spring Security - CSRF - How to reset CSRF token and log a potential CSRF attack (OWASP recommendation)Spring Security - CSRF - 如何重置 CSRF 令牌并记录潜在的 CSRF 攻击(OWASP 推荐)
【发布时间】:2014-07-02 10:30:54
【问题描述】:

我们在我们的应用程序中使用 Spring Security 框架,特别是为了防止它受到 CSRF 攻击。

OWASP document about CSRF attacks prevention cheat sheet 中,他们谈到了同步器令牌模式。因此,当提供了错误的 CSRF 令牌时,他们建议:

  1. 中止请求
  2. 重置 CSRF 令牌
  3. 将事件记录为正在进行的潜在 CSRF 攻击

我做了一个测试,提供了错误的 CSRF 并得到以下结果:

  1. 请求中止,响应状态设置为 403 (= Forbiden)
  2. 令牌未重置
  3. 简单的调试日志由 Spring CSRFFilter 完成:“为 REQUESTED_URL 找到无效的 CSRF 令牌”

所以,我的问题是:

  • Q1:是否可以要求 Spring Security 重置 CSRF 令牌?
  • Q2:是否可以要求 Spring Security 记录有关正在进行的潜在 CSRF 攻击的 WARN 消息而不是 DEBUG 消息?

谢谢。

【问题讨论】:

    标签: security spring-security csrf csrf-protection owasp


    【解决方案1】:

    你并不孤单。我仍在弄清楚如何重置令牌。

    要回答您的 q2,您可以指定自定义 AccessDeniedHandler,它允许您以您喜欢的方式处理 InvalidCsrfTokenException。详情请见here

    【讨论】:

      猜你喜欢
      • 2018-03-05
      • 2016-01-30
      • 2015-09-28
      • 2017-09-07
      • 1970-01-01
      • 2013-08-28
      • 2019-07-20
      • 2012-03-06
      • 2014-12-06
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode