在 Java Web 应用程序上生成和验证 CSRF 令牌

Question

我已要求实施 CSRF 以防止对 java 服务器应用程序的攻击。它是一个提供大量 Web REST API 服务的应用程序。 我查看了许多指南并在堆栈上搜索了here，但仍有一些顾虑。 我知道不需要 GET 请求。

所以，如果我错了，请纠正我。

1. 浏览器首次发送请求以获取会话的 CSRF 令牌，大约 30 分钟
2. 然后浏览器将此令牌放入脚本并发送到后端。

这是我的过滤器。

    public class ValidateCSRFToken implements Filter {

    private static final Logger LOGGER = LoggerFactory.getLogger(ValidateCSRFToken.class);

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
        // Spring put the CSRF token in session attribute "_csrf"
        CsrfToken csrfToken = (CsrfToken) httpServletRequest.getAttribute("_csrf");

        // Send the cookie only if the token has changed
        String actualToken = httpServletRequest.getHeader("X-CSRF-TOKEN");

        if (!StringUtils.isEmpty(csrfToken)) {
            LOGGER.info("CSRF token " + csrfToken.getToken());
        }

        if (!StringUtils.isEmpty(actualToken)) {
            LOGGER.info("X-CSRF-TOKEN " + actualToken);
        }

        if (actualToken == null || !actualToken.equals(csrfToken.getToken())) {
            String pCookieName = "CSRF-TOKEN";
            Cookie cookie = new Cookie(pCookieName, csrfToken.getToken());
            cookie.setMaxAge(-1);
            cookie.setHttpOnly(false);
            cookie.setPath("/");
            httpServletResponse.addCookie(cookie);
        }

        filterChain.doFilter(httpServletRequest, httpServletResponse);
    }
}

这是我的网络安全：

  //Start chain for restricting access.
    http.addFilterAfter(new ValidateCSRFToken(), CsrfFilter.class)
            .authorizeRequests()
            //The following paths…
            .antMatchers("**")
            // …are accessible to all users (authenticated or not).
            .permitAll()
            .antMatchers( "/actuator/**").permitAll()
            // All remaining paths…
            .anyRequest()
            // ...require user to at least be authenticated
            .authenticated()
            .and()// And if a user needs to be authenticated...
            .formLogin()
            // ...redirect them to /username`
            .loginPage("/username")
            .and()
            .logout().clearAuthentication(true).invalidateHttpSession(true).deleteCookies("JSESSIONID")
            .and()
            // If user isn't authorised to access a path...
            .exceptionHandling()
            // ...redirect them to /403
            .accessDeniedPage("/403")
            .and()
            .cors()
            .and()
            .csrf();

// .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());;

所以，问题是：

1. 如何验证不通过过滤链？
2. 第一次浏览器自带第一个请求怎么办，也就是说，我们怎么知道这个请求属于浏览器而不是攻击者？

Answer 1

我知道对于 GET 请求是不需要的。

这样做的目的是确保用户所做的任何具有任何副作用的操作实际上都是预期的交互。现在，GET 请求应该完全没有副作用，但是如果你搞砸了并且某些 GET 请求确实有副作用，那么你要么需要修复它，要么如果你不能，那么你的 GET 请求也需要CSRF 保护。这有点棘手，将令牌垃圾邮件发送到 URL 并不是一个好主意（这会发生）。

例如，如果您以管理员身份登录，只需点击https://yourserver.com/commands/deletePost?p=18 即可从数据库中删除unid 18 的文章，我可以创建一个站点：

<a href="https://yourserver.com/commands/deletePost?p=18">Click to see cute kittens!</a>

并发布。然后我就等你点击它，瞧。帖子没了。这就是 CSRF 的意义所在。

所以，浏览整个代码库。是否有任何 GET 请求导致状态更改的地方（创建或擦除的文件、数据库 INSERT 或 UPDATE 或 DELETE 命令、用于导致状态更改的 API，例如在 twitter 上发布内容或诸如此类的东西）。修复该代码并确保它们根本不允许这样做，并且仅适用于 POST/PUT。

然后将 CSRF 添加到所有这些 POST/PUT（或者，更好的是，只添加到所有 POST；考虑任何没有 CSRF 令牌的 POST，就好像用户没有登录一样）。

请注意，许多 Web 框架套件已经具备 CSRF 保护系统，包括 Spring Security。