Security——CSRF功能

跨站请求伪造（英语：Cross-site request forgery）

举个栗子：用户登录的情况下，这时候，浏览器打开了黑客设计的页面，页面提供了一个带有删除操作的按钮，按钮的地址配的是我们系统的地址（抓包等手段获取），用户点击了该按钮，我们后台数据就真的删了。

 

1、简单的做法，就是通过 “数据加密 + token” 的方式，增加更多的校验机制，让我们的表单无法轻易复制。

（因为BS架构的特殊性，页面源码始终对外开放，想要攻击仍然存在办法，不过这已经不属于CSRF漏洞，就不继续深入讨论了。）

2、检查Referer字段，请求头中有一个Referer字段，说明了请求的来源地址，但是这个字段是否有效，取决于浏览器的功能。

 

Security的默认做法：通过模版引擎，直接将token渲染到页面上，token可以隐藏在页面任意一个位置，每次提交表单，都要携带这个token。

提交表单的时候，token 如果设置在 request 的 header 中，header 字段名，需要通过 ${_csrf.headerName} 渲染。
提交表单的时候，token 如果设置在 request 的 parameter 中，parameter 字段名，需要通过 ${_csrf.parameterName} 渲染。

 

在开始试用Security的时候，为了方便通常会先禁用csrf，我们需要把这个功能启用起来，取消注释。

        //启用CSRF，放置CSRF攻击
        http.csrf().disable();

在登录页面的表单中加入token。其它页面与登录页面类似，需要在表单中增加token字段，更简单的做法，可以直接调整全局的ajax代码切面。