Security——CSRF功能
跨站请求伪造(英语:Cross-site request forgery)
举个栗子:用户登录的情况下,这时候,浏览器打开了黑客设计的页面,页面提供了一个带有删除操作的按钮,按钮的地址配的是我们系统的地址(抓包等手段获取),用户点击了该按钮,我们后台数据就真的删了。
1、简单的做法,就是通过 “数据加密 + token” 的方式,增加更多的校验机制,让我们的表单无法轻易复制。
(因为BS架构的特殊性,页面源码始终对外开放,想要攻击仍然存在办法,不过这已经不属于CSRF漏洞,就不继续深入讨论了。)
2、检查Referer字段,请求头中有一个Referer字段,说明了请求的来源地址,但是这个字段是否有效,取决于浏览器的功能。
Security的默认做法:通过模版引擎,直接将token渲染到页面上,token可以隐藏在页面任意一个位置,每次提交表单,都要携带这个token。
提交表单的时候,token 如果设置在 request 的 header 中,header 字段名,需要通过 ${_csrf.headerName} 渲染。
提交表单的时候,token 如果设置在 request 的 parameter 中,parameter 字段名,需要通过 ${_csrf.parameterName} 渲染。
在开始试用Security的时候,为了方便通常会先禁用csrf,我们需要把这个功能启用起来,取消注释。
//启用CSRF,放置CSRF攻击 http.csrf().disable();
在登录页面的表单中加入token。其它页面与登录页面类似,需要在表单中增加token字段,更简单的做法,可以直接调整全局的ajax代码切面。