1. 何为CSRF

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。

客户端与服务器进行交互时,由于 http 协议本身是无状态协议,所以引入了 cookie 进行记录客户端身份。在 cookie 中会存放 session id 用来识别客户端身份的。在跨域的情况下,session id 可能被第三方恶意劫持,通过这个 session id 向服务端发起请求时,服务端会认为这个请求是合法的,可能发生很多意想不到的事情。

跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。

2. 如何避免

从 Spring Security4 开始 CSRF 防护默认开启。默认会拦截请求。进行 CSRF 处理。CSRF 为了保证不是其他第三方网站访问,要求访问时携带参数名为 _csrf 值为 token ( token 在服务端产生)的内容,如果token 和服务端的 token 匹配成功,则正常访问。

1、前端页面携带 token 

  1. <!DOCTYPE html>
  2. <html xmlns="http://www.w3.org/1999/xhtml"
  3.       xmlns:th="http://www.thymeleaf.org"
  4.       xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
  5. <head>
  6.     <meta charset="UTF-8">
  7.     <title>Title</title>
  8. </head>
  9. <body>
  10. <form action="/login" method="post">
  11.     <input type="hidden" th:value="${_csrf.token}" name="_csrf"
  12.               th:if="${_csrf}"/>
  13.     用户名:<input type="text" name="username" /><br/>
  14.     密码:<input type="password" name="password" /><br/>
  15.     <input type="submit" value="登录" />
  16. </form>
  17. </body>
  18. </html>

2、开启 csrf 防护。