コミュニティ 学ぶ ツールライブラリ レジャー
検索
日本語
ホームページ > Java > &#&チュートリアル > 本文

Java フレームワークが CSRF 攻撃を防ぐ方法

WBOY
リリース: 2024-06-01 13:29:56
オリジナル
852 人が閲覧しました

Java フレームワークは、次のメカニズムを通じて CSRF 攻撃から保護します。 トークン検証: CSRF トークンを生成および検証して、リクエストが予想されるソースからのものであることを確認します。 Same-Origin ポリシー: ブラウザは、クロスサイト攻撃を防ぐために、元のオリジンにのみリクエストを送信します。カスタム トークン ストレージ: CSRF トークンを Cookie、ヘッダー、またはセッションに保存できます。

Java フレームワークが CSRF 攻撃を防ぐ方法

Java フレームワークが CSRF 攻撃を防ぐ方法

CSRF 攻撃とは何ですか?

クロスサイト リクエスト フォージェリ (CSRF) 攻撃は、攻撃者が被害者をだまして、被害者の知らないうちに Web サイト上でアクションを実行させるサイバー攻撃の一種です。攻撃者は被害者のセッション Cookie を使用して、被害者の身元を偽装しました。

Java フレームワークはどのようにして CSRF 攻撃を防止しますか?

Spring MVC や JSF などの Java フレームワークは、CSRF 攻撃を防ぐための複数のメカニズムを提供します:

トークン検証

  • Spring MVC: コントローラー メソッドで @CsrfToken アノテーションを使用する CSRF トークンを生成するの上 。 @CsrfToken 注释在控制器方法上生成 CSRF 令牌。
  • JSF:使用 <inputsecret></inputsecret> 标签生成 CSRF 令牌。

Same-Origin 策略

  • 确保浏览器只向其原始来源(即从该页面加载的 HTML 文档所在的服务器)发送请求。
  • Spring Security 提供了 CsrfConfigurer 配置,可指定需要 CSRF 保护的 URL。
  • JSF 使用 csrfTokenValidator 来验证 CSRF 令牌并阻止跨域请求。

自定义令牌存储

  • 可以将 CSRF 令牌存储在 cookie、header 或会话中。
  • Spring MVC 和 JSF 都允许通过配置 CsrfFilterCsrfTokenRepository
JSF:

<inputsecret></inputsecret> タグを使用して CSRF トークンを生成します。

Same-Origin ポリシー

は、ブラウザが元のオリジン (つまり、ページからロードされた HTML ドキュメントが存在するサーバー) にのみリクエストを送信することを保証します。 Spring Security は、CSRF 保護を必要とする URL を指定するための CsrfConfigurer 構成を提供します。

JSF は csrfTokenValidator を使用して CSRF トークンを検証し、クロスオリジン リクエストをブロックします。

カスタムトークンストレージ

🎜CSRFトークンは、Cookie、ヘッダー、またはセッションに保存できます。 🎜🎜Spring MVC と JSF の両方で、CsrfFilterCsrfTokenRepository を構成することでトークン ストレージをカスタマイズできます。 🎜🎜🎜🎜実際のケース: Spring MVC🎜🎜🎜🎜1. 依存関係をインストールする: 🎜🎜
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
    <version>5.5.7</version>
</dependency>
ログイン後にコピー
🎜🎜2. Spring Security を構成する: 🎜🎜
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
            .and()
            // 其他安全配置
        ;
    }
}
ログイン後にコピー
🎜🎜3. コントローラーメソッドでトークンを生成する: 🎜🎜
@RequestMapping("/transferMoney")
@PostMapping
public String transferMoney(@RequestParam int amount, @CsrfToken String csrfToken) {
    // 验证令牌
    csrfTokenManager.verifyToken(csrfToken);
    
    // 执行转账操作
}
ログイン後にコピー
🎜 🎜4.追加HTML ページのトークン: 🎜🎜
<form action="/transferMoney" method="post">
    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
    <input type="text" name="amount" />
    <input type="submit" value="Submit" />
</form>
ログイン後にコピー

以上がJava フレームワークが CSRF 攻撃を防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
csrf Javaフレームワーク
ソース:php.cn
前の記事:さまざまなプログラミング言語での Java フレームワークのパフォーマンスの比較 次の記事:Java でメモリ割り当てパフォーマンスを分析して最適化するにはどうすればよいですか?
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
function_exists() はカスタム関数を決定できません Function test () {return true;} if (function_exists ('test')) {echo "テストは関数です";
から 2024-04-29 11:01:01
0
2
1905
Google Chromeのモバイル版を表示する方法 こんにちは、先生、Google Chrome をモバイル版に変更するにはどうすればよいですか?
から 2024-04-23 00:22:19
0
10
2077
子ウィンドウは親ウィンドウを操作しますが、出力は応答しません。 最初の 2 つの文は実行可能ですが、最後の文は実装できません。
から 2024-04-19 15:37:47
0
1
1747
親ウィンドウには出力がありません document.onclick = function(){ window.opener.document.write('私は子ウィンドウの出力です');
から 2024-04-18 23:52:34
0
1
1648
CSS マインド マッピングに関するコースウェアはどこにありますか? コースウェア
から 2024-04-16 10:10:18
0
0
1658
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート