Spring Security 的 CSRF 防护机制
CSRF:跨站请求伪造(Cross-Site Request Forgery)
Spring Security 中的 .csrf() 是用来开启或配置这种保护机制,防止恶意网站“冒充用户”向你的网站发起请求。
一、CSRF 攻击原理简要
CSRF 的典型攻击场景如下:
- 用户登录了网站 A(如你的后台系统),并保持了登录状态(cookie 存在)。
- 然后用户去访问了恶意网站 B。
- 恶意网站 B 背后偷偷发起一个请求,比如 POST /user/delete?id=123 到网站 A。
- 因为用户登录状态存在(带有 cookie),服务器误以为是用户自己的操作,执行了该请求。
结果:用户被“代操作”了。
二、Spring Security 的 CSRF 防护机制
Spring Security 通过 CSRF Token(令牌) 机制 来避免这种攻击:
1️⃣ 当用户访问页面时,Spring 会生成一个隐藏的 CSRF Token(在表单中)。
2️⃣ 用户提交表单时,CSRF Token 会随请求一起发送(通常在请求体或请求头)。
3️⃣ 服务器验证这个 Token 是否正确匹配。
✅ 匹配成功才处理请求,否则拒绝(返回 403 Forbidden)。
三、什么时候需要 / 不需要开启 CSRF
| 场景 | 是否推荐开启 CSRF |
|---|---|
| 表单提交、页面操作(如 Thymeleaf 页面) | ✅ 推荐开启 |
| 前后端分离、REST API | ❌ 通常关闭,改用 JWT、OAuth 等鉴权机制 |
| 小程序 / App 接口 | ❌ 一般关闭,因为不使用 cookie |
四、Spring Security 配置 CSRF
部分请求忽略CSRF校验(如 /api/ 下的所有请求):
.csrf(csrf -> csrf.ignoringRequestMatchers("/api/**") // 忽略API的CSRF保护
)
如果所有请求都需要进行 CSRF 校验,那么 .csrf(…) 的写法可以更简单,不需要 ignoringRequestMatchers,直接用默认配置就行了:
.csrf(Customizer.withDefaults())// 或者.csrf(csrf -> csrf.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
)
完整配置代码:
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
import org.springframework.security.config.annotation.web.configurers.SessionManagementConfigurer;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;@Configuration
@EnableWebSecurity
public class SecurityConfig {@Autowiredprivate CustomAuthFailureHandler failureHandler;@Autowiredprivate CustomAuthSuccessHandler successHandler;// RateLimitFilter 请求限流,自定义private final RateLimitFilter rateLimitFilter;public SecurityConfig(RateLimitFilter rateLimitFilter) {this.rateLimitFilter = rateLimitFilter;}@Beanpublic SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {http.authorizeHttpRequests(auth -> auth.requestMatchers("/api/**").permitAll() // API接口,无需认证.requestMatchers("/login", "/doLogin").permitAll() // 登录页面、登录接口允许匿名访问.anyRequest().authenticated() // 其他页面必须登录)// 在身份验证之前进行限流.addFilterBefore(rateLimitFilter, UsernamePasswordAuthenticationFilter.class) .csrf(csrf -> csrf.ignoringRequestMatchers("/api/**") // 忽略API的CSRF保护)//所有请求都必须用 HTTPS(而不是 HTTP)访问。.requiresChannel(channel -> channel.anyRequest().requiresSecure()) //登录成功后,创建一个新的 Session,然后把原来 Session 里的数据(比如购物车、表单数据)复制过来。//这样可以避免有人在登录之前偷偷设置了一个 Session ID,防止Session劫持。.sessionManagement(session -> session.sessionFixation(SessionManagementConfigurer.SessionFixationConfigurer::migrateSession))
// .formLogin(AbstractAuthenticationFilterConfigurer::permitAll) //使用系统自带的默认登录页面.formLogin(form -> form //指定自定义登录页面,允许表单登录.loginPage("/login").loginProcessingUrl("/doLogin") // 登录表单提交地址(告诉Spring Security这个接口是你处理登录的).defaultSuccessUrl("/main", true) // 登录成功后跳转的页面.failureUrl("/login?error").successHandler(successHandler) // 自定义登录成功处理.failureHandler(failureHandler) // 自定义登录失败处理.permitAll()).logout(logout -> logout.logoutUrl("/logout") // 设置登出请求URL.logoutSuccessUrl("/login") // 登出成功后跳转到的页面.invalidateHttpSession(true) // 使当前Session无效.deleteCookies("JSESSIONID") // 删除JSESSIONID Cookie.permitAll());return http.build();}@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}@Beanpublic AuthenticationManager authenticationManager(HttpSecurity http, UserDetailsService userDetailsService) throws Exception {AuthenticationManagerBuilder authenticationManagerBuilder = http.getSharedObject(AuthenticationManagerBuilder.class);authenticationManagerBuilder.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());return authenticationManagerBuilder.build();}}
五、在表单中加入 CSRF 隐藏字段
1.使用 Thymeleaf 渲染HTML页面
Spring Boot + Thymeleaf 默认集成 Spring Security 的 CSRF 支持,只需要在表单中加上 th:action 和 th:method,Thymeleaf 会自动插入 CSRF Token:
<form th:action="@{/doLogin}" method="post"><!-- 自动注入 CSRF token --><input type="text" name="username" /><input type="password" name="password" /><button type="submit">登录</button>
</form>
在最终渲染的 HTML 中,会自动变成这样:
<form action="/doLogin" method="post"><!-- 自动加入这一行 CSRF token --><input type="hidden" name="_csrf" value="xxxxxx" /><input type="text" name="username" /><input type="password" name="password" /><button type="submit">登录</button>
</form>
2.使用原生 HTML,而不是 Thymeleaf
你需要手动添加一个隐藏字段<input type=“hidden” … /> 到form中,放入 CSRF Token:
<form action="/doLogin" method="post"><input type="hidden" name="_csrf" value="${_csrf.token}" />...
</form>
你还需要在 controller 中把 token 传给页面:
@GetMapping("/login")
public String loginPage(Model model, HttpServletRequest request) {CsrfToken token = (CsrfToken) request.getAttribute("_csrf");model.addAttribute("_csrf", token);return "login"; // 指向 login.html
}
3. 如果是用 JavaScript/AJAX 提交请求
// 允许前端 JavaScript 访问 Cookie 中的 CSRF token(默认是 HttpOnly,前端无法访问)。
.csrf(csrf -> csrf.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
);
从 Cookie 中读取 Token,并加入到请求头。以原生 JavaScript 为例:
function getCookie(name) {const match = document.cookie.match(new RegExp('(^| )' + name + '=([^;]+)'));if (match) return match[2];return null;
}const token = getCookie("XSRF-TOKEN");fetch('/your/api', {method: 'POST',headers: {'Content-Type': 'application/json','X-XSRF-TOKEN': token // 关键点:加到请求头中。名字必须是 X-XSRF-TOKEN(Spring Security 会识别这个名字)。},body: JSON.stringify({ key: 'value' })
});