java – 如何在JSF-Spring集成应用程序中启用CSRF保护
作者:互联网
我有一个JSF-Spring集成应用程序. Spring安全性也集成在此应用程序中.这些是我的应用程序中的版本:
> JSF 2.2
> Spring 4.0.3.RELEASE
> Spring Security 3.2.4.RELEASE
根据JSF doc,JSF2.x [甚至旧版本]中的所有POST请求都将受CSRF保护.但是我能够通过CSRF攻击来渗透我的应用程序.
我尝试了一个不同的JSF2.2 [no Spring]示例应用程序,在这种情况下,我可以看到这个示例应用程序受CSRF保护.
所以我的理解是,JSF / Spring / Spring安全组合在我的原始应用程序中给出了问题.
遗憾的是,日志文件中没有帮助信息.
我可以尝试使用Spring Security CSRF protection.在这种情况下,我需要在所有POST情况下编辑代码.
我希望启用JSF CSRF保护,以避免此代码更改.有什么建议吗?
我正在用Pinata进行测试.
解决方法:
使用Spring 4.3.7和Spring Security 4.2.2进行测试.
您需要为应用程序中的每个表单添加CSRF令牌. Any PATCH, POST, PUT and DELETE将受Spring安全保护(对于基本动词).
为避免手动在每个表单中插入隐藏输入,您可以在提供的表单上创建FormRenderer:
import com.sun.faces.renderkit.html_basic.FormRenderer;
import javax.el.ELContext;
import javax.el.ExpressionFactory;
import javax.faces.component.UIComponent;
import javax.faces.context.FacesContext;
import javax.faces.context.ResponseWriter;
import java.io.IOException;
public class FormWithCSRFRenderer extends FormRenderer {
@Override
public void encodeEnd(FacesContext context, UIComponent component) throws IOException {
log.debug("FormWithCSRFRenderer - Adding CSRF Token to form element");
ELContext elContext = context.getELContext();
ExpressionFactory expFactory = context.getApplication().getExpressionFactory();
ResponseWriter writer = context.getResponseWriter();
writer.startElement("input", component);
writer.writeAttribute("type", "hidden", null);
writer.writeAttribute("name", expFactory.createValueExpression(elContext, "${_csrf.parameterName}", String.class).getValue(elContext), null);
writer.writeAttribute("value", expFactory.createValueExpression(elContext, "${_csrf.token}", String.class).getValue(elContext), null);
writer.endElement("input");
writer.write("\n");
super.encodeEnd(context, component);
}
}
然后通过在faces-config.xml中设置它来注册它以覆盖FormRenderer:
<?xml version="1.0" encoding="UTF-8"?>
<faces-config xmlns="http://xmlns.jcp.org/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-facesconfig_2_2.xsd"
version="2.2">
<render-kit>
<renderer>
<component-family>javax.faces.Form</component-family>
<renderer-type>javax.faces.Form</renderer-type>
<renderer-class>com.acme.FormWithCSRFRenderer</renderer-class>
</renderer>
</render-kit>
</faces-config>
另外,不要忘记在春季环境中启用CSRF:
<security:http auto-config="true" entry-point-ref="preAuthenticatedProcessingFilterEntryPoint"
use-expressions="true">
<security:csrf/>
<security:access-denied-handler error-page="/exception/accessDenied.xhtml"/>
<security:intercept-url pattern="/**" access="hasAnyRole('ROLE_ADMINISTRATOR','ROLE_GUEST')"/>
<security:intercept-url pattern="/exception/accessDenied.xhtml" access="permitAll"/>
</security:http>
对于AJAX调用,您还需要在任何受保护的HTTP谓词的数据中添加此标记.您可以直接从DOM检索令牌.
标签:csrf-protection,java,spring,spring-security,jsf 来源: https://codeday.me/bug/20191007/1864550.html