spring boot项目怎么预防CSRF攻击

在Spring Boot项目中预防CSRF攻击通常涉及利用Spring Security框架提供的内置支持。Spring Security已经为CSRF提供了默认的防护措施，但根据应用的特定需求，可能需要进行一些配置调整或扩展。下面是一系列步骤和建议，用于在Spring Boot项目中防御CSRF攻击：

1. 启用Spring Security的CSRF保护

在Spring Boot中，默认情况下，如果你添加了spring-boot-starter-security依赖，CSRF保护是启用的。确保你没有在配置中显式禁用它。

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http.csrf().disable()  // 确保这一行被注释掉或删除.authorizeRequests().antMatchers("/", "/home").permitAll().anyRequest().authenticated().and().formLogin().loginPage("/login").permitAll().and().logout().permitAll();}
}

2. 在表单中使用CSRF Token

确保你的前端表单包含由Spring Security生成的CSRF token。在Thymeleaf中，例如，你可以这样添加CSRF：

<form action="#" method="post"><input type="hidden" name="_csrf" value="${_csrf.token}"/><!-- 表单内容 -->
</form>

对于非Thymeleaf的HTML表单，确保从模型中传递CSRF token并在表单中手动包含它。

3. 对于AJAX请求，发送CSRF Token

如果你的应用使用AJAX请求，需要在JavaScript中将CSRF token包含在请求的头部。你可以在页面加载时将CSRF token存储在HTML的meta标签中，并通过JavaScript读取它。

<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>

然后，在AJAX请求中设置请求头：

var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");$(function() {$(document).ajaxSend(function(e, xhr, options) {xhr.setRequestHeader(header, token);});
});

4. 考虑REST APIs的CSRF保护

对于REST APIs，你可能会选择禁用CSRF保护，因为它们通常使用如Bearer Token等不容易受到CSRF攻击的身份验证机制。如果你的API同时被浏览器和服务器访问，考虑保持CSRF保护启用或使用其他认证方式。

http.csrf().ignoringAntMatchers("/api/**") // 禁用对API路由的CSRF保护.and().authorizeRequests().antMatchers("/api/**").authenticated().and().httpBasic(); // 或使用其他认证机制