【SpringSecurity系列（十八）】SpringBoot 如何防御 CSRF 攻击？

深入浅出Spring Security书籍发布

《深入浅出Spring Security》一书已由清华大学出版社正式出版发行，书内详细介绍了Spring Security的使用方法。

CSRF攻击概念和防御

CSRF攻击，即跨域请求伪造，是一种常见的Web攻击。由于开发者常常忽略此类攻击，许多网站存在安全隐患。文章通过实例讲解了CSRF攻击的原理，并指出Spring Security默认情况下提供了CSRF防御。

CSRF原理

CSRF攻击的过程包括用户登录网站后，浏览器保存Cookie信息；用户未登出情况下，访问恶意网站并点击链接，恶意网站通过链接自动携带浏览器Cookie进行请求，可能导致用户损失。

CSRF实践

通过创建Spring Boot项目模拟网上银行网站，演示了CSRF攻击的实践过程。项目中配置了用户信息和测试接口，且故意关闭Spring Security中默认的CSRF攻击防御。

CSRF防御

防御CSRF攻击的核心思路是在前端请求中添加随机数，以此区分恶意和合法请求。Spring Security默认提供了CSRF防御，需要将_csrf参数传递到前端。对于前后端分离项目，Spring Security也提供了将_csrf参数放入Cookie中返回前端的方案。

小结

文章总结了CSRF攻击及其防御措施。CSRF攻击主要利用浏览器自动发送Cookie的机制，因此非浏览器前端应用可不考虑该问题。相关案例代码已上传至GitHub。