Spring Boot中的安全配置与防护：保护你的应用免受CSRF和XSS攻击

🏆本文收录于「滚雪球学SpringBoot」专栏，手把手带你零基础入门Spring Boot，从入门到就业，助你早日登顶实现财富自由🚀；同时，欢迎大家关注&&收藏&&订阅！持续更新中，up！up！up！！

环境说明：Windows 10 + IntelliJ IDEA 2021.3.2 + Jdk 1.8

前言

  大家好！今天我们将深入探讨Spring Boot安全配置中的几个重要话题，包括跨站请求伪造（CSRF）、**跨站脚本攻击（XSS）的防护，以及跨域资源共享（CORS）**的处理。这些都是确保你应用安全的关键技术，尤其在现代Web开发中，保护应用免受恶意攻击变得尤为重要。🧑‍💻

  你是否曾经担心过，用户登录之后，其他人是否可以伪造请求来冒充用户执行操作？或者在你的应用中，用户输入的HTML代码能否被恶意用户执行？这些问题背后隐藏的，正是CSRF和XSS等攻击方式。今天，我们将逐一解决这些问题，确保你的应用在复杂的安全环境中依然能安然无恙！🔑🚀

📜 目录

1. 什么是CSRF攻击？如何防护？ 🛡️
2. 防止跨站脚本攻击（XSS） 📝
3. Spring Security中的CORS配置 🌐
4. 总结：做好安全配置，保护应用免受攻击 🔐

1. 什么是CSRF攻击？如何防护？ 🛡️

  首先，让我们了解一下**跨站请求伪造（CSRF）**攻击。CSRF是一种利用已认证用户身份，伪造请求的攻击方式。攻击者通过诱使用户点击恶意链接或访问恶意网站，在不知情的情况下发起对目标应用的请求，从而执行用户权限内的操作。比如，攻击者可能诱导用户点击“更改密码”链接，导致用户密码被修改。😱

CSRF攻击防护：

  在Spring Boot中，默认情况下，Spring Security会启用CSRF保护。这意味着它会自动为每个POST请求生成一个令牌，并且在提交表单时要求附带该令牌，从而确保请求的合法性。以下是CSRF防护的几个关键点：

• 令牌生成与验证：每个用户会收到一个CSRF令牌，随请求一起提交。只有当请求包含有效的令牌时，才能执行操作。
• 禁用CSRF防护：某些情况下，可能需要禁用CSRF保护，比如在处理REST API时。此时可以显式禁用Spring Security的CSRF保护：

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();  // 禁用CSRF保护
    }
}

  然而，在大多数Web应用中，启用CSRF保护是必要的。Spring Security的CSRF保护机制通过@EnableWebSecurity注解和http.csrf()配置来控制。通过这种方式，Spring会确保每个HTTP请求都带有一个有效的CSRF令牌，避免了伪造请求的风险。🔐

CSRF令牌的工作原理：

1. 客户端请求时，服务器会返回一个包含CSRF令牌的页面。
2. 用户提交表单时，该表单会自动带上CSRF令牌。
3. 服务器接收到请求后，会验证该令牌的有效性。如果令牌无效，服务器将拒绝该请求。

2. 防止跨站脚本攻击（XSS） 📝

  接下来，我们聊聊跨站脚本攻击（XSS）。XSS攻击是指攻击者通过向网页注入恶意脚本，利用浏览器执行这些脚本，窃取用户信息或劫持用户会话。XSS通常通过用户输入的表单、URL或评论等方式注入脚本，执行后可能窃取用户的cookie信息、向服务器发送请求等。⚠️

XSS防护：

1. 输入校验：对所有用户输入进行严格的校验和过滤，避免不受信任的输入被执行。比如，禁止HTML标签和JavaScript代码的输入。
2. 输出编码：在展示用户输入的内容时，要对其进行HTML编码，将特殊字符（如<、>、&等）转义，避免其作为HTML标签执行。Spring提供了对模板引擎（如Thymeleaf）的支持，自动进行输出编码。

Spring Boot默认启用了模板引擎的输出转义功能，这样即使用户输入了HTML标签，也不会被执行。例如：

<!-- Thymeleaf模板 -->
<p th:text="${userInput}">用户输入</p>

在这个例子中，userInput的内容将被转义成纯文本，不会被浏览器解释为HTML或JavaScript代码。🌐

3. 使用Content Security Policy (CSP)：CSP是一种可以有效防止XSS攻击的浏览器安全机制。它限制了浏览器加载资源的来源，比如禁止加载外部JavaScript代码或不受信任的脚本。你可以在应用中配置CSP来增强安全性。

http.headers().contentSecurityPolicy("default-src 'self'; script-src 'self' https://trustedscripts.example.com;");

通过以上方法，你可以有效减少XSS攻击的风险，保护用户的隐私和数据安全。🔒

3. Spring Security中的CORS配置 🌐

  **跨域资源共享（CORS）**是指浏览器允许从一个域访问另一个域的资源。在现代Web开发中，前端和后端通常是分离的，因此跨域请求是常见的场景。默认情况下，浏览器会阻止来自不同源（域名、端口、协议等）的请求，以避免安全问题。

如何在Spring Boot中配置CORS？

Spring Security提供了非常方便的方式来配置CORS。你可以通过以下方式配置允许跨域请求：

1. 全局配置：在Spring Security中，你可以通过WebSecurityConfigurerAdapter类来全局配置CORS规则：

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and() // 启用CORS
            .authorizeRequests()
            .anyRequest().authenticated();
    }

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowedOrigins(Arrays.asList("http://localhost:3000")); // 允许的跨域请求来源
        corsConfiguration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE"));
        corsConfiguration.setAllowedHeaders(Arrays.asList("Authorization", "Content-Type"));
        corsConfiguration.setAllowCredentials(true); // 允许携带凭证
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfiguration);
        return source;
    }
}

2. 局部配置：你还可以通过@CrossOrigin注解在Controller级别或方法级别配置CORS：

@RestController
public class MyController {

    @CrossOrigin(origins = "http://localhost:3000")
    @GetMapping("/hello")
    public String sayHello() {
        return "Hello from Spring Boot!";
    }
}

  通过这些配置，你可以灵活地控制哪些外部源可以访问你的应用，同时确保安全性。CORS配置可以帮助你实现前后端分离的应用架构，并允许来自不同域的客户端与服务器进行通信。

4. 总结：做好安全配置，保护应用免受攻击 🔐

  今天我们讨论了如何在Spring Boot应用中配置并防护CSRF攻击、XSS攻击和CORS跨域问题。这些是Web应用中常见的安全隐患，而Spring Security提供的安全配置能够帮助我们快速有效地解决这些问题，确保应用的安全性。

  无论是使用CSRF保护防止伪造请求，还是通过XSS防护和输出编码避免脚本注入，Spring Boot为我们提供了丰富的工具和配置方式，帮助我们应对不同的安全挑战。掌握这些技术，确保你的应用不仅功能强大，安全性也是一流的！🚀

  现在，你可以开始在自己的项目中实施这些安全配置，保护你的应用免受恶意攻击。如果你还没有启用这些安全措施，那就赶紧行动吧！让我们一起提升应用的安全性，打造更加稳健和可靠的系统！💪

🧧福利赠与你🧧

  无论你是计算机专业的学生，还是对编程有兴趣的小伙伴，都建议直接毫无顾忌的学习此专栏「滚雪球学SpringBoot」，bug菌郑重承诺，凡是学习此专栏的同学，均能获取到所需的知识和技能，全网最快速入门SpringBoot，就像滚雪球一样，越滚越大， 无边无际，指数级提升。

  最后，如果这篇文章对你有所帮助，帮忙给作者来个一键三连，关注、点赞、收藏，您的支持就是我坚持写作最大的动力。

  同时欢迎大家关注公众号:「猿圈奇妙屋」 ，以便学习更多同类型的技术文章，免费白嫖最新BAT互联网公司面试题、4000G pdf电子书籍、简历模板、技术文章Markdown文档等海量资料。

✨️ Who am I?

我是bug菌，CSDN | 掘金 | InfoQ | 51CTO | 华为云 | 阿里云 | 腾讯云 等社区博客专家，C站博客之星Top30，华为云多年度十佳博主/价值贡献奖，掘金多年度人气作者Top40，掘金等各大社区平台签约作者，51CTO年度博主Top12，掘金/InfoQ/51CTO等社区优质创作者；全网粉丝合计 30w+；更多精彩福利点击这里；硬核微信公众号「猿圈奇妙屋」，欢迎你的加入！免费白嫖最新BAT互联网公司面试真题、4000G PDF电子书籍、简历模板等海量资料，你想要的我都有，关键是你不来拿。

-End-