我很难将 cookies 存储在 React Native 应用程序中。
我的目标是将JSESSIONID 和XSRF-TOKEN 作为响应头的键而不是Set-Cookie 发送,客户端将手动将其存储为cookie。
JSESSIONID 存储为cookie,并将HttpOnly 设置为true。XSRF-TOKEN 存储为cookie,并将HttpOnly 设置为false。【问题讨论】:
标签: spring spring-boot cookies spring-security
基本安全概念:
应始终为 HttpOnly,设置域(或使用默认值作为提供它的服务器)。 切勿存储在处理它的浏览器以外的任何地方。您的 JS/HTML 应该对 JSESSION Cookie 一无所知,并且只有在用户从端点获得 401(未授权)时才将用户移动到登录屏幕。
在过去(大概 5 年吧!),大多数网站都是在服务器上呈现的。服务器创建了 HTML,然后通过 URI 将其发回。就像您访问 /profile 一样,服务器知道您是谁,然后在其服务器上创建个人资料页面并反馈 HTML 文档。
当想要获得一些用户输入时,服务器呈现的这个 HTML 将包含一个 <form/>,它将收集用户的数据(密码/银行详细信息等),然后使用 onSubmit 将其传递回服务器application/x-www-form-urlencoded 格式
例如。
https://thewebsite.com/sendmoney_to?account=512&amount=1milliondollars
只需将该链接发送给与站点thewebsite.com 有活动会话的人,浏览器就会访问它并执行请求。
就站点而言,受害者已登录,并且会愉快地运行攻击者发送的请求。这些链接有时甚至可以通过简单地加载<img>(例如通过在他们的墙上或电子邮件等中发布)来关注。
那么他们是如何解决这个问题的呢?
通过在名为hidden fields 的表单中添加一些字段。这些隐藏字段是由服务器在呈现页面时创建的。它们包含一个值,即 CSRF TOKEN 以及 CSRF COOKIE 中的某些内容。因此,当application/x-www-form-urlencoded 表单被发送时,它必须在呈现表单时在服务器上生成这些值。然后,服务器可以验证表单是他们创建的表单,而不是攻击者创建的恶意链接。
攻击者在制作他们的顽皮链接时无法知道/猜测这些。
由于只有 JSON 请求,因此许多网站(如 React 应用程序)都是在客户端呈现并使用 Axios/Fetch...CSRF 有点多余。您不发布表单/application/x-www-form-urlencoded...仅使用 JSON 正文发出 POST 请求。
会话作为 XSS 攻击仍然很重要 > CSRF 攻击。正确存储会话(JWT 令牌与否......不要跳上 JWT 的潮流并开始将 JWT Auth Token 扔到本地存储周围,这似乎已成为新开发人员的某种奇怪的默认设置)。
如果您确定您只有application/json 支持的端点,那么攻击者让您发布他们的内容而不是您的意图的唯一方法是通过 XSS 攻击。但是一旦他们受到 XSS 攻击,游戏就结束了。就服务器而言,他们只是你,因为他们使用他们顽皮的注入 <script> 在请求发送之前操纵请求,服务器将无法知道它已被动态操纵(通常)。
XSRF-TOKEN 您可能需要使用过滤器公开 XSRF 令牌,该过滤器将提取 CSRF 令牌(通过会话)并将其添加到响应实体的标头中。
我自己写的,但在一些用来做同样事情的库中基本上是一样的。
@Log4j2
public class CsrfBindingFilter extends OncePerRequestFilter {
protected static final String REQUEST_ATTRIBUTE_NAME = "_csrf";
protected static final String RESPONSE_HEADER_NAME = "X-CSRF-HEADER";
protected static final String RESPONSE_PARAM_NAME = "X-CSRF-PARAM";
protected static final String RESPONSE_TOKEN_NAME = "X-CSRF-TOKEN";
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, javax.servlet.FilterChain filterChain) throws ServletException, IOException {
CsrfToken csrfToken = (CsrfToken) request.getAttribute(REQUEST_ATTRIBUTE_NAME);
log.debug("CRSF Token from session : {}", csrfToken != null ? csrfToken.getToken() : "CsrfToken is NULL");
if (csrfToken != null) {
response.setHeader(RESPONSE_HEADER_NAME, csrfToken.getHeaderName());
response.setHeader(RESPONSE_PARAM_NAME, csrfToken.getParameterName());
response.setHeader(RESPONSE_TOKEN_NAME, csrfToken.getToken());
}
filterChain.doFilter(request, response);
}
}
就会话而言,浏览器应该处理它,您不应该在客户端弄乱它,除非它是出于非常特定的原因(我无法理解)。 Sessions 的 Cookie 设置为 HttpOnly 是为了禁止在客户端运行的任何 JS 编辑/读取/添加它。
带有一些像get the cookie called JSESSION ID if the host is myvictim.com and post it over here... 这样的顽皮代码的小广告/xss 可能意味着您受到了损害。
阅读本文了解更多详情:
Add HttpOnly Cookie via JS
浏览器应按预期处理 Set-Cookie 标头,这是最佳实践(出于安全原因,也只是为了简单易用)。
WebSocket STOMP 身份验证
一旦用户通过您的/login 进行身份验证,Spring 应该发送带有JSESSIONID Cookie 的 Set-Cookie 标头。此 cookie 将由浏览器存储,您的前端 javascript 应用程序应该无法访问。
如果您随后使用 STOMP Spring WebSocket 实现,您可以通过 @MessageMapping Controller 参数中的 StompHeaderAccessor 获取 STOMP 消息中的主体用户名。
stompHeaderAccessor.getUser().getName() 会给出 Spring Security 认证用户的主体名称(通常是他们的用户名或 id,用户名是默认的)。
@MessageMapping("/agents/start")
public void start(StompHeaderAccessor stompHeaderAccessor) {
log.info("Subscriber Start! {}-{}", stompHeaderAccessor.getUser() != null ? stompHeaderAccessor.getUser().getName() : "ANON", stompHeaderAccessor.getSessionId());
mysessionstore.addSessionId(stompHeaderAccessor.getSessionId());
}
如果您想编辑用户的会话属性,则需要从 SPRING_SESSION 表中获取他们的会话 ID,您可以使用 Spring SessionRepository 来获取它。
【讨论】:
withCredentials=true 意味着浏览器将在每个请求中发送 JESSION httponly cookie(如果域与 c 的 cookie 匹配)。 HttpCookie 和 JSESSIONID 的使用意味着您在前端 javascript 上唯一应该关心的事情 => 从端点获取 401 => 转到登录页面。您的 HTML/JS 应该对会话 Cookie 一无所知。