# spring-security-learn

**Repository Path**: FutaoSmile/spring-security-learn

## Basic Information

- **Project Name**: spring-security-learn
- **Description**: No description available
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 0
- **Forks**: 0
- **Created**: 2021-05-18
- **Last Updated**: 2021-05-21

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

### # CSRF `Cross-site request forgery`,跨站请求伪造
> 用户在登录站点A之后，保存了站点A的cookie。之后站点B去恶意访问站点A的接口，浏览器会携带上站点A的cookie，就造成了跨站请求伪造。

* SpringSecurity应对跨站请求伪造：过滤器:`CsrfFilter`
    * `CsrfFilter`过滤器先获取服务器内csrfToken（从cookie/session），如果没有则生成并保存
    * 将csrfToken给客户端：`request.setAttribute`
    * 验证：
        * 客户端拿到`request.getAttribute`
        * 客户端请求站点需要带上csrfToken
        * 从header或者parameter中读取actualToken，将该actualToken与csrfToken比较，如果相同则放行。