CSRF Cross Site Request Forgery - Satttoshi/github-wiki-generator GitHub Wiki

Cross-Site Request Forgery (CSRF) ist eine Sicherheitslücke, die auftritt, wenn ein Angreifer eine nicht autorisierte Aktion im Namen eines angemeldeten Benutzers durchführt.

Bei CSRF-Angriffen erstellt der Angreifer eine bösartige Website oder Plattform, die den Benutzer dazu bringt, eine Aktion auf einer anderen Website auszuführen, auf der der Benutzer bereits angemeldet ist. Diese Aktion könnte das Senden einer Anforderung sein, die Geld von einem Bankkonto überweist oder ein Passwort ändert.

Spring Boot verfügt über eine integrierte Funktion zur Abwehr von CSRF-Angriffen in Spring Security. Dies wird erreicht, indem ein CSRF-Token generiert und an jeden Benutzer gesendet wird, der sich erfolgreich authentifiziert hat. Der Benutzer muss dann das CSRF-Token bei jeder Anfrage mitschicken, um sicherzustellen, dass er autorisiert ist, die Aktionen durchzuführen.

Um den CSRF-Schutz in Spring Boot zu aktivieren, können Sie einfach die folgende Konfiguration in Ihrer Spring Security-Konfigurationsklasse hinzufügen:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf()
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    }
}

Mit dieser Konfiguration wird ein CSRF-Token generiert und in einem Cookie namens "XSRF-TOKEN" gespeichert. Die Schutzmaßnahmen von Spring Security stellen sicher, dass das CSRF-Token korrekt verarbeitet wird, um den Benutzer vor CSRF-Angriffen zu schützen.

Der CSRF-Schutz ist ein wichtiger Aspekt der Sicherheit in Webanwendungen. Durch die Verwendung von CSRF-Schutzmechanismen in Spring Boot, wie zum Beispiel dem generierten CSRF-Token, können mögliche Angriffe verhindert werden und die Sicherheit der Anwendung verbessert werden.