Spring Security漏洞防护—HTTP 安全响应头

Doker 多克2023-10-25 9:53

一、默认的 Security Header

Spring Security提供了 一套默认的安全HTTP响应头,以提供安全默认值。虽然这些头信息中的每一个都被认为是最佳实践,但应该注意的是,并不是所有的客户端都使用这些头信息,所以鼓励进行额外的测试。

你可以定制特定的header。例如,假设你想使用默认值,但你希望为 X-Frame-Options 指定 SAMEORIGIN。

你可以通过以下配置做到这一点。

Customize Default Security Headers

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			.frameOptions(frameOptions -> frameOptions
  				.sameOrigin()
  			)
  		);
  	return http.build();
  }

    }

如果你不希望添加默认值,并希望明确控制应该使用什么,你可以禁用默认值。接下来的代码列表显示了如何做到这一点。

如果你使用Spring Security的配置,下面只添加了 Cache Control。

Customize Cache Control Headers

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			// do not use any default headers unless explicitly listed
  			.defaultsDisabled()
  			.cacheControl(withDefaults())
  		);
  	return http.build();
  }

    }

如果有必要,你可以通过以下配置禁用所有的HTTP安全响应头。

Disable All HTTP Security Headers

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers.disable());
  	return http.build();
  }

    }

二、Cache Control

Spring Security默认包括 Cache Control (缓存控制)头。

然而,如果你真的想缓存特定的响应,你的应用程序可以选择性地调用 HttpServletResponse.setHeader(String,String) 来覆盖Spring Security设置的头。你可以用它来确保内容(如CSS、JavaScript和图片)被正确缓存。

当你使用Spring Web MVC时,这通常是在你的配置中完成的。你可以在Spring参考文档的 静态资源 部分找到关于如何做到这一点的细节

如果有必要,你也可以禁用Spring Security的缓存控制HTTP响应头。

Cache Control Disabled

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			.cacheControl(cache -> cache.disable())
  		);
  	return http.build();
  }

    }

三、Content Type Options

Spring Security默认包括 Content-Type 头。然而,你可以禁用它。

Content Type Options Disabled

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			.contentTypeOptions(contentTypeOptions -> contentTypeOptions.disable())
  		);
  	return http.build();
  }

    }

四、HTTP Strict Transport Security (HSTS)

默认情况下,Spring Security 提供 Strict Transport Security 头。然而,你可以明确地定制结果。下面的例子明确地提供了HSTS。

Strict Transport Security

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			.httpStrictTransportSecurity(hsts -> hsts
  				.includeSubDomains(true)
  				.preload(true)
  				.maxAgeInSeconds(31536000)
  			)
  		);
  	return http.build();
  }

    }

五、HTTP Public Key Pinning (HPKP)

Spring Security提供了对 HTTP公钥绑定(HTTP Public Key Pinning) 的servlet支持,但 不再推荐。

你可以通过以下配置启用HPKP头。

HTTP Public Key Pinning

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			.httpPublicKeyPinning(hpkp -> hpkp
  				.includeSubDomains(true)
  				.reportUri("https://example.net/pkp-report")
  				.addSha256Pins("d6qzRu9zOECb90Uez27xWltNsj0e1Md7GkYYkVoZWmM=", "E9CZ9INDbd+2eRQozYqqbQ2yXLVKB9+xcprMF+44U1g=")
  			)
  		);
  	return http.build();
  }

    }

六、X-Frame-Options

默认情况下,Spring Security通过使用 X-Frame-Options 指示浏览器阻止反射的XSS攻击。

例如,以下配置指定Spring Security不应再指示浏览器阻止该内容。

X-Frame-Options: SAMEORIGIN

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			.frameOptions(frameOptions -> frameOptions
  				.sameOrigin()
  			)
  		);
  	return http.build();
  }

    }

七、X-XSS-Protection

默认情况下,Spring Security 通过使用X-XSS-Protection header指示浏览器禁用 XSS Auditor。然而,你可以改变这个默认值。例如,下面的配置指定Spring Security指示兼容的浏览器启用过滤功能,并阻止该内容。

X-XSS-Protection Customization

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			.xssProtection(xss -> xss
  				.headerValue(XXssProtectionHeaderWriter.HeaderValue.ENABLED_MODE_BLOCK)
  			)
  		);
  	return http.build();
  }

    }

八、Content Security Policy (CSP)

Spring Security并没有默认添加 Content Security Policy(内容安全策略),因为如果不了解应用程序的上下文,就不可能知道合理的默认。web应用程序作者必须声明安全策略(或策略),以便对受保护的资源进行强制执行或监控。

考虑以下安全策略。

Content Security Policy Example

Content-Security-Policy: script-src 'self' https://trustedscripts.example.com; object-src https://trustedplugins.example.com; report-uri /csp-report-endpoint/

鉴于前面的安全策略,你可以启用CSP头。

Content Security Policy

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			.contentSecurityPolicy(csp -> csp
  				.policyDirectives("script-src 'self' https://trustedscripts.example.com; object-src https://trustedplugins.example.com; report-uri /csp-report-endpoint/")
  			)
  		);
  	return http.build();
  }

    }

要启用 CSP report-only header,请提供以下配置。

Content Security Policy Report Only

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			.contentSecurityPolicy(csp -> csp
  				.policyDirectives("script-src 'self' https://trustedscripts.example.com; object-src https://trustedplugins.example.com; report-uri /csp-report-endpoint/")
  				.reportOnly()
  			)
  		);
  	return http.build();
  }

    }

九、Referrer Policy

Spring Security 默认不添加 Referrer Policy 头。你可以通过使用配置来启用 Referer Policy 头。

Referrer Policy

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			.referrerPolicy(referrer -> referrer
  				.policy(ReferrerPolicy.SAME_ORIGIN)
  			)
  		);
  	return http.build();
  }

    }

十、Feature Policy

Spring Security 默认不添加 Feature Policy 头。考虑一下下面的 Feature-Policy 头。

Feature-Policy Example

Feature-Policy: geolocation 'self'

你可以通过使用以下配置来启用前面的 feature policy 头

Feature-Policy

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			.featurePolicy("geolocation 'self'")
  		);
  	return http.build();
  }

    }

十一、Permissions Policy

Spring Security 默认不添加 Permissions Policy 头。考虑一下下面的 Permissions-Policy 头。

Permissions-Policy Example

Permissions-Policy: geolocation=(self)

你可以使用以下配置启用前面的 permissions policy 头。

Permissions-Policy

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			.permissionsPolicy(permissions -> permissions
  				.policy("geolocation=(self)")
  			)
  		);
  	return http.build();
  }

    }

十二、清除网站数据(Clear Site Data)

Spring Security默认不添加 Clear-Site-Data 头。考虑一下下面的 Clear-Site-Data 头。

Clear-Site-Data Example

Clear-Site-Data: "cache", "cookies"

你可以通过以下配置在注销时发送前面的 header。

Clear-Site-Data

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.logout((logout) -> logout
              .addLogoutHandler(new HeaderWriterLogoutHandler(new ClearSiteDataHeaderWriter(CACHE, COOKIES)))
  		);
  	return http.build();
  }

    }

十三、自定义 Header

Spring Security有一些机制,可以方便地在你的应用程序中添加更常见的安全header。然而,它也提供了钩子来实现添加自定义header。

1、静态 Header

有时,你可能希望在你的应用程序中注入不支持的自定义安全header。考虑一下下面的自定义安全header。

X-Custom-Security-Header: header-value

鉴于前面的 header 信息,你可以通过使用以下配置将 header 信息添加到响应中。

StaticHeadersWriter

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			.addHeaderWriter(new StaticHeadersWriter("X-Custom-Security-Header","header-value"))
  		);
  	return http.build();
  }

    }

2、HeadersWriter

当命名空间或Java配置不支持你想要的header时,你可以创建一个自定义的 HeadersWriter 实例,甚至提供一个自定义的 HeadersWriter 实现。

下一个例子使用 XFrameOptionsHeaderWriter 的一个自定义实例。如果你想明确地配置 X-Frame-Options,你可以用下面的配置来实现。

Headers Writer

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	http
  		// ...
  		.headers(headers -> headers
  			.addHeaderWriter(new XFrameOptionsHeaderWriter(XFrameOptionsMode.SAMEORIGIN))
  		);
  	return http.build();
  }

    }

3、DelegatingRequestMatcherHeaderWriter

有时,你可能想只为某些请求写一个header。例如,也许你只想保护你的登录页面.。你可以使用 DelegatingRequestMatcherHeaderWriter 来做到这一点。

下面的配置例子使用 DelegatingRequestMatcherHeaderWriter。

DelegatingRequestMatcherHeaderWriter Java Configuration

  • Java

    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig {

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  	RequestMatcher matcher = new AntPathRequestMatcher("/login");
  	DelegatingRequestMatcherHeaderWriter headerWriter =
  		new DelegatingRequestMatcherHeaderWriter(matcher,new XFrameOptionsHeaderWriter());
  	http
  		// ...
  		.headers(headers -> headers
  			.frameOptions(frameOptions -> frameOptions.disable())
  			.addHeaderWriter(headerWriter)
  		);
  	return http.build();
  }

    }

相关推荐
程序员是干活的21 小时前
私家车开车回家过节会发生什么事情
java·开发语言·软件构建·1024程序员节
freellf9 天前
数据结构及基本算法
1024程序员节
BruceGerGer1 个月前
flutter开发实战-flutter web加载html及HtmlElementView的使用
flutter·1024程序员节
网络冒险家2 个月前
【软考】系统集成项目管理工程师【第二版】
职场和发展·软考·集成学习·1024程序员节·系统集成项目工程师
BruceGerGer2 个月前
flutter开发实战-AssetBundle读取指定packagename的文件
flutter·1024程序员节
sheng12345678rui2 个月前
最新缺失msvcp140.dll的多种解决方法,有效解决电脑dll问题
windows·microsoft·电脑·dll文件·1024程序员节
a5553338203 个月前
电脑显示mfc140u.dll丢失的修复方法,总结7种有效的方法
java·经验分享·dll·dll文件丢失·1024程序员节
行十万里人生3 个月前
C++ 智能指针
linux·c++·git·阿里云·容器·蓝桥杯·1024程序员节
a5553338203 个月前
启动鸣潮提示错误代码126:加载d3dcompiler_43.dll错误或缺失的7个解决方法
前端·经验分享·dll·dll文件丢失·1024程序员节
BruceGerGer3 个月前
flutter开发实战-Webview及dispose关闭背景音
flutter·1024程序员节
热门推荐
01【经验分享】Ubuntu22.04安装微信(linux官方版)02安卓系列机型永久去除data分区加密 详细步骤解析032024年高教社杯数学建模国赛C题超详细解题思路分析04CTF网络安全大赛简单的web抓包题目:HEADache05组基轨迹建模 GBTM的介绍与实现(Stata 或 R)06【2024数模国赛赛题思路公开】国赛B题思路丨附可运行代码丨无偿自提07【极空间NAS】使用WebDAV服务 + DDNSTO内网穿透 实现思源笔记的内外网同步08苍穹外卖面试总结09【2024高教社杯全国大学生数学建模竞赛】B题 生产过程中的决策问题——解题思路 代码 论文10分享几个惊艳的 Three.js 个人站点