개발/Web

[Spring Boot] spring security - CSRF 적용 , +) ajax csrf 적용

ynzu🤍 2021. 12. 7. 09:46
반응형

1. gradle 혹은 maven에 'spring-boot-starter-security' 추가

implementation 'org.springframework.boot:spring-boot-starter-security'
<!-- https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-security -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>2.5.5</version>
</dependency>

Spring Security는 스프링 기반의 어플리케이션 보안을 담당하는 프레임워크로 Spring Security를 사용하면 보안처리를 간단하면서 강력하게 구현가능하다! 

 

2. XXXXApplication.java에 @EnableWebSecurity 선언

  • @EnableWebSecurity :Spring Security를 활성화
@EnableWebSecurity
@SpringBootApplication
@PropertySource(value = "classpath:test.yml", factory = YamlPropertySourceFactory.class)
public class TestApplication {

    public static void main(String[] args) {

        ConfigurableApplicationContext ctx = SpringApplication.run(TestApplication.class, args);
        
  	}
 }
  • XXXXApplication.java가 아니라 3번에서 작성한 WebSecurityConfig.java에 @EnableWebSecurity 등록 가능

 

3. WebSecurityConfigurerAdapter를 상속받는 class를 작성

  • @Configuration :해당 클래스를 Configuration으로 등록
  • 설정은 WebSecurityConfigurerAdapter 클래스를 상속받아 오버라이딩하는 방식으로 진행
  • /**
     * Web Security.
     * CSRF 방어 코드 적용
     */
    @Slf4j
    @Configuration
    public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    
        /**
         * CSRF 검사하지 않을 URL 목록
         */
        @Value("${test.security.csrf.exclude}")
        private String[] excludeUrl;
    
        @Override
        protected void configure(HttpSecurity http) throws Exception {
    
            http
                    //CSRF 방어코드
                    .csrf().ignoringRequestMatchers(new CsrfIgnoringRequestMatcher(this.excludeUrl));
        }
    
        private static class CsrfIgnoringRequestMatcher implements RequestMatcher {
            //CSRF token 검증 하지 않을 HTTP METHOD
            private static final String[] ALLOWED_METHODS = new String[] {"GET", "OPTIONS"};
    
            //CSRF token 검증 하지 않을 url
            private final String[] allowedUrls;
    
            public CsrfIgnoringRequestMatcher(String[] allowedUrls) {
                this.allowedUrls = allowedUrls;
            }
    
            @Override
            public boolean matches(HttpServletRequest request) {
                String method = request.getMethod();
                for(String allowedMethod : ALLOWED_METHODS) {
                    if (allowedMethod.equalsIgnoreCase(method)) {
                        return true;
                    }
                }
    
                String uri = request.getRequestURI();
                uri = uri.replaceAll(request.getContextPath(), "");
                for (String allowedUrl : allowedUrls) {
                    if (uri.startsWith(allowedUrl)) {
                        return true;
                    }
                }
                return false;
            }
        }
    }
     

 

※주의 사항

1. ajax 통신을 할 때는 header의 csrf를 확인하므로 아래와 같이 header에 csrf를 세팅해줘야 함.

$.ajaxSetup({
  beforeSend: function(xhr) {
      xhr.setRequestHeader("AJAX", true);
      var csrfToken = $("input[name=_csrf]").val();
      xhr.setRequestHeader("X-CSRF-TOKEN", csrfToken);
  },

 

2. form 태그에 action이 있을 경우만 hidden csrf가 자동 생성됨 (없으면 csrf 안생김)

csrf hidden이 안 생긴다면 form태그에 action이 빠져있는지 확인해보자!

728x90
반응형