Запрет CSRF в JSF2 с сохранением состояния на стороне клиента

Question

Запрет CSRF в JSF2 с сохранением состояния на стороне клиента

Я использую MyFaces 2.2.3 с сохранением состояния на стороне клиента + PrimeFaces

После того, как я спросил, как предотвратить повторное использование ViewState в разных сеансах , BalusC сказал мне, что я могу ввести свой собственный токен CSRF, переопределив from renderer, чтобы позволить значению быть токеном CSRF,

Я ищу решение, которое не заставит меня изменить мои HTML- страницы вообще:)

BalusC предложил лучший способ предотвращения атаки CSRF, расширив ViewHandlerWrapper, и это прекрасно работает, мне нужно было лишь немного изменить restoreView следующим образом

public UIViewRoot restoreView(FacesContext context, String viewId) {
    UIViewRoot view = super.restoreView(context, viewId);
    if (getCsrfToken(context).equals(view.getAttributes().get(CSRF_TOKEN_KEY))) {
        return view;
    } else {
        HttpSession session = (HttpSession) context.getExternalContext().getSession(false);
        if (session != null) {
            session.invalidate(); //invalidate session so (my custom and unrelated) PhaseListener will notice that its a bad session now
        }
        try {
            FacesContext.getCurrentInstance().getExternalContext().redirect("CSRF detected and blocked"); //better looking user feedback
        } catch (IOException e) {
            e.printStackTrace();
        }
        return null;
    }
}

Старое решение

~~Я безуспешно пытался,~~

Добавлен в face-config.xml

<render-kit>
    <renderer>
        <component-family>javax.faces.Form</component-family>
        <renderer-type>javax.faces.Form</renderer-type>
        <renderer-class>com.communitake.mdportal.renderers.CTFormRenderer</renderer-class>
    </renderer>
</render-kit>

Затем в CTFormRenderer.java

@Override
public void encodeEnd(FacesContext context, UIComponent arg1) throws IOException {
    //how to set form value be a CSRF token?
}

@Override
public void decode(FacesContext context, UIComponent component) {
    HttpSession session = (HttpSession) context.getExternalContext().getSession(false);
    String token = (String) session.getAttribute(CSRFTOKEN_NAME);
    String tokenFromForm = //how to get the value stored in form value attribute because (String) component.getAttributes().get("value"); return null
    //check token against tokenFromForm...
}

Я не хочу добавлять пользовательский компонент для каждого h:form вместо этого я хочу продлить form так что все мои формы будут иметь csrf token,

4

jsf-2 csrf jsf-2.2 viewstate myfaces

Источник

user617373 28 май '15 в 13:03

1 ответ

Решение

Другие вопросы по тегам jsf-2 csrf jsf-2.2 viewstate myfaces

user157882 02 июн '15 в 14:39 2015-06-02 14:39 · Accepted Answer · 2015-06-02 14:39

Это <h:form> Подход переопределения рендерера небезопасен для PrimeFaces partialSubmit="true", Кроме того, повторное использование его скрытого поля, идентифицирующего отправленную форму, будет зависеть от реализации JSF, поскольку это не является частью JSF API.

Во-вторых, гораздо проще хранить токен CSRF непосредственно в самом состоянии представления JSF. Вы можете достичь этого с помощью пользовательских ViewHandler как показано ниже, который устанавливает атрибут в UIViewRoot (которые автоматически сохраняются в состоянии просмотра JSF):

public class CsrfViewHandler extends ViewHandlerWrapper {

    private static final String CSRF_TOKEN_KEY = CsrfViewHandler.class.getName();

    private ViewHandler wrapped;

    public CsrfViewHandler(ViewHandler wrapped) {
        this.wrapped = wrapped;
    }

    @Override
    public UIViewRoot restoreView(FacesContext context, String viewId) {
        UIViewRoot view = super.restoreView(context, viewId);
        return getCsrfToken(context).equals(view.getAttributes().get(CSRF_TOKEN_KEY)) ? view : null;
    }

    @Override
    public void renderView(FacesContext context, UIViewRoot view) throws IOException, FacesException {
        view.getAttributes().put(CSRF_TOKEN_KEY, getCsrfToken(context));
        super.renderView(context, view);
    }

    private String getCsrfToken(FacesContext context) {
        String csrfToken = (String) context.getExternalContext().getSessionMap().get(CSRF_TOKEN_KEY);

        if (csrfToken == null) {
            csrfToken = UUID.randomUUID().toString();
            context.getExternalContext().getSessionMap().put(CSRF_TOKEN_KEY, csrfToken);
        }

        return csrfToken;
    }

    @Override
    public ViewHandler getWrapped() {
        return wrapped;
    }

}

Обратите внимание, что когда restoreView() возвращается nullJSF бросит ViewExpiredException "по-прежнему".

Чтобы запустить его, зарегистрируйтесь как ниже faces-config.xml:

<application>
    <view-handler>com.example.CsrfViewHandler</view-handler>    
</application>

Поскольку он не имеет никакого дополнительного значения при сохранении состояния на стороне сервера, вы можете при необходимости обнаружить, как показано ниже, в конструкторе обработчика представления, если текущее приложение JSF сконфигурировано с сохранением состояния на стороне клиента:

FacesContext context = FacesContext.getCurrentInstance();

if (!context.getApplication().getStateManager().isSavingStateInClient(context)) {
    throw new IllegalStateException("This view handler is only applicable when JSF is configured with "
        + StateManager.STATE_SAVING_METHOD_PARAM_NAME + "=" + StateManager.STATE_SAVING_METHOD_CLIENT);
}