java 框架中预防 csrf 攻击的方法包括：使用 csrf 令牌：生成并存储随机字符串以验证请求的合法性。同源策略：限制来自不同域的请求，防止跨域 csrf 攻击。referer 头检查：验证 referer 头是否与应用程序 url 匹配，以排除跨域 csrf 攻击。httponly cookie：禁止浏览器通过 javascript 访问 cookie，降低会话 cookie 被窃取的风险。

Java 框架中的 CSRF 攻击预防
简介
跨站点请求伪造 (CSRF) 攻击是一种网络攻击，攻击者利用受害者的合法会话令牌向远程 Web 应用程序发送恶意请求。在 Java 框架中，有几种方法可以预防 CSRF 攻击。
立即学习“Java免费学习笔记（深入）”；
预防方法

1. 使用 CSRF 令牌
   CSRF 令牌是一个随机字符串，在用户登录时生成并存储在用户的会话中。在每个表单提交请求中，都包括此令牌。服务器验证请求令牌是否匹配会话中的令牌。如果不匹配，则拒绝请求。
   Spring Framework// 生成 CSRF 令牌
   CsrfToken csrfToken = csrf().generateToken(request);

// 在视图中包含 CSRF 令牌

// 验证请求令牌
if (csrf().isTokenValid(request)) {
// 处理表单提交
}登录后复制2. 同源策略同源策略限制浏览器仅允许来自与请求源头相同的域的请求。通过在应用程序中强制执行同源策略，可以防止跨域的 CSRF 攻击。Spring Framework// 启用同源策略
http.headers().frameOptions().sameOrigin();登录后复制3. Referer 头检查Referer 头包含发出请求的原始 URL。通过检查 Referer 头是否与应用程序的 URL 匹配，可以排除跨域的 CSRF 攻击。Spring Framework// 启用 Referer 头检查
http.headers().contentTypeOptions().header("Referer").deny;登录后复制4. HttpOnly CookieHttpOnly 标记禁止浏览器通过 JavaScript 访问 cookie。这使得攻击者更难窃取会话 cookie 并使用它来执行 CSRF 攻击。Spring Security// 启用 HttpOnly cookie
http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.ALWAYS).and()
.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());登录后复制实战案例SpringBoot 应用@SpringBootApplication
public class App {
public static void main(String[] args) {
SpringApplication.run(App.class, args);
}

@PostMapping("/submit")
public String submit(@RequestParam String token) {
    // 验证 CSRF 令牌
    if (csrf().isTokenValid(request)) {
        // 处理表单提交
        ...
    }
}

}登录后复制HTML 视图

<input type="submit" value="Submit"/>