Как настроить мой NGINX для защиты CSRF в моем приложении Spring Boot - PullRequest
Новая
       41

Как настроить мой NGINX для защиты CSRF в моем приложении Spring Boot

2 голосов
/ 20 июня 2019

Я пытаюсь отделить свое приложение Spring Boot от моего внешнего интерфейса, а именно от моего приложения Angular 7+, используя обратный прокси-сервер NGINX.Приложение Spring Boot имеет версию 2.0.3 + .RELEASE и имеет включенную защиту CSRF.

Моя конфигурация безопасности выглядит следующим образом: 

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .httpBasic().and()
                .authorizeRequests()
                .antMatchers("/").permitAll()
                .anyRequest().authenticated()
                .and().csrf()   
        .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    }

Мой nginx.conf выглядит следующим образом: 

events {
  worker_connections 768;
}

http {
  # Nginx will handle gzip compression of responses from the app server
  gzip on;
  gzip_proxied any;
  gzip_types text/plain application/json;
  gzip_min_length 1000;

  server {
    listen 80;

    # Nginx will reject anything not matching /api
    location /api {
      # Reject requests with unsupported HTTP method
      if ($request_method !~ ^(GET|POST|HEAD|OPTIONS|PUT|DELETE)$) {
        return 405;
      }

      # Only requests matching the whitelist expectations will
      # get sent to the application server
      proxy_pass http://app:8080;
      proxy_http_version 1.1;
      proxy_set_header Upgrade $http_upgrade;
      proxy_set_header Connection 'upgrade';
      proxy_set_header Host $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_cache_bypass $http_upgrade;
    }

    location / {
      root   /var/www/ui;
      try_files $uri $uri/ /index.html =404;
      index  index.html index.htm;
    }
  }
}

С учетом следующего заголовка запроса для http://localhost/api/myResource Iполучить запрещенное сообщение по запросу POST: 

Accept: application/json, text/plain, */*
Accept-Encoding: gzip, deflate, br
Accept-Language: it,it-IT;q=0.9,en;q=0.8,it-CH;q=0.7
authorization: Basic
Connection: keep-alive
Content-Length: 94
Content-Type: application/json
Cookie: SESSION=MTdmNGFmODctMTNiMC00YzRjLWJjNTAtYmVlMTgzMzJkZTli; XSRF-TOKEN=fbe30e1e-1f64-4910-9040-799217c59b51
Host: localhost
Origin: http://localhost
Referer: http://localhost/admin/bundles
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36
X-Requested-With: XMLHttpRequest

Приложение Spring регистрирует следующую ошибку: 

Invalid CSRF token found for http://localhost/api/myResource
...