在Spring Security中使用AJAX向后台传送数据

最新推荐文章于 2024-08-19 22:18:39 发布
最新推荐文章于 2024-08-19 22:18:39 发布
阅读量7.4k 收藏 2
点赞数
分类专栏: Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bnrmaster/article/details/52939212
版权
在Spring Security环境下,使用AJAX发送数据时遇到了Invalid CSRF token的问题。该问题在未集成Spring Security时不存在。解决方案包括在JSP页面的<head>标签中添加特定的<meta>标签,或者在Thymeleaf中根据是否有form表单来相应处理CSRF token。通过这些方法,可以在使用AJAX时避免CSRF错误。
摘要由CSDN通过智能技术生成

工作中遇到的问题,这里记录下,也希望能够帮助同学们少走弯路

为了快速帮助快速解决问题,我决定首先呈现问题的表现,再进行分析

环境:spring 4.2.3

  spring security 4.1.3

表现:

2016-10-26 22:44:02 [http-apr-9080-exec-10] DEBUG org.springframework.security.web.csrf.CsrfFilter - Invalid CSRF token found for XXX
2016-10-26 22:44:02 [http-apr-9080-exec-10] DEBUG org.springframework.security.web.header.writers.HstsHeaderWriter - Not injecting HSTS header since it did not match the requestMatcher org.springframework.security.web.header.writers.HstsHeaderWriter$SecureRequestMatcher@c3339ef
2016-10-26 22:44:02 [http-apr-9080-exec-10] DEBUG org.springframework.security.web.context.SecurityContextPersistenceFilter - SecurityContextHolder now cleared, as request processing completed

前台使用AJAX向后台传输数据时候控制台报出上述错误,再未集成Spring Security时不会出现此现象

解决方法:

如果前端使用的JSP

可以在前端页面的<head>标签中增加两个<meta>标签

如下

<html
最低0.47元/天 解锁文章
bnrmaster
关注
专栏目录
理解Spring Web Security实现Ajax登录
wudengyu的博客
10-05 877
前面写了一篇《网页登录以及单点登录的一些概念》,提到了token和登录用户的相关信息,说token是保存在cookies里,而登录用户的信息是保存在Session里,应该说,如果登录、身份验证、权限验证等这些功能都自己实现的话,大多数人都是这么存放的,原因应该是Servlet提供的接口也就是这些。在说Spring Web Security之前,先看看假如按前面那种思路,继续把登录、身份验证等功能
springsecurity配置csrf,ajax发送post请求访问
qq_51961167的博客
04-24 1721
springsecurity配置csrf,ajax发送post请求访问
springsecurity 登录认证一(ajax
最新发布
冬阳
08-19 1136
UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请 求。入门案例的认证工作主要有它负责。 ExceptionTranslationFilter:处理过滤器链抛出的任何AccessDeniedException和 AuthenticationException 。 FilterSecurityInterceptor:负责权限校验的过滤器。通俗一点就是授权由它负责。(鉴权)
springSecurity csrf ajax
一叶竹
10-30 1035
html设置 ajax : var token = $("meta[name='_csrf']").attr("content"); var header = $("meta[name='_csrf_header']").attr("content");  $.ajax({           url: "./deleteRes",
SpringBoot 2整合SpringSecurity权限管理(七)实现基于Ajax的访问
The man was lazy and left no message
03-21 603
前言 前面所做的SpringSecurity登录处理都是基于页面的,现在流行前后端分离开发,没有使用表单,数据交互都是使用JSON,下面来看看怎么处理Ajax请求,移动端的请求验证也适用。 一、修改原login页面的form表单 这是原来的: <form th:action="@{/login}" method="post"> <div><label> ...
使用AJAX实现SpringSecurity登录(不禁用csrf )
qq_45004609的博客
11-28 426
的ResultEntity为封装的统一返回类型。
Java零基础——SpringSecurity
m0_47946173的博客
12-04 2076
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
sping cloud gateway集成spring security实现后端分离模式下的后端微服务认证授权
热门推荐
MongolianWolf的专栏
06-30 4万+
# 引言   由于目前网上大部分spring security的集成都是基于传统的spring servlet机制,而spring cloud gateway 采用webflux作为底层web技术支持,不支持servlet,笔者在集成的过程走了很多弯路,所以特地写一篇spring cloud gateway和security的集成实践博客,如有错误,欢迎指正。 Spring Security  ...
Spring Security -- 前后端分离时的安全处理方案
AS011x的博客
09-03 1481
今天就带大家来学习一下在前后端分离的开发模式下,如何保护我们项目的安全。有的小伙伴会问,啥是前后端分离啊?如果你对此一无所知,一一哥只能建议你先查阅一下相关资料,本文 只能带你简单了解一下前后端分离的概念,毕竟今天我们是在讲解如何保证安全性的。还有的小伙伴会说,前后端分离有什么了不起,为啥就需要单独处理?它和前后端不分离时有什么不同?那么就让我们带着这些疑问来开始今天的内容吧!我们还是先来了解一下前后端分离这种开发模式吧,看看到底什么是前后端分离!
基于 Java Spring Security 的关注微信公众号即登录的设计与实现 ya
m0_67698950的博客
04-07 1928
太长不看版本 本文通过一个实际的具有一定商业价值的项目,展示了 API 优先的开发方法。通过薅羊毛的方式,落地了 Free Arch 架构。 背景和价值 通过微信公众号积累粉丝并进行商业活动宣传,是新媒体运营的常见方式。而系统对接微信登录,既能给用户带来便利,同时也能够给系统引流。但是传统或者标准的 PC 网页端微信扫码登录,用户扫码只需要做 OAuth 授权,不必关注公众号。但是对于运营者来说,更希望通过微信登录的用户,自动成为微信粉丝,实现系统微信用户和公众号粉丝的一一对应。 ..
Spring security ajax提交数据
征途人生&梦
04-16 639
使用spring security后,如果使用的是thymeleaf,那么form action会帮我们自动加上csrf 隐藏域,但是ajax提交就需要自己获取了,在文档有提到。 Example 124. AJAX send CSRF Token $(function () { var token = $("meta[name='_csrf']").attr("content");...
ajax后台传送集合,在Spring Security使用AJAX后台传送数据
weixin_36307713的博客
08-06 278
工做遇到的问题,这里记录下,也但愿可以帮助同窗们少走弯路html为了快速帮助快速解决问题,我决定首先呈现问题的表现,再进行分析前端环境:spring 4.2.3webspring security 4.1.3ajax表现:spring2016-10-26 22:44:02 [http-apr-9080-exec-10] DEBUG org.springframework.security.web...
# spring-security(一)
m0_74795259的博客
12-09 3313
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证和授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
SpringSecurity记住我功能如何实现?含源码分析
黑马程序员官方博客
03-18 1591
spring security提供了"记住我"的功能,来完成用户下次访问时自动登录功能,而无需再次输入用户名密码。下面,我们来通过代码演示该功能实现——主要是通过配置remember-me标签。 我们通过如下的配置过程来实现“记住我”的功能: 1、搭建maven项目(web工程),引入功能的相关依赖 2、配置web.xmlspringspringsecurity的加载、s...
SpringSecurity学习笔记(八)RememberMe功能
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-07 613
RememberMe 是一种服务器端的行为。传统的登录方式基于 Session会话,一旦用户的会话超时过期,就要再次登录,这样太过于烦琐。如果能有一种机制,让用户会话过期之后,还能继续保持认证状态,就会方便很多,RememberMe 就是为了解决这一需求而生的。原本的交互流程是,用户登录了之后会将用户的信息保存在服务端的session,并且返回客户端一个jsessionid作为一个标识,默认过期时间是30分钟,30min没有进行任何操作,时间到了之后就会过期。
Spring Security Config : HttpSecurity安全配置器 HeadersConfigurer
Details Inside Spring
06-09 5638
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,HeadersConfigurer的配置任务如下 : 配置如下安全过滤器Filter HeaderWriterFilter HeadersConfigurer自己内置定义了一组特定头部的配置类并允许使用者配置,这些配置类每个其实对应一个相应的头部写入器HeaderWriter。除此之外,Headers...
Not injecting HSTS header since it did not match the requestMatcher HSTS设置问题解决
了迹奇有没
08-26 6815
HSTS请求设置 错误描述:在使用文件上传功能时,form表单提交带有header数据的请求时遇到这个问题,报错如下: Not injecting HSTS header since it did not match the requestMatcher org.springframework.security.web.header.writers.HstsHeaderWriter$SecureRequestMatcher@79cc14a4 [DEBUG] 2021-08-26 14:04:27.3
Spring Security 6.x 系列【46】漏洞防护篇之安全相关的HTTP响应头
记录知识、锤炼自我
05-30 1258
HeaderWriterFilter字面理解为请求头写入过滤器,他的作用是将某些头信息添加到响应,添加某些启用浏览器保护的头信息非常有用,如X-Frame-Options、X-XSS-Protection、X-Content-Type-Options等,增加一些安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值