spring boot security csrf ignore

最新推荐文章于 2024-04-24 04:15:00 发布
最新推荐文章于 2024-04-24 04:15:00 发布
阅读量3.1k 收藏 4
点赞数 2
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/junandjun/article/details/51462785
版权

在一个工程中使用了spring boot security csrf ,

工程中有一部分是api,通过url进行调用,并且要求使用post请求

那么麻烦来了,使用了csrf,调用api的请求被拒了,原因就是没有csrf,认为session过期了

怎么绕过去呢

public class SecurityConfig extends WebSecurityConfigurerAdapter{

protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()
            
            .and().csrf().ignoringAntMatchers("/api/**")


这样就好了,看来spring做的东西非常到位呀

junandjun
关注
专栏目录
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 3913
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
AppScan安全扫描:CSRF 攻击 将可能干扰 CSRF 攻击的 HTTP 头除去,并使用伪造的 URL 设置 Referer 头
爱兰河少
01-30 1720
如果一个网站是从其他网站点击后跳转过来,则会在当前的请求头中带上Referer信息,该信息指示的是跳转前网页的地址信息,而AppScan安全扫描则会报CSRF 攻击;解决方法:通过拦截器,获取请求中的Referer信息,对Referer信息做过滤处理 1、拦截器信息 可用过csrf-ignore-uri配置白单信息,指定相应的URI信息不做拦截 package cn.com.zwjp.fr...
spring boot项目怎么预防CSRF攻击
最新发布
keyboard专栏
04-24 964
Spring Boot项目中预防CSRF攻击通常涉及利用Spring Security框架提供的内置支持。Spring Security已经为CSRF提供了默认的防护措施,但根据应用的特定需求,可能需要进行一些配置调整或扩展。
SpringSecurity - CSRF 防御
TrustNature
10-19 843
SpringSecurity CSRF 防御,我们使用http.csrf.disable()暂时关闭掉了CSRF的防御功能,但是这样是不安全的,那么怎么样才是正确的做法呢? 整体来说,就是两个思路: 生成 csrfToken 保存在 HttpSession 或者 Cookie 中。 请求到来时,从请求中提取出来 csrfToken,和保存的 csrfToken 做比较,进而判断出当前请求是否合...
Eureka Server 开启身份验证与客户端注册、限制 IP 注册
蚩尤后裔-汪茂雄
03-08 4531
目录 前言 Eureka Server 开启身份验证 pom.xml application.yml WebSecurityConfig 开启 CSRF 防护 启动测试 Eureka Client 注册到服务中心 pom.xml 启动测试 前言 1、《Spring Boot 搭建 Eureka Servrer · 单机模式》成功搭建了 Eureka Server,启动应...............
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
spring boot jpa security
05-08
Spring Boot JPA与Security是两个在Java开发领域中极为重要的技术框架,它们分别专注于数据访问和应用程序的安全管理。本文将深入探讨这两个框架的核心概念、如何整合使用以及在实际项目中的应用。 Spring Boot是由...
spring security CSRF防护的示例代码
08-26
Spring Boot 项目中,使用 @EnableWebSecurity 注解后,CSRF 防护就自动生效了。因此,在默认配置下,即便已经登录了,页面中发起 PATCH、POST、PUT 和 DELETE 请求依然会被拒绝,并返回 403,需要在请求接口的...
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring SecurityCsrf 攻击实现代码解析 Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证...
spring boot 学习笔记 (18)使用 Security 进行安全控制
bihansheng2010的博客
02-15 8092
Spring Security 介绍 Spring Security 是一个能够基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC、DI(控制反转 Inversion of Control,DI:Dependency Injection 依赖注入)和 AOP(面向切面编程)...
springboot拦截器Filter获取配置文件参数
u010703690的博客
12-07 6492
方法一、过滤器使用@Component注解时,@value注解可用 说明:如果使用@Component,同时将Filter通过@Configuration加入过滤链时,@value将拿不到值。 @Component public class CorsFilter implements Filter { @Value("${xx.security.csrf-ingores}") private String csrfIngores; /************解决Origin跨域
springboot 关闭CSRF 过滤
qq_22307255的博客
08-23 740
springboot 关闭csrf
Spring Boot整合Spring Security(三)csrf
时雨吹雪的博客
01-30 1944
Spring Securitycsrf防护功能的使用,模板引擎以及接口方式获取csrfToken
SpringSecurity关于关闭csrf后导致页面元素消失的问题及处理方法
Chang的博客
04-25 2327
SpringSecurity自定义登录页面编写中,关闭csrf防护后csrfToken标签位置导致页面元素消失
Spring Boot(七):Spring Security如何启用与禁用CSRF
热门推荐
甘焕的博客
11-06 2万+
Spring Security 4开始,默认启用CSRF机制,本来这也不算什么大事,但与Spring Boot结合在一起,那么实现起来就比较麻烦了,尤其是采用前后端分离式的开发架构后,配置CSRF机制就更困难了,几乎所有网上的解决办法都无法解决如何获取CSRF编码的难题,首先以表单登陆的错误镇楼:There was an unexpected error (type=Forbidden, stat
Spring Security4 CSRF 如何关闭CSRF功能
醉陌浮生,乱谜浊
09-17 1万+
什么是CSRFcsrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI……而现在,互联网上的许多站点仍对此毫无防备,以至于安全业
《Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法
crazy王的学习
12-27 8357
最近项目渗透测试检测出一些安全问题其中一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
security禁用csrf
icanactnow2的博客
12-08 1万+
项目中启用了 security,post请求无法通过,页面报错如下: 搜了下CSRF CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。为了防止跨站提交攻击,通常会配置csrf。 原因找到了:Spring Se
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值