- 博客(3)
- 收藏
- 关注
原创 spring security下开启csrf,同时支持session.invalidate()调用
最近在做的一个java web项目,要求登录界面信息提交时使用https,登录成功后页面使用http,同时全站使用csrf防御。然后https和http的访问会分别创建两个session,csrf的token存在于https创建的session中,当验证用户身份通过后,跳转到http进入时,新建的session中没有csrfToken,因此被403拒绝访问。解决方法为:在身份验证成功后,跳
2015-11-28 21:19:02 4041
原创 spring security的csrf防御机制在ajax中的应用
spring security的csrf防御功能:在jsp中使用如下代码:...上述代码中,等同于: 而,之所以使用spring的替代标签,是因为spring的标签可以自动将token以hidden类型添加到提交的数据当中在js代码中,使用如下方式:var csrfParameter = $("meta[name='_csrf_para
2015-11-27 20:12:41 10117 2
原创 spring security 集成csrf与会话更新
配置完spring security的csrf功能后,用APP SCAN扫描,发现登录页面没有进行会话更新(changeSessionId),如果使用servlet3.1+,可以直接在request中调用changeSessionId()方法。如果使用的是旧版本的servlet,则可以使用如下方法:/*spring security csrf token reinvoke*/ Ob
2015-11-27 11:12:02 2276
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人