平胸而论,开发中在下遇到403错误的机会还真是不多,但近日朋友遇到一个403错误,入下所示:
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
这个错误是因为做了安全要求,项目采用的Spring 4.x Security,导致Post提交需要验证csrf token.
解决办法倒是比较多,网上也比较全面,一般都是在页面上或者meta里声明token变量,再提交到后台即可。
我这边是,一个富文本编辑器,上传图片是iframe引用了一个html,由于未能在上传图片时提供csrf token,导致服务器端http 403 forbidden错误,上传失败!
我解决的办法是,找到富文本编辑器插件的关键方法,并如下修改:
uploader.on('uploadBeforeSend', function (file, data, header) {
//这里可以通过data对象添加POST参数
header['X_Requested_With'] = 'XMLHttpRequest';
//begin to config _csrf token,added by davy ,2017-3-11
var test = parent.document.getElementsByName("_csrf");
header['X-CSRF-TOKEN'] = test[0].content;
//end to config _csrf token, added by davy,2017-3-11
});
可能与网上大家用的方法不太一样,网上更多的是:
<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>
var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");
$(document).ajaxSend(function(e, xhr, options) {
xhr.setRequestHeader(header, token);
});
只要能解决问题就好!