Spring security下csrf token的认证

最新推荐文章于 2024-06-14 14:16:51 发布
最新推荐文章于 2024-06-14 14:16:51 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: SpringBoot ---SpringBoot---Security---csr

在上一篇博文《Springboot 1.5.1整合Spring security 4》中,我们碰到“Could not verify the provided CSRF token because your session was not found. ”错误, 经过分析,是因为我们成功登录后,spring security为了防止CSRF攻击,需要在每个页面中验证成功登录后创建的csrf token值,而我们在静态页面中又无法传递这个token, 今天我们将来说明下如何处理这个问题。
还是基于上篇博文的代码,由于我们在页面上需要动态获取csrf token, 这时我们可以在页面上引入JS 代码,使之成为动态网页。
1) 将http.csrf().disable();注释掉

@Override
    protected void configure(HttpSecurity http) throws Exception {
        //http.csrf().disable();
        http.authorizeRequests()
                        .antMatchers("/", "/springbootbase").permitAll()
                        .anyRequest().authenticated()
                        .and()
                    .formLogin()
                        .loginPage("/login")
                        .failureUrl("/login?error")
                        .permitAll() //5
                        .and()
                    .logout().permitAll();
    }

2) 将index.html 改成JSP 文件: index.jsp
将csrf token 作为表单的隐藏域一起提交即可解决

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">
<head>
    <title>Hello World!</title>
</head>
<body>
    <h1 th:inline="text">Hello World</h1>
    <form th:action="@{/logout}" action="./logout" method="post">
        <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
        <input type="submit" value="Sign Out"/>
    </form>
</body>
</html>

3) 重启tomcat server, 运行结果与上一篇博文一致。

Laputa_SKY
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
使用Spring Security出现spring security Could not verify the provided CSRF token 异常
志远的博客
12-25 1万+
异常:Could not verify the provided CSRF token because your session was not found. 本项目是SpringBoot项目,模板引擎是thymeleaf 解决办法:在from表单中加入一个hidden标签,来引用spring security  的csrf token。 如果是jsp做模板引
SpringSecurity系列——会话管理,CSRFday8-1(源于官网5.7.2版本)
qq_51553982的博客
07-30 617
CSRF攻击的根源在于浏览器默认的身份验证机制(自动携带当前网站的Cookie信息),这种机制虽然可以保证请求是来自用户的某个浏览器,但是无法确保这请求是用户授权发送。当前端请求到达后,将请求携带的CSRF令牌信息和服务端中保存的令牌进行对比,如果两者不相等,则拒绝掉该HTTP请求。将CSRF放入到cookie中,在清求时获取cookie中的CSRF令牌一并提交即可,其实最直接的实现方式是设置到header中即可,这样是否方便,反正每次令牌都会变化即使你的请求被获取也不会有这样的问题。......
基于springSecurity的双token机制(accesToken,refreshToken)以及如何刷新token
最新发布
AllenLuoYi的博客
06-14 845
核心功能概要: 通过加密算法创建一个用户:1.代码整体结构: 2.所需依赖: 3.UserDetailServiceImpl拦截用户登陆:4.所需工具类4.1ApplicationContextUtils: 4.2JwtUtils:4.3ResponseResult4.4ResponseStatus4.5RsaUtils:4.6.SecurityContextUtil5.SecurityConfig:6.LoginSuccessHandler登陆成功处理器:7.RequestAuthenticationFi
spring security 4.2后出现CouldnotverifytheprovidedCSRFtokenbecauseyoursessionwasnotfound
weixin_34055787的博客
01-15 2366
升级到spring security 4.2后,登录不了,出现下面的错误 WARN DefaultHandlerExceptionResolver:361 - Failed to bind request element: org.springframework.web.method.annotation.MethodArgumentTypeMismatchException: Failed t...
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
使用SpringSecurity处理CSRF攻击的方法步骤 春Security是当前最流行的Java Web应用程序安全框架之一,它提供了强大的安全功能,包括身份验证、授权、CSRF防护等。CSRF(Cross-site request forgery)是一种常见的...
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证和匹配。CsrfFilter 的主要作用是保护 Web ...
spring security CSRF防护的示例代码
08-26
Spring Security CSRF 防护机制详解 CSRF(Cross-site request forgery),即跨站请求伪造,是一种常见的 Web 攻击。Spring Security 4.0 及更高版本默认启用 CSRF 防护,以防止 CSRF 攻击应用程序。下面是 Spring ...
spring security中的csrf防御原理(跨域请求伪造)
08-25
CsrfToken csrfToken = csrfTokenRepository.loadToken(request); if (csrfToken == null) { // 生成新的CSRF Token并存csrfToken = generateNewToken(); csrfTokenRepository.saveToken(csrfToken, request...
spring boot csrf
小小的博客
03-26 4513
Whitelabel Error PageThis application has no explicit mapping for /error, so you are seeing this as a fallback.Sun Mar 26 22:46:00 CST 2017 There was an unexpected error (type=Forbidden, status=403). C
Django中csrf-token验证原理
bocai_xiaodaidai的博客
09-19 2385
众所周知,django通过CsrfViewMiddleware中间件来下发和校验csrf-token有效性的。 那么,这个中间到底是怎么实现token校验的呢? 首先,django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 csrftoken,并把这个 csrftoken 放在 cookie 里。然后每次 POST 请求都会带上这个 csrftoken。(这个csrftoken的有效期非常长(52周)) 在前后端不分离的django项目中,可以通过{%csrf_token%}标签在表
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
weixin_45114101的博客
12-26 2440
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
spring security 处理CSRF
singkingcho的专栏
12-18 1003
csrf概念 英文全称叫做: cross-site request forgery,翻译过来叫做跨站请求伪造。spring security默认情况下是开启了csrf保护的。所谓的CSRF一般会在用户做了某个动作之后附加了一些额外动作。 csrf工作机制 往往是利用用户在某个系统中已经登录过,其具有一些服务器操作资源的权限,攻击者利用伪造的链接或其它骗用户完成某个操作,而这个操作会偷偷和该用户可操作的系统交互。 一个简单的示例图 如何解决 根本问题在于,我们必须要确定这个行为是不是由本身客户端发出的,而
Spring安全方案—针对常见漏洞的保护(CSRF)(官方原版)
深圳市多克创新科技有限公司
04-23 992
Spring Security针对常见漏洞的保护—官方原版
升级到Spring Security 4.2的坑及解决办法
甘焕的博客
05-12 9412
把框架从Spring Security从3升级到4,结果出现了一大堆错误,每一个都是巨坑,几个非常熟悉的问题,花了我几乎一整天的时间,下面一一说来。1. 验证始终无法通过输入正确的用户名与密码,却始终收到这样的异常:org.springframework.security.authentication.BadCredentialsException: Bad credentials at o
Spring Security4 CSRF 如何关闭CSRF功能
热门推荐
醉陌浮生,乱谜浊
09-17 1万+
什么是CSRFcsrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI……而现在,互联网上的许多站点仍对此毫无防备,以至于安全业
SpringSecurity (4) CSRFCSRF-TOKEN 的处理
O_o
05-17 9536
本文主要介绍SpringSecuritySpringBoot 整合过程中关于 CSRF 的处理
Spring SecurityCSRF问题如何解决
09-12
Spring Security提供了内置的CSRF保护来防止跨站请求伪造攻击。默认情况下,从Spring Security 4.0开始,CSRF保护已启用。该保护针对PATCH,POST,PUT和DELETE方法进行防护。在启用了@EnableWebSecurity注解后,CSRF保护会自动生效。 为了解决Spring SecurityCSRF问题,可以采取以下步骤: 1. 在表单中添加CSRF令牌:要保护表单提交,可以在表单中添加隐藏域来包含CSRF令牌。使用Thymeleaf或者其他模板引擎,可以使用以下代码将CSRF令牌添加到表单中: ``` <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" /> ``` 这样,提交表单时会将CSRF令牌一并发送到服务器,以确保请求的合法性。 2. 配置Spring Security:可以通过编写自定义的Spring Security配置来进一步定制CSRF保护。可以通过扩展WebSecurityConfigurerAdapter类来实现自定义配置,并覆盖configure方法。在configure方法中,可以使用csrf()方法来配置CSRF保护的细节,如禁用CSRF保护、设置CSRF令牌的名称等。 综上所述,通过在表单中添加CSRF令牌和配置Spring Security,我们可以有效地解决Spring SecurityCSRF问题,并提供对应用程序的保护[2]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值