Spring Security4 CSRF 如何关闭CSRF功能

最新推荐文章于 2024-07-26 00:55:46 发布
最新推荐文章于 2024-07-26 00:55:46 发布
阅读量1.3w 收藏 13
点赞数 1
分类专栏: Spring4 文章标签: spring spring security csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZeroSO/article/details/78007790
版权

什么是CSRF?

csrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI……而现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。
举个例子,用户通过表单发送请求到银行网站,银行网站获取请求参数后对用户账户做出更改。在用户没有退出银行网站情况下,访问了攻击网站,攻击网站中有一段跨域访问的代码,可能自动触发也可能点击提交按钮,访问的url正是银行网站接受表单的url。因为都来自于用户的浏览器端,银行将请求看作是用户发起的,所以对请求进行了处理,造成的结果就是用户的银行账户被攻击网站修改。
解决方法基本上都是增加攻击网站无法获取到的一些表单信息,比如增加图片验证码,可以杜绝csrf攻击,但是除了登陆注册之外,其他的地方都不适合放验证码,因为降低了网站易用性

CSRF导致的接口访问问题

Could not verify the provided CSRF token because your session was not found in spring security

问题表现:
在开发人员使用Postman调试接口时,已经通过继承WebSecurityConfigurerAdapter过滤了Rest接口拦截的机制,但出现403错误并且提示信息为“Could not verify the provided CSRF token because your session was not found in spring security”。

解决方法:

/**
 * Web安全配置
 */
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                // 关闭csrf保护功能(跨域访问)
                .csrf().disable()
                .authorizeRequests()
                .antMatchers("/api/**").permitAll();//访问API下无需登录认证权限
    }

}
醉陌浮生
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
Spring Security 升级:关闭CSRF防护
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
10-17 678
本文将探讨Spring Security升级关闭跨站请求伪造(CSRF)防护的关键步骤。CSRF防护是确保Web应用程序安全性的关键组成部分,但在某些情况下,需要关闭或微调以适应特定需求。我们将简洁地介绍为何关闭CSRF防护可能有必要,并提供简明的指南,以确保您的应用程序在升级后保持安全。无论您是新手还是有经验的开发者,本文将为您提供明确的方向,帮助您更好地理解如何应对CSRF防护。
Spring Boot 项目使用Spring Security防护CSRF攻击实战
oscar999的专栏
11-28 948
Spring Boot项目结合Spring Security ,可以实现用户认证和用户授权。 Spring Security的用户认证可以是配置的用户、数据库的用户或者直接整合LDAP, 用户授权上可以根据角色和用户来进行授权。 综合来说, 使用Spring Boot+Spring Security 就可以很好的进行权限的管控了。除此之外, Spring Security 还提供了对CSRF、XSS等安全弱点的防护。
关于Spring SecurityCSRF
寻码启示
06-05 432
GET请求是正常的,但是POST请求会报403错误。SpringPOST请求不到。
SpringSecurity关闭csrf防护
liubopro666的博客
10-23 850
CSRF防护:CSRF:跨站请求伪造,通过伪造用户请求访问受信任的站点从而进行非法请求访问,是一种攻击手段。Spring Security为了防止CSRF攻击,默认开启了CSRF防护,这限制了除了GET请求以外的大多数方法。我们要想正常使用Spring Security需要突破CSRF防护。
SpringSecurityCSRF漏洞保护
Littewood的博客
07-24 1629
SpringSecurityCSRF漏洞保护
spring securityCSRF功能
huangbaokang的博客
12-07 1259
默认是开启了spring securityCSRF功能,如果我们没有配置禁用,Spring Security CSRF 会针对 PATCH,POST,PUT 和 DELETE 方法进行防护。 对如下的请求是不防护的 可以看到,从request获取token,所以我们在页面进行传递,我们可以使用thymeleaf模板引擎 <!--引入thymethef模板引擎--> <dependency> <groupId>org.s
十七、Spring SecurityCSRF
booker009的博客
03-17 160
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。跨域:只要网络协议,ip地址,端口任何一个不相同就是跨域请求。客户端与服务进行交互时,由于http协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie会存放session id用来识别客户端身份的。
SpringSecurity关闭csrf拦截
Leon_Jinhai_Sun的博客
11-13 2102
然后你开开心心的输入了用户名user,密码user,就出现了如下的界面: 403什么异常?这是SpringSecurity的权限不足!这个异常怎么来的?还记得上面SpringSecurity内置认证页面源码的那个_csrf隐藏input吗?问题就在这了! 完整的spring-security配置如下 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/sch.
spring security CSRF防护
热门推荐
yjclsx的博客
07-31 45万+
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。 我这边是spring boot项目,在启用了@EnableWebSecurity...
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
SpringSecurity提供了强大的CSRF防护功能,可以轻松地防范CSRF攻击。下面是使用SpringSecurity防范CSRF攻击的方法步骤: Step1: 添加依赖项 首先,需要添加SpringSecurity的依赖项。在pom.xml文件添加以下依赖项...
详解如何在spring boot使用spring security防止CSRF攻击
08-27
Spring Boot 使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring SecurityCsrf 攻击实现代码解析 Spring Security Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法实现了 Csrf Token 的生成、验证...
spring security CSRF防护的示例代码
08-26
Spring Security CSRF 防护机制详解 CSRF(Cross-site request forgery),即跨站请求伪造,是一种常见的 Web 攻击。Spring Security 4.0 及更高版本默认启用 CSRF 防护,以防止 CSRF 攻击应用程序。下面是 Spring ...
java springboot 集成 阿里通义千问
qq_25987725的博客
07-25 302
一、在阿里云https://www.aliyun.com官网直接搜索“通义千问”,点击“开通DashScope”进行服务激活。四、在config目录添加配置 TongYiAiConfiguration.java。三、在yml配置配置key。二、加入Maven依赖。
【过滤器 vs 拦截器】SpringBoot过滤器与拦截器:明智选择的艺术(如何在项目做出明智选择)
weixin_68020300的博客
07-25 1038
本文深入剖析了SpringBoot框架下过滤器与拦截器的核心差异及应用场景,指导开发者在面对请求-响应周期的不同需求时,如何做出最佳技术选择。无论是实现安全性、日志记录,还是权限控制与数据预处理,本文都将帮助你理解何时何地使用过滤器或拦截器,以构建更加高效、可维护的Web应用程序。通过对比二者的特性与优劣,本文旨在赋能开发者,使其在实际项目灵活运用这两种强大工具,达成项目目标。
Spring Framework】使用完全注解方式开发
最新发布
u013675821的博客
07-26 1011
本文介绍了如何使用 Spring 完全注解化的方式来进行开发。通过使用注解,我们可以减少 XML 配置文件的使用,使项目的配置更加直观和简洁。配置类:使用@Bean等注解定义配置类。数据库配置:使用DataSource以及@Autowired自动装配数据源。服务层和控制器层:使用@Service和注解定义业务逻辑和控制器,并使用@Autowired注入依赖。AOP 和事务管理:通过@Aspect和注解实现日志记录和事务管理。
Spring Security关闭csrf
11-16
为了关闭Spring Securitycsrf保护,可以在Spring Security配置文件添加以下代码: ```java http.csrf().disable(); ``` 这将禁用所有Spring Securitycsrf保护。但是,关闭csrf保护可能会导致安全漏洞,因此建议仅在特定情况下使用。 另外,还可以通过以下方式禁用特定请求的csrf保护: ```java http.csrf().ignoringAntMatchers("/your-url"); ``` 这将禁用与“/your-url”匹配的所有请求的csrf保护。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

醉陌浮生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值