首先:403错误,表示资源不可用。服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误。
ajax提交POST出现403错误先排查是否是权限不够、接收请求的Controller方法上method = RequestMethod.POST
。
这些问题都排查之后,确定你使用了SpringSecurity,则继续往下看。
概述:
- spring boot中使用了spring security。
- spring security对post请求会进行身份验证。
- spring security默认开启了Cross Site Request Forgery (CSRF) 跨站请求伪造的发生,限制了除了get以外的大多数方法。。
- 当ajax post提交遇到403时,应当是缺少了csrf。
解决办法:
1,可以禁用csrf。(不推荐)
2,补全csrf。
方法一:禁用csrf
在SpringSecurity的配置中配置如下:
@Override
protected void configure (HttpSecurity http) throws Exception {
http.csrf().disable();
}
方法二:补全CSRF
1、首先在要提交post请求的页面的head中加入:
<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>
如果你还使用了thymeleaf模板引擎,应当使用如下:
<meta name="_csrf" th:content="${_csrf.token}"/>
<meta name="_csrf_header" th:content="${_csrf.headerName}"/>
2、然后,在js文件中添加以下代码,使得该js文件中的ajax在每次提交前插入这个token,后台就会验证这个token的正确性,如果正确,则接受post访问。
$(function () {
var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");
$(document).ajaxSend(function(e, xhr, options) {
xhr.setRequestHeader(header, token);
});
});
XMLHttpRequest
对象和设置作为参数传递给回调函数
$(document).ajaxSend(function(evt,request,settings){})
是全局事件,也就是说,只要该页面定义了这个函数,那么,在每个ajax请求前都会执行该函数。