Security关闭CSRF

最新推荐文章于 2023-10-23 15:17:22 发布
最新推荐文章于 2023-10-23 15:17:22 发布
阅读量1.1w 收藏 9
点赞数 3
分类专栏: Security 文章标签: Security CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/doStruggle/article/details/80589126
版权

问题

在项目中添加了Security模块后,在发送post请求时会失败,出现以下日志:

Invalid CSRF token found for ...

原因

在Security的默认拦截器里,默认会开启CSRF处理,判断请求是否携带了token,如果没有就拒绝访问。并且,在请求为(GET|HEAD|TRACE|OPTIONS)时,则不会开启,可参考如下源码:

// 先从tokenRepository中加载token  
  CsrfToken csrfToken = tokenRepository.loadToken(request);  
  final boolean missingToken = csrfToken == null;  
  // 如果为空,则tokenRepository生成新的token,并保存到tokenRepository中  
  if(missingToken) {  
      CsrfToken generatedToken = tokenRepository.generateToken(request);  
      // 默认的SaveOnAccessCsrfToken方法,记录tokenRepository,  
      // tokenRepository,response,获取token时先将token同步保存到tokenRepository中  
      csrfToken = new SaveOnAccessCsrfToken(tokenRepository, request, response, generatedToken);  
  }  
  // 将token写入request的attribute中,方便页面上使用  
  request.setAttribute(CsrfToken.class.getName(), csrfToken);  
  request.setAttribute(csrfToken.getParameterName(), csrfToken);  

  // 如果不需要csrf验证的请求,则直接下传请求(requireCsrfProtectionMatcher是默认的对象,对符合^(GET|HEAD|TRACE|OPTIONS)$的请求不验证)  
  if(!requireCsrfProtectionMatcher.matches(request)) {  
      filterChain.doFilter(request, response);  
      return;  
  }  

  // 从用户请求中获取token信息  
  String actualToken = request.getHeader(csrfToken.getHeaderName());  
  if(actualToken == null) {  
      actualToken = request.getParameter(csrfToken.getParameterName());  
  }  
  // 验证,如果相同,则下传请求,如果不同,则抛出异常  
  if(!csrfToken.getToken().equals(actualToken)) {  
      if(logger.isDebugEnabled()) {  
          logger.debug("Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request));  
      }  
      if(missingToken) {  
          accessDeniedHandler.handle(request, response, new MissingCsrfTokenException(actualToken));  
      } else {  
          accessDeniedHandler.handle(request, response, new InvalidCsrfTokenException(csrfToken, actualToken));  
      }  
      return;  
  }  

  filterChain.doFilter(request, response);

解决

既然是因为默认开启了CSRF,那关掉便是,我本地使用springboot,只需在WebSecurityConfigurerAdapter的配置类的http中关闭:

public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        ...
        http.csrf().disable()
        ...
    }
}
伟鑫young
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 升级:关闭CSRF防护
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
10-17 588
本文将探讨Spring Security升级中关闭跨站请求伪造(CSRF)防护的关键步骤。CSRF防护是确保Web应用程序安全性的关键组成部分,但在某些情况下,需要关闭或微调以适应特定需求。我们将简洁地介绍为何关闭CSRF防护可能有必要,并提供简明的指南,以确保您的应用程序在升级后保持安全。无论您是新手还是有经验的开发者,本文将为您提供明确的方向,帮助您更好地理解如何应对CSRF防护。
SpringSecurity的防Csrf攻击实现代码解析
08-24
主要介绍了SpringSecurity的防Csrf攻击实现代码解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity csrf验证忽略某些请求
zangjunlang4288的博客
04-02 2155
SpringSecurity csrf验证忽略某些请求 前几天项目中遇到springSecurity问题,研究了大半天,掉进了csrf的坑,先认识一下csrf CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者...
利用spring-security解决CSRF问题
热门推荐
Frankenstein的博客
04-22 4万+
从配置到原理,一步步讲解如何利用Spring的security框架来处理scrf问题。
7.2 使用Security进行权限控制和防止 CSRF
Qiuyuguohou的博客
03-12 4518
Securit进行安全控制和防止CSRF
4-SpringSecurityCSRF防护
Heartsuit的博客
12-13 334
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验SpringSecurity的各项Feature。 接着上一篇文章3-SpringSecurity:自定义Form表单中的项目:spring-security-form,继续演示开启CSRF防护的场景(当时关闭CSRF:.csrf().disable())。 依赖不变,核心依赖为Web与Thymeleaf: <dependencies> <dependency> <groupId&
SpringSecurity关闭csrf防护
liubopro666的博客
10-23 649
CSRF防护:CSRF:跨站请求伪造,通过伪造用户请求访问受信任的站点从而进行非法请求访问,是一种攻击手段。Spring Security为了防止CSRF攻击,默认开启了CSRF防护,这限制了除了GET请求以外的大多数方法。我们要想正常使用Spring Security需要突破CSRF防护。
Spring security CSRF 跨域访问限制问题
HONEY MOOSE
10-18 2990
在我们写 Spring 安全的时候通常有这么一句话: httpSecurity.csrf().disable(). 从这句话的字面意思就很明白就是禁用 csrf,什么是 csrf,为什么要禁用可能就一脸懵逼了。 因为你很有可能会遇到一个错误: HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'. 这个就是做 Web 开发的时
禁止访问 (403)CSRF验证失败. 请求被中断.
glei20的博客
10-31 1288
禁止访问 (403)CSRF验证失败. 请求被中断.您看到此消息是由于该站点在提交表单时需要一个CSRF cookie。此项是出于安全考虑,以确保您的浏览器没有被第三方劫持。如果您已将浏览器
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
主要介绍了使用SpringSecurity处理CSRF攻击的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security CSRF防护的示例代码
08-26
主要介绍了spring security CSRF防护的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
infrared-remote-candroid studiodemo
05-05
android studio下载
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
05-05
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
05-05
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
node-v8.10.0-linux-x64.tar.xz
最新发布
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于Yolov5目标检测和deepsort目标跟踪无人机跟踪.zip
05-05
无人机最强算法源码,易于部署和学习交流使用
Spring Security关闭csrf
11-16
为了关闭Spring Security中的csrf保护,可以在Spring Security配置文件中添加以下代码: ```java http.csrf().disable(); ``` 这将禁用所有Spring Security中的csrf保护。但是,关闭csrf保护可能会导致安全漏洞,因此建议仅在特定情况下使用。 另外,还可以通过以下方式禁用特定请求的csrf保护: ```java http.csrf().ignoringAntMatchers("/your-url"); ``` 这将禁用与“/your-url”匹配的所有请求的csrf保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值