如何在Spring Security 4中通过XML配置仅对特定URL模式禁用CSRF?

最新推荐文章于 2023-03-18 09:24:04 发布
最新推荐文章于 2023-03-18 09:24:04 发布
阅读量358 收藏
点赞数
分类专栏: spring-security javaweb 文章标签: spring xml csrf
原文链接:http://www.yiidian.com/questions/263007
版权

如何在Spring Security 4中通过XML配置仅对特定URL模式禁用CSRF?

Spring安全。xml

<security:http auto-config="true" use-expressions="true" pattern="/ext/**">
    <csrf disabled="true" />
</security:http>

<security:http auto-config="true" use-expressions="true" authentication-manager-ref="authenticationManager">
    <security:intercept-url pattern="/auth/**" access="hasAnyRole('ROLE_USER')" />
    <security:form-login login-page="/login" authentication-success-handler-ref="loginSuccessHandler" authentication-failure-url="/login" login-processing-url="/j_spring_security_check" />
    <security:logout invalidate-session="true" logout-url="/logout" success-handler-ref="logoutSuccessHandler" />
</security:http>

我的代码工作正常,如果我只使用一个安全:http块,但在我添加另一个块后,它抛出错误如下:

错误

Caused by: org.springframework.beans.factory.BeanCreationException: Could not autowire field: private org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter gov.in.controller.filter.LoginAdtAuthFailHdlr.usernamePasswordAuthenticationFilter; nested exception is org.springframework.beans.factory.NoUniqueBeanDefinitionException: No qualifying bean of type [org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter] is defined: expected single matching bean but found 2: org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#0,org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#1
    at org.springframework.beans.factory.annotation.AutowiredAnnotationBeanPostProcessor$AutowiredFieldElement.inject(AutowiredAnnotationBeanPostProcessor.java:561)
    at org.springframework.beans.factory.annotation.InjectionMetadata.inject(InjectionMetadata.java:88)
    at org.springframework.beans.factory.annotation.AutowiredAnnotationBeanPostProcessor.postProcessPropertyValues(AutowiredAnnotationBeanPostProcessor.java:331)
    ... 58 more
Caused by: org.springframework.beans.factory.NoUniqueBeanDefinitionException: No qualifying bean of type [org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter] is defined: expected single matching bean but found 2: org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#0,org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#1
    at org.springframework.beans.factory.support.DefaultListableBeanFactory.doResolveDependency(DefaultListableBeanFactory.java:1054)
    at org.springframework.beans.factory.support.DefaultListableBeanFactory.resolveDependency(DefaultListableBeanFactory.java:942)
    at org.springframework.beans.factory.annotation.AutowiredAnnotationBeanPostProcessor$AutowiredFieldElement.inject(AutowiredAnnotationBeanPostProcessor.java:533)
    ... 60 more

共2个答案

匿名用户 
 

仅通过XML更改无法实现。下面是我的工作

Spring-security.xml变化

<security:http  use-expressions="true" authentication-manager-ref="authenticationManager">
    <security:intercept-url pattern="/auth/**" access="hasAnyRole('ROLE_USER')" />
    <security:form-login login-page="/login" authentication-success-handler-ref="loginSuccessHandler" authentication-failure-url="/login" login-processing-url="/j_spring_security_check" />
    <security:logout invalidate-session="true" logout-url="/logout" success-handler-ref="logoutSuccessHandler" />

    <security:csrf request-matcher-ref="csrfSecurityRequestMatcher"  />
</security:http>

CsrfSecurityRequestMatcher

public class CsrfSecurityRequestMatcher implements RequestMatcher {
    private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
    private RegexRequestMatcher unprotectedMatcher = new RegexRequestMatcher("/ext/**", null);

    @Override
    public boolean matches(HttpServletRequest request) {          
        if(allowedMethods.matcher(request.getMethod()).matches()){
            return false;
        }
        return !unprotectedMatcher.matches(request);
    }
}

匿名用户 
 

您可以有两个(或更多)过滤器链:

<http pattern="/your-specific/**">
  <!-- ... -->
  <csrf disabled="true"/>
</http>
<http>
  <!-- ... -->
</http>
dpp10683401
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SPRING SECURITY配置
07-30
- **防止CSRF攻击**:Spring Security默认开启CSRF保护,可通过配置禁用或调整策略。 - **RESTful API安全**:为无状态的API设置JSON Web Tokens(JWT)或OAuth2。 通过深入理解Spring Security配置和工作原理,...
SpringSecurity学习笔记(三)——自定义登录界面读取数据库用户以及权限
东天里的冬天
07-01 1060
SpringSecurity学习笔记(一)——入门篇,在文末我们介绍了SpringSecurity如何使用自定义的登录界面,因为用户和权限都是写死的,所以相对本篇而言,简单很多,本文将介绍如何通过自定义界面来读取数据库的用户以及相应的权限。 一.login.jsp 注意:这边urlSpringSecurity学习笔记(一)——入门篇所述的差别很大,这里的url可以为j_s
Spring Security 配置文件属性说明及注解控制
m_xw的博客
07-13 494
配置文件: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context" xm..
ssm整合spring-security遇到的404错误、一直重定向于登入界面的错误
渐渐的忘记,赶不上明天(读研ing,2024年毕业)
04-05 5441
文章目录1. 404错误1.1 第一种可能1.2 第二种可能2. 无论登入成功还是失败一直重定向在登入界面2.1 第一个可能2.2 第二个可能3. 最后附上我的spring-security配置文件 1. 404错误 1.1 第一种可能 如果你设置的登入页面是.html页面,则会出现404的问题。因为spring-security要操作页面,都是请求springmvc得到的。spring-sec...
spring security4.2 配置CSRF防御
Vevinlong的博客
08-03 5556
spring security4.2 配置CSRF防御 注:源文请参考官方手册 最经项目用到csrf,看了官方文档后,结合实际开发过程,记录下所遇到的问题,其第1、2、3点都没有什么问题。而是在使用文件上传时遇到问题,查了比较久的时间,从怀疑xhr对象,到跨域访问(用到的插件动态创建了一个iframe),最终发现是当form设置了enctype="multipart/form-data"之后,
SpringSecurity关闭csrf拦截
Leon_Jinhai_Sun的博客
11-13 2108
然后你开开心心的输入了用户名user,密码user,就出现了如下的界面: 403什么异常?这是SpringSecurity的权限不足!这个异常怎么来的?还记得上面SpringSecurity内置认证页面源码的那个_csrf隐藏input吗?问题就在这了! 完整的spring-security配置如下 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/sch.
springsecurity.zip
09-09
1. **添加依赖**:在`pom.xml`或`build.gradle`文件引入SpringSecurity的相关依赖。 2. **配置Security**:创建一个`SecurityConfig`类,继承自`WebSecurityConfigurerAdapter`,并覆盖其方法来定制安全规则。...
Restful风格服务端应用的Spring Boot + Spring Security配置
06-08
在`pom.xml`文件,我们需要引入`spring-boot-starter-security`和`spring-boot-starter-web`,这将为我们提供安全服务和Web支持。 ```xml <groupId>org.springframework.boot <artifactId>spring-boot-starter...
SpringSecurity使用和分析.docx
09-27
在`configure(HttpSecurity http)`方法,可以通过调用`http.authorizeRequests()`来设置访问控制,`http.formLogin()`来定制登录表单的行为,`http.httpBasic()`来启用HTTP基本认证,以及`http.csrf().disable()`...
SpringSecurity(认证和授权)&权限控制
weixin_61300833的博客
10-14 1296
认证和授权: 用户登录系统---认证: 系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录,其实就是在进行认证 用户登录后拥有不同的权限操作---授权: 用户认证成功后需要为用户授权,就是指定当前用户能够操作那些功能 权限模块数据模型: 要实现最终的权限控制,需要有一套表结构支撑: 用户表t_user、权限表t_permission、角色表...
spring security安全框架的配置文件
狗凡的博客
09-07 416
这里我写了两种不同的spring security安全框架的配置文件: 1.使用内存的用户 2.使用数据库的用户 1.使用内存的用户: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:security=...
SpringSecurity框架(一)xml方式
暖阳阳
05-20 7862
Spring Security 简介    Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解 决方案的安全框架。它提供了一组可以在 Spring 应用上下文配置的 Bean,充分利用了 Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP...
【第八篇】SpringSecurity的核心过滤器-CsrfFilter
yqqの博客
03-18 619
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
Spring Security CSRF 保护指南
allway2的博客
11-05 758
这可以保护我们的应用程序免受 CSRF 攻击,因为攻击者无法从自己的页面获取此令牌。我们的无状态 API 不能像我们的 MVC 配置那样添加 CSRF 令牌,因为它不会生成任何 HTML 视图。现在,如果不包含CSRF令牌,POST请求将失败,这当然意味着早期的攻击不再是一种选择。现在我们了解了CSRF攻击的样子,让我们在Spring应用程序模拟这些示例。如果我们跟踪来自此攻击者页面的请求,我们将能够发现命原始应用程序的请求。所解释的,我们需要了解我们的无状态 API 是否需要 CSRF 保护。
Spring Boot(七):Spring Security如何启用与禁用CSRF
热门推荐
甘焕的博客
11-06 2万+
Spring Security 4开始,默认启用CSRF机制,本来这也不算什么大事,但与Spring Boot结合在一起,那么实现起来就比较麻烦了,尤其是采用前后端分离式的开发架构后,配置CSRF机制就更困难了,几乎所有网上的解决办法都无法解决如何获取CSRF编码的难题,首先以表单登陆的错误镇楼:There was an unexpected error (type=Forbidden, stat
Spring Security 4.X xml配置,草稿记录
qq519805712的专栏
05-10 8024
"org.springframework.security:spring-security-web:4.1.0.RELEASE", "org.springframework.security:spring-security-taglibs:4.1.0.RELEASE", "org.springframework.security:spring-security-config:4.1.0.REL
Spring Security(十一) Spring Security CSRF
我是一只蘑菇17的博客
09-26 1334
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者SessionRiding。通过伪造用户请求访问受信任站点的非法请求访问。跨域:只要网络协议,ip 地址,端口任何一个不相同就是跨域请求。客户端与服务进行交互时,由于 http 协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie会存放session id用来识别客户端身份的。
security禁用csrf
以爱护甲,爱满枫林。
09-23 7079
项目启用了 security,post请求无法通过,页面报错如下: 搜了下CSRF CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding, 通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 为了防止跨站提交攻击,通常会配置csrf。 原因找到了:Spring Security 3默...
spring boot security如何配置跨域 前端8080 后端8088
最新发布
05-24
Spring Boot配置跨域,可以通过在SecurityConfig配置CorsFilter来实现。 首先,在pom.xml文件添加以下依赖: ```xml <!-- Spring Boot Security --> <groupId>org.springframework.boot <artifactId>...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值