security禁用csrf

最新推荐文章于 2023-12-07 20:22:10 发布
最新推荐文章于 2023-12-07 20:22:10 发布
阅读量1.3w 收藏
点赞数 1
分类专栏: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/icanactnow2/article/details/53515844
版权

项目中启用了 security,post请求无法通过,页面报错如下:


搜了下CSRF

CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。为了防止跨站提交攻击,通常会配置csrf。

原因找到了:Spring Security 3默认关闭csrf,Spring Security 4默认启动了csrf。

解决方案:

如果不采用csrf,可禁用security的csrf

java注解方式配置:


加上 .csrf().disable()即可。

__zhi_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot(七):Spring Security如何启用与禁用CSRF
甘焕的博客
11-06 2万+
从Spring Security 4开始,默认启用CSRF机制,本来这也不算什么大事,但与Spring Boot结合在一起,那么实现起来就比较麻烦了,尤其是采用前后端分离式的开发架构后,配置CSRF机制就更困难了,几乎所有网上的解决办法都无法解决如何获取CSRF编码的难题,首先以表单登陆的错误镇楼:There was an unexpected error (type=Forbidden, stat
Spring Boot | Spring Boot “CSRF 防护功能“ 、Security “管理前端页面“
最新发布
m0_70720417的博客
05-19 1166
目录: 一、SpringBoot 中 自定义 "用户授权管理" ( 总体内容介绍 ) 二、实现 "CSRF" 防护功能 ( 通过 "HttpSecurity类" 的 csrf( )方法来实现 "CSRF" 功能 ) : 1. "关闭" CSRF 防护功能 : ① 创建好 "基本的项目" ② 创建数据修改页面 ③ 编写后台控制层方法 ④ CSRF 默认防护效果测试 ⑤ 关闭 Security 的 " CSRF 防御功能" ......
django 同时提交表单和file_Python学习第六十二天记录打call:Django 启用和禁用CSRF功能...
weixin_39872872的博客
12-20 96
1.Django CSRF的原理CSRF(Cross Site Request Forgery)也就是跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的;2.CSRF认证在项目的settings文件中有一个配置项MIDDLEWARE,表示默认Django启用csr...
springsecurity为什么说使用JWT就可以disable csrf
只为成功找方法 不为失败找借口
12-07 373
这个方案的实现方法是,在设置 JWT 的同时,设置一个额外的 CSRF Token Cookie,并将这个 CSRF Token 也返回给前端。攻击者可以在他们控制的网站上构造一个请求,当用户访问这个网站时,这个请求会在用户的浏览器中执行,并带有用户对目标网站的凭证(例如,cookies)。例如,你应当使用 HTTPS 来防止 MITM 攻击,使用适当的策略和技术(例如,Content Security Policy,对用户输入的严格检查和清理)来防止 XSS 攻击。
Security关闭CSRF
doStruggle的博客
06-06 1万+
问题 在项目中添加了Security模块后,在发送post请求时会失败,出现以下日志: Invalid CSRF token found for ... 原因 在Security的默认拦截器里,默认会开启CSRF处理,判断请求是否携带了token,如果没有就拒绝访问。并且,在请求为(GET|HEAD|TRACE|OPTIONS)时,则不会开启,可参考如下源码: // 先从tokenRep...
Spring Security4 CSRF 如何关闭CSRF功能
热门推荐
醉陌浮生,乱谜浊
09-17 1万+
什么是CSRFcsrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI……而现在,互联网上的许多站点仍对此毫无防备,以至于安全业
spring-security静态资源
09-25
可以通过配置禁用对静态资源的CSRF保护: ```java @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().ignoringAntMatchers("/resources/**"); } ``` 7. **自定义静态...
springsecurity.zip
09-09
4. **启用Csrf保护**:SpringSecurity默认启用了CSRF(跨站请求伪造)保护,可以通过`http.csrf().disable()`来禁用,或者根据需求调整CSRF策略。 5. **登录与登出**:SpringSecurity提供了默认的登录页面和逻辑,...
基于JSP的Java Web项目的CSRF防御示例
01-07
http.csrf().disable() // 如果不需要全局CSRF保护,可以禁用,然后手动添加到需要的端点 .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .permitAll() .and() .logout() ....
springboot - 2.7.3版本 - (九)整合security
10-12
如果API不需要,可以通过`http.csrf().disable()`禁用。 **八、记住我功能** 若想实现“记住我”功能,可添加`.rememberMe()`配置并设置密钥。 **九、异常处理** Spring Security提供了一套默认的异常处理机制,但...
springSecurity
09-04
- 防止跨站请求伪造攻击,Spring Security默认开启CSRF保护,可通过配置禁用或自定义。 7. **OAuth2支持** - Spring Security OAuth2模块提供了一套完整的OAuth2服务器和客户端实现,支持资源服务器、授权服务器...
解决Security6.1版本csrf().disable()已弃用问题
m0_65769108的博客
11-22 1746
来关闭csrf进行测试。新版本csrf().disable()已经弃用。
多个WebSecurityJAVA配置导致csrf().disable()配置失效
路过君的博客
09-16 1757
版本 spring-security-oauth2-2.3.8 问题 存在两个继承WebSecurityConfigurerAdapter的WebSecurity JAVA配置文件,一个配置了http.csrf().disable(),一个没有配置,请求仍然报错Invalid CSRF token found 解决 合并WEBSECURITY配置,或两个文件都配置上http.csrf().disable() 分析 Spring源码WebSecurityConfigurerAdapter中http默认配置启用
SpringSecurity中的CSRF解读
-
04-11 539
SpringSecurity中的CSRF解读 从刚开始学习SpringSecurity时,在配置类中一直存在这样一行代码:http.csrfo.disable() 如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 什么是CSRF CSRF (Cross-site request forgery) 跨站请求伪造,也被称为"OneClick Attack” 或者 Sess...
仅对此用户禁用 java_java – Spring Security:按客户端类型启用/禁用CSRF(浏览器/非浏览器)...
weixin_42465238的博客
02-26 88
我确信有一种方法可以在Spring Security XML中执行此操作,但由于我使用的是Java Config,因此这是我的解决方案.@Configuration@EnableWebSecuritypublic class SecurityConfig {@Configuration@Order(1)public static class SoapApiConfigurationAdapter ...
SpringSecurity(十七)------CSRF
Apple_Andy的博客
10-10 1729
一.引入 从刚开始学习Spring Security时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭csrf防护。 二.什么是CSRF CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行. 这就利用了web中用户身份认证验证
Spring Security 升级:关闭CSRF防护
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
10-17 660
本文将探讨Spring Security升级中关闭跨站请求伪造(CSRF)防护的关键步骤。CSRF防护是确保Web应用程序安全性的关键组成部分,但在某些情况下,需要关闭或微调以适应特定需求。我们将简洁地介绍为何关闭CSRF防护可能有必要,并提供简明的指南,以确保您的应用程序在升级后保持安全。无论您是新手还是有经验的开发者,本文将为您提供明确的方向,帮助您更好地理解如何应对CSRF防护。
Spring Security中防护CSRF功能
花&败
07-18 2624
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF的原理 下图简单阐述了CSRF攻击的思想:
Spring Security关闭csrf
11-16
为了关闭Spring Security中的csrf保护,可以在Spring Security配置文件中添加以下代码: ```java http.csrf().disable(); ``` 这将禁用所有Spring Security中的csrf保护。但是,关闭csrf保护可能会导致安全漏洞,因此建议仅在特定情况下使用。 另外,还可以通过以下方式禁用特定请求的csrf保护: ```java http.csrf().ignoringAntMatchers("/your-url"); ``` 这将禁用与“/your-url”匹配的所有请求的csrf保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值