spring security中CSRF中设置不针对某些请求过滤

最新推荐文章于 2022-12-20 10:19:54 发布
最新推荐文章于 2022-12-20 10:19:54 发布
阅读量1.1k 收藏
点赞数
分类专栏: JAVA相关 文章标签: java
在spring security 4中,CSRF默认开启: 



<http>
    ...
    <csrf />
</http>


但如果某些URL不想加入CSRF,可以使用下面的办法:

实现RequestMatcher.这个接口中的方法,在这里排除某些URL不做CSRF,比如: 


public class CsrfSecurityRequestMatcher implements RequestMatcher {
    private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
    private RegexRequestMatcher unprotectedMatcher = new RegexRequestMatcher("/unprotected", null);

    @Override
    public boolean matches(HttpServletRequest request) {
        if(allowedMethods.matcher(request.getMethod()).matches()){
            return false;
        }

        return !unprotectedMatcher.matches(request);
    }
}


这里,就是针对/unproted开头的URL,都不用做CSRF了
然后在配置文件中: 


<http>
    <csrf request-matcher-ref="csrfSecurityRequestMatcher"/>
</http>


jackyrongvip
关注
专栏目录
SpringSecurity csrf验证忽略某些请求
zangjunlang4288的博客
04-02 2190
SpringSecurity csrf验证忽略某些请求 前几天项目遇到springSecurity问题,研究了大半天,掉进了csrf的坑,先认识一下csrf CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者...
SpringSecurity 对某些请求不进行csrf验证
qwer1154928613的博客
09-04 454
方法1: 方法2:
SpringSecurity 配置静态资源和请求不启用过滤器链
你今天真好看呀
08-21 2380
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的和方法级的。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。
spring security 动态不拦截指定请求
liu_xue_xue的专栏
07-15 8975
方法一、简单配置 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) throws Exception { //ignore web.ignoring().antMatchers("/info","/css","/html"); }
一个注解搞定Spring Security 忽略拦截
最新发布
小魏的奇妙世界
12-20 4743
一个注解搞定spring-security忽略拦截, 减少开发硬编码配置
详解利用spring-security解决CSRF问题
08-27
2. web.xml配置:在web.xml文件添加Spring Security过滤器,用于拦截所有的HTTP请求。 3. Spring配置文件配置:在Spring配置文件添加CSRF保护配置,包括headers和csrf配置。 4. 自定义RequestMatcher:开发者...
详解如何在spring boot使用spring security防止CSRF攻击
08-27
Spring Boot 使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
使用SpringSecurity处理CSRF攻击的方法步骤 春Security是当前最流行的Java Web应用程序安全框架之一,它提供了强大的安全功能,包括身份验证、授权、CSRF防护等。CSRF(Cross-site request forgery)是一种常见的...
Spring Security 5.1 文 参考手册 文文档
05-16
- 防止跨站请求伪造(CSRF)是Spring Security的重要功能。5.1版可能会提供改进的CSRF令牌管理和验证机制,以增强Web应用的安全性。 5. **Web安全**: - Spring Security 5.1可能会包含对HTTP头部安全性的强化,...
SpringBoot启动排除SpringSecurity
初飞
06-13 2544
@SpringBootApplication(exclude = {org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class}) public class DeepParseSpringCodeService { public static void main(String[] args) { SpringApplication.run(DeepParseSprin.
java拦截器放行_Spring mvc 的拦截器怎么放行一些请求不进行拦截?
weixin_39682944的博客
02-13 1132
我瞎说两句吧。首先呢,感觉你的需求广义上来讲也属于认证。参考Spring Security这种认证用过滤器比拦截器更适合。拦截器根据拦截的返回值true/false来决定是否拦截,这样的机制决定了多个拦截器间没有办法直接传递信息。但过滤器就不同了,过滤器之间靠过滤器链将多个过滤器连接在一起。我们可以在前置过滤对request或response进行装饰(当然可以把一些自定义的信息装饰进去了),然...
SpringSecurity
小白的博客
03-23 1668
一、导入依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 二、在yml设置自定义密码: spring: security: u
application.yml 配置springsecurity过滤请求
linsenaa的博客
06-13 1781
第一步 注入 @Autowired private Environment env;
自定义filter配置不被过滤的资源
sdujava2011
10-31 5946
1.web.xml配置 &lt;!-- token filter--&gt; &lt;filter&gt; &lt;filter-name&gt;tokenFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.zpkj.template.filter.TokenFilter&lt;/filter-clas...
springmvc security 关于页面请求出现X-Frame-Options‘ to ‘deny 异常解决方法
whhmkj的专栏
07-08 993
本文章主要是讲解在xml配置springmvc与seccurity框架整合遇到请求错误的问题, 至于为什么会出现上述问题就不多说,直接贴解决办法: 在你的seccurity.xml文件<http>标签域添加 <headers> <frame-options disabled="true"></frame-options> </headers> <csrf disabled="true" request-matcher
springboot框架学习 springSecurity5的CSRF保护(cookie跨域保护)
m0_59588838的博客
05-02 2440
昨天遇到的一个毁灭性的bug,前提是我没有系统的了解springsecurity5这款安全框架,它封装管理的一些保护机制,其导致我明明页面和对应的方法映射写的都好好的,结果就是从一个页面跳转另一个页面报出403错误,且显示得不到任何映射,这就很让我困扰,本来我以为是我controller层的方法写的有问题,做好如下的调试代码: @RequestMapping("query") public User query(String username){ System.out.pr
利用spring-security解决CSRF问题
热门推荐
Frankenstein的博客
04-22 4万+
从配置到原理,一步步讲解如何利用Springsecurity框架来处理scrf问题。
Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤指定方法
crazy王的学习
12-27 8356
最近项目渗透测试检测出一些安全问题其一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
Spring Security 3.0.1文官方文档翻译版
"Spring_Security-3.0.1_文官方文档(翻译版)是针对Spring Security 3.0.1版本的一个文教程,主要修复了3.0版本存在的bug,并对文档的拼写错误进行了修正。文档涵盖了Spring Security的基础知识、获取方式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值