Spring Boot + Spring Security解决POST方式下的CSRF问题

最新推荐文章于 2024-04-26 16:43:32 发布
最新推荐文章于 2024-04-26 16:43:32 发布
阅读量6.1k 收藏 4
点赞数 1
分类专栏: spring boot 文章标签: spring boot csrf

以下配置基于spring boot版本1.4.2.RELEASE,默认引入的spring security版本为4.1.3.RELEASE,页面模板采用thymeleaf。

问题现象:
HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.

关于CSRF的描述,此处不再赘述,解决方案如下。
第1、2、3种方案测试通过,第四种方式未做测试。

1.定义headers,post方式提交的时候带上headers的信息。

var headers = {};
headers['X-CSRF-TOKEN'] = "[[${_csrf.token}]]";
$.ajax({
    url: url,
    type: "POST",
    headers: headers,
    dataType: "json",
    success: function(result) {
    }
});

2.直接作为参数提交。

$.ajax({
    url: url,
    data: {
        "[[${_csrf.parameterName}]]": "[[${_csrf.token}]]"
        },
    type: "POST",
    dataType: "json",
    success: function(result) {
    }
});

3.form提交的时候,如果出现csrf问题,可将该参数作为隐藏项。跟第二种方式类似。

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}">

4.在 @EnableWebSecurity配置中,禁用CSRF。

http.csrf().disable();


作者:吴俊达
链接:https://www.jianshu.com/p/9a7b8b441b24
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
Lionel_Medoo
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity的无法访问post请求
m0_64998696的博客
05-08 513
SpringSecurity的无法访问post请求
springsecurity配置csrf,ajax发送post请求访问
qq_51961167的博客
04-24 1670
springsecurity配置csrf,ajax发送post请求访问
spring boot security中前端请求后端post
qq_38888706的博客
12-30 711
背景:前端使用thymeleaf,后端使用springboot security,前后端交互post方式一直报错。 原因:springboot security 不允许post,具体原因可自查。 解决方式: 1.thymeleaf模板中添加: <meta name="_csrf" th:content="${_csrf.token}"/> <meta name...
SpringSecurityCSRF攻击
2201_75856701的博客
01-13 465
一些网站比如知乎、简书中的外部链接,点击之后会有提示(免责声明),此操作有风险是否继续,这便与CSRF密切相关。当然这个POST接口无法直接在浏览器中发起请求,我们需要借助PostMan来实现POST请求的发送。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?防护,这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。建好项目后,创建一个简单的HelloController.java,包含一个。项目中模拟一个按钮操作,发起。,模拟一个钓鱼网站。
springboot +security post请求报403
m0_67403013的博客
04-25 526
使用springboot 2 + spring security4 搭建登陆框架。 login.html页面通过form表单post方法进行登陆提交, 系统报403错误, 查询baidu无果,在google上一篇文章提到由于请求没有加csrf的tonken。 于是,按照spring 的参考手册上的方法(thymeleaf语法),添加上token, 问题解决,见如下图: <form action="/login" method="post"> ??? <table> ??????? &
Spring BootSpring Security POST请求403
myli92的博客
05-12 3405
在使用Spring Security时发现,所有的get请求都可以正常访问,但是post请求一直提示403.最终发现SpringSecrity默认开启CSRF保护。 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。 可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 方式1:禁用CSRF
Spring Boot整合Spring Security(三)csrf
时雨吹雪的博客
01-30 1716
Spring Securitycsrf防护功能的使用,模板引擎以及接口方式获取csrfToken
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF跨站攻击防御,需要的朋友可以参考下
SpringSecurity的防Csrf攻击实现代码解析
08-24
主要介绍了SpringSecurity的防Csrf攻击实现代码解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security中的csrf防御原理(跨域请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity解决POST方式CSRF问题
热门推荐
学习记录和总结
04-13 1万+
SpringSecurity解决POST方式CSRF问题
Spring Boot 项目使用Spring Security防护CSRF攻击实战
oscar999的专栏
11-28 904
Spring Boot项目结合Spring Security ,可以实现用户认证和用户授权。 Spring Security的用户认证可以是配置的用户、数据库的用户或者直接整合LDAP, 用户授权上可以根据角色和用户来进行授权。 综合来说, 使用Spring Boot+Spring Security 就可以很好的进行权限的管控了。除此之外, Spring Security 还提供了对CSRF、XSS等安全弱点的防护。
Springboot+Springsecurity开启csrf跨站请求防护
Nirvana069的博客
11-16 1730
如果配置了springsecrity,默认是开启的,不过大多是项目为了便利,往往会在配置中将其关闭的, .csrf().disable() 不过有些业务场景单纯的认证token不能满足,需要开启csrf防护,找了很久找到了如下方法,做为记录。 配置文件中(WebSecurityConfig)将 .csrf().disable()改为 .csrf().ignoringAntMatchers("XXXX").csrfTokenRepository(CookieCsrfTokenRepositor
处理Spring Security在配置好csrf后接口报401问题
永远sayYES的博客
09-22 1943
处理Spring Security在配置好csrf后接口报401问题 现象:接口报401,csrf disable后接口正常200 项目是基于Java Spring boot 2.4.4 写的,原来是csrf是disable的,项目一直跑是没有问题。有一天项目需要配置csrf,不然会有潜在的CSRF风险(跨站请求伪造攻击)。 话不多说,改就完了。 原有配置 http.csrf().disable() 修改后的配置 http.csrf().csrfTokenRepository(CookieCsrfToke
springboot scurity 开启csrf 后 支付宝通知无法访问的解决办法
wjybokee的博客
12-06 1769
springboot scurity 开启csrf 后 支付宝通知无法访问的解决办法
SpringBoot+SpringSecurity+Druid解决CSRF开启问题
Rome was not built in one day
03-20 4589
SpringBoot+Druid整合配置如下1、pom中引入依赖&lt;!-- Druid 数据连接池依赖 --&gt; &lt;dependency&gt;     &lt;groupId&gt;com.alibaba&lt;/groupId&gt;     &lt;artifactId&gt;druid&lt;/artifactId&gt;     &lt;version&gt;1.0.27&
spring的CacheManager
最新发布
weixin_42594143的博客
04-26 225
上述代码中,我们通过@Cacheable注解将getUserById方法标记为需要缓存的方法,并指定缓存名称为"myCache"。当该方法被调用时,如果缓存中已经存在对应的结果,则直接返回缓存中的数据,否则执行方法体并将结果存入缓存中。需要注意的是,@Cacheable注解默认使用方法的参数作为缓存的key,因此在使用时需要保证参数的唯一性。在使用缓存的地方,可以通过@Cacheable注解来标记需要缓存的方法,并指定缓存名称。上述代码中,我们使用了用户对象的id属性作为缓存key,以保证缓存的唯一性。
springboot+springsecurity+jwt+vue
11-23
Spring Boot是一个基于Spring框架的快速开发Web应用程序的框架,Spring SecuritySpring框架的安全模块,JWT是一种用于身份验证的开放标准。Vue是一种流行的JavaScript框架,用于构建用户界面。 结合这些技术,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值